Problemas encontrados na adoção do IPv6

Neste artigo eu relato os problemas e dificuldades que encontrei na adoção do protocolo IPv6 na empresa. Os conceitos básicos do protocolo foram tratados em um artigo anterior e eu recomendo a leitura para quem ainda não conhece.

[ Hits: 13.144 ]

Por: Ricardo Lino Olonca em 06/07/2016


Introdução



Há algum tempo eu escrevi um artigo mostrando o básico do IPv6. Toda a teoria, motivos para a adoção, características e comparativos entre IPv6 e IPv4 foram mostrados neste primeiro artigo que pode ser lido em O fim está próximo.

Neste segundo texto eu mostro os problemas e dificuldades que encontrei na adoção do novo protocolo da internet na empresa. Para quem não está familiarizado com o IPv6 sugiro que leia o primeiro artigo.

O IPv6 já tem mais de 20 anos mas até agora vi poucas implementações dele. Há cursos gratuitos e pagos na internet sobre o assunto, mas na prática poucas pessoas estão realmente buscando implementá-lo. Por isso foi fascinante desenvolver esse projeto e ir anotando cada problema encontrado, cada solução, cada limitação.

Meu objetivo é mostrar os problemas que tive para que você tenha uma visão geral do que vai encontrar pela frente e ajudar a comunidade e não errar onde eu errei. Acredite, mais cedo ou mais tarde você vai ter que colocar a mão na massa e espero que este artigo possa te auxiliar.

Cronograma de atividades

Após aprender como o protocolo IPv6 funciona e conseguir uma rede /48 pública, o primeiro passo prático foi definir as tarefas que deveriam ser executadas começando pelos serviços menos críticos. Sugiro fortemente que não tenha pressa, gaste tempo testando cada serviço, um por vez. Resumidamente defini os seguintes passos.

1. Definir as VLANs /64

Como consegui uma rede /48 eu tenho à disposição cerca de 66 mil VLANs /64. Comecei definindo as seguintes redes.
  • LAN - 2001:db8:db7e:0::/64
  • DMZ - 2001:db8:db7e:8000::/64
  • VPN - 2001:db8:db7e:4000::/64
  • Servidores - 2001:db8:db7e:c000::/64
  • Suporte - 2001:db8:db7e:2000::/64
  • Engenharia - 2001:db8:db7e:6000::/64

2. Criar um domínio e uma VLAN para testes

Antes de fazer algo envolvendo a empresa eu decidi usar um domínio particular. Eu já tinha um domínio para testes e acabei virando o NS para o DNS da empresa. Domínios ".nom.br" custam 30 reais por 3 anos e podem ser usados. A VLAN pode até ser virtualizada no próprio gateway do túnel IPv6. No meu caso o túnel de testes é uma máquina Linux e configurei uma máquina virtual usando o Virtual Box. A máquina virtual tem duas placas, uma em bridge e outra na VLAN "host only". Se você tiver um roteador pode usá-lo para criar uma VLAN separada.

3. Configurar sites externos

Depois de fazer os testes iniciais com o meu domínio particular passei a fornecer IPv6 para os sites externos da empresa. A maior preocupação era fornecer acesso aos nossos sites para usuários com conectividade somente IPv6.

4. Configurar sistemas de e-mail

Fazer com que o meu sistema de e-mail conseguisse enviar e receber mensagens via IPv6 passando pelo meu antivírus e meu antispam. A ideia era usar primeiramente o meu domínio particular, testá-lo bem, e só depois implementar na rede da empresa.

5. Configurar proxys

Fazer com que os servidores proxys saíssem por IPv6. Dessa forma eu forneceria acesso à páginas IPv6 para meus usuários internos.

6. Sites internos

Colocar IPv6 nos sites internos era, no meu caso, o mais complicado devido às inúmeras aplicações e servidores existentes, dos quais uma boa parte não era administrada por minha equipe.

7. Suporte aos desktops

Como último passo, fornecer acesso IPv6 para os desktops e mobiles da empresa usando DHCPv6 ou outra solução a ser estudada. Esse último passo eu ainda não fiz, mas já estou fazendo alguns testes com RADVD e DHCPv6.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Problemas encontrados
   3. Conclusão
Outros artigos deste autor

Deduplicação com LessFS

Entendendo TCP/IP (parte 4) - DHCP

Entendendo TCP/IP (Parte 5) - Portas TCP/UDP

MooseFS - Sistema de arquivos distribuído

Entendendo TCP/IP (Parte 6) - Firewall

Leitura recomendada

Como encontrar o NetID e o Broadcast de uma determinada rede

Envio de e-mail criptografado pelo Zabbix usando Postfix

Criando e Consumindo Rede de Compartilhamento NFS

Acesso remoto entre GNU/Linux e Windows

GNU/Linux no mundo corporativo

  
Comentários
[1] Comentário enviado por wadilson em 06/07/2016 - 15:30h

Parabéns, e obrigado pela publicação!

[2] Comentário enviado por sandromilgrau em 07/07/2016 - 13:04h

Parabéns pelo artigo.

Ipv6 vai demorar a implementação do ipv6 no Brasil

1. O CG-NAT CARRIER-GRADE esta dominando os bairros. O pessoal esta acomodado para não precisar pedir linha telefônica fixa.

2. O presidente da agencia de telecomunicações “ANALTEU” esta apoiando o sistema de franquias porque as operadoras não estão conseguindo prover a grande demanda de pedidos de instalações de internet já que freando a demanda ira paralisar as instalações. “malditos jogadores de videogames comedores de banda”

3. Pra registrar um domínio com ipv6 particular tem que preparar o bolso porque a LACNIC e o Registro.br vão vir com o papo de manutenção bla, bla, bla.......... Com o preço em dollar.


4. Existe mais de um milhão de ipv4 ainda disponíveis.


5. Quando adotarem e se adotarem o ipv6 as operadoras vão jogar o ipv6 para os telefones-moveis e as empresas continuaram com o ipv4.

6. O ipv6 é mais vulneráveis a ataques de negação.

7. É mais fácil fazerem uma gambiarra e chamarem de ipv4-64-bits do que adotarem o ipv6.


[3] Comentário enviado por ricardoolonca em 11/07/2016 - 16:03h


1. O CG-NAT CARRIER-GRADE esta dominando os bairros. O pessoal esta acomodado para não precisar pedir linha telefônica fixa.


Nunca ouvi esse termo.


2. O presidente da agencia de telecomunicações “ANALTEU” esta apoiando o sistema de franquias porque as operadoras não estão conseguindo prover a grande demanda de pedidos de instalações de internet já que freando a demanda ira paralisar as instalações. “malditos jogadores de videogames comedores de banda”


Mais cedo ou mais tarde eles terão que migrar. Não tem como fugir.


3. Pra registrar um domínio com ipv6 particular tem que preparar o bolso porque a LACNIC e o Registro.br vão vir com o papo de manutenção bla, bla, bla.......... Com o preço em dollar.


Na verdade fazer um registro de um site IPv6 é o mesmo que IPv4. O problema é a aquisição do IPv6.


4. Existe mais de um milhão de ipv4 ainda disponíveis.


Isso no Lacnic. Mas esses endereços serão reservados para emergências. Ou seja, na prática os IPv4 já acabaram.


5. Quando adotarem e se adotarem o ipv6 as operadoras vão jogar o ipv6 para os telefones-moveis e as empresas continuaram com o ipv4.


É possível. Num primeiro momento isso deve acontecer. Mas em alguns anos vai começar a aparecer sites somente com IPv6, e aí as estações de trabalho terão que ter pilhas dupla.


6. O ipv6 é mais vulneráveis a ataques de negação.


Baseado em que você diz isso? O protocolo IPv6 em si é mais robusto que o IPv4. Mas uma aplicação vulnerável no IPv4 vai continuar sendo vulnerável no IPv6. É um problema da aplicação, não do protocolo.


7. É mais fácil fazerem uma gambiarra e chamarem de ipv4-64-bits do que adotarem o ipv6.


Nunca ouvi esse termo, mas de gambiarra o IPv4 está cheio.

[4] Comentário enviado por ederpaulopereira em 13/07/2016 - 09:08h

Caro Ricardo, excelente relatório. Ainda não criei coragem para migrar ao ipv6, mas, com certeza você só ganhou conhecimento (conhecimento valioso inclusive) fazendo estes laboratórios. Parabéns!

[5] Comentário enviado por wleite em 14/07/2016 - 12:53h

Ricardo, parabéns pelo artigo!!! A sua história esta contribuindo para querer me aprofundar no aprendizado do protocolo IPv6. Continue assim!!!

[6] Comentário enviado por removido em 29/07/2016 - 01:23h

Parabéns pelo artigo!
Como resumo infelizmente continuaremos com compartilhamento de IP usando a versão 4 é tecnologias que já deveria estar sendo pensadas não vão ser. =(
Operadoras de telefonia poderia simplesmente resolver o problema de falta de ip fazendo a mudança "Já que a versão 6 do protocolo nos da ips de sobra =D", os sistemas Linux que já usei suporta a tecnologia e estão preparados "Meu router tem ate uma aba especifica para configurar o protocolo", porem minha operadora de internet não da o suporte. Inclusive se não me engano durante a instalação do slackware o mesmo fornece uma opção para fazer a configuração do protocolo.

Para quem trabalha com desenvolvimento "Principalmente para Web BACKEND" também é legal conhecer o protocolo é também as 4 camadas do modelo osi voltadas ao TCP. eu também estava estudando o protocolo mas parei por um tempo por também não conseguir um ip GlobalUnicast na minha maquina mas enfim, a vida tem dessas :/ !


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts