Академический Документы
Профессиональный Документы
Культура Документы
Capacitao IPv6.br
Tcnicas de Transio
Capacitao
Agenda
Introduo Classificao das Tcnicas Pilha Dupla 6in4 e 6over4 GRE Tunnel Brokers DS-Lite e DS-Lite + A+P IVI, dIVI e dIVI-pd NAT64 e DNS64 464XLAT
4rd 6PE e 6VPE 6rd 6to4 Teredo ISATAP A+P NAT444 Consideraes Finais
Capacitao
Introduo
IPv4
Jan 1983
Esgotamento do IPv4
Capacitao
Introduo
IPv4
Jan 1983 Esgotamento do IPv4
Desativao do IPv4
Projeto
IPv6
1994
Implantao
IPv6
1998 Tcnicas de Transio / Tneis
Capacitao
Introduo
Isso no aconteceu assim O IPv4 esgotou-se e o IPv6 ainda no foi implantado
IPv4
Jan 1983
Esgotamento do IPv4
Desativao do IPv4
Projeto
IPv6
1994
Implantao
IPv6
1998 Tcnicas de Transio / Tneis
Capacitao
Introduo
IPv4
Jan 1983 Esgotamento do IPv4
Projeto
IPv6
1994
Implantao
IPv6 em toda a Internet Novas tc. / Tneis / Traduo Tcnicas de Transio / Tneis
IPv6
1998
Capacitao
IPv6 necessrio IPv4 no pode ser descartado agora Como implementar os dois em curto prazo?
Capacitao
Pilha Dupla
A: a aplicao usa IPv4 AAAA: a aplicao usa IPv6 AAAA e A: a aplicao tenta primeiro o IPv6, se falhar, tenta o IPv4 AAAA e A: a aplicao com happy eyeballs tenta IPv6 e IPv4 simultaneamente, o mais rpido usado
Capacitao
Tenho IPv6 Computador destino na Internet tem IPv6 Mas meu provedor somente oferece IPv4 Como eu consigo fazer esta comunicao em IPv6?
Capacitao
Utilizar tneis
Capacitao
6in4
Tcnica de encapsulamento do IPv6 diretamente dentro do pacote IPv4 RFC 4213 Tipo 41 (0x29) no campo cabealho: protocolo 41
Capacitao
6over4
Tnel configurado manualmente, usando o encapsulamento 6in4 Pode ser usado para contornar partes da rede, ou Internet, que no suportam IPv6
Tcnicas de Transio rev 2012.04.01-01
Capacitao
GRE
Tcnica de encapsulamento genrica, definida na RFC 2784, pode ser usada para transportar diversos protocolos, inclusive IPv6 e IPv4. Configurao manual Mesmos casos de uso do 6over4: contornar partes da rede, ou da Internet, que no suportam o protocolo.
Tcnicas de Transio rev 2012.04.01-01
Capacitao
Capacitao
Tunnel Brokers
Capacitao
Tunnel Brokers
Podem usar diversas tcnicas de encapsulamento e protocolos de comunicao: 6in4, UDP, AYIYA, TSP, etc. A implantao de um servio de Tunnel Broker no trivial, pois no existem softwares abertos para a funo de Servidor Broker http://tunnelbroker.net - Hurricane Electric recomendado para Sistemas Autnomos, possvel estabelecer sesses BGP e anunciar seu prprio bloco. http://sixxs.net - PoP da Algar Telecom no Brasil podese obter redes /64 e /48 para testes timo desempenho.
Tcnicas de Transio rev 2012.04.01-01
Capacitao
6PE e 6VPE
RFCs 4798 e 4659 Comunicao IPv6 por meio de um core MPLS IPv4, usando LSPs (Label Switch Paths) 6PE apenas tabela global de roteamento 6VPE tabelas de roteamento separadas logicamente Permite que o provedor utilize a infraestrutura IPv4 j existente para facilitar a implantao do IPv6
Capacitao
6PE e 6VPE
Capacitao
6to4
O 6to4 (RFC 3056) uma das tcnicas de transio mais antigas e serviu de base para o 6rd Originalmente, seu objetivo era obter conectividade IPv6 por meio de tneis automticos 6in4 Provavelmente trouxe mais problemas para a implantao do IPv6 na Internet, do que benefcios
Vrios sistemas operacionais, em especial o Windows, utilizam essa tcnica automaticamente
Capacitao
6to4
Capacitao
6to4
Os endereos usam o prefixo 2002:wwxx:yyzz::/48, onde wwxx:yyzz o endereo IPv4 do roteador 6to4. Os relays usam o endereo anycast 192.88.99.1 Em redes pilhas dupla, com servidores IPv6 recomendvel instalar um relay 6to4 para que as respostas s requisies de clientes 6to4 saiam j encapsuladas da rede Em redes corporativas, pode-se bloquear os tneis 6to4 bloqueando-se o protocolo 41 Pode-se tambm desativar os tneis 6to4 no Windows Laboratrio disponvel no CD ou Website
Capacitao
Laboratrio 6to4
Capacitao
6rd
O 6rd (rapid deployment) uma tcnica para facilitar a implantao do IPv6 entre o provedor e o usurio, sobre uma rede j existente IPv4 Provedor Free, na Frana RFC 5569 Baseado no 6to4
Capacitao
6rd
Capacitao
6rd
Normalmente n=32, o=32, m=0 Pode-se aumentar n, mas significa entregar prefixos mais longos do que /64 para os usurios, quebrando a SLAAC. Pode-se omitir o prefixo de rede IPv4, diminuindo o. Por exemplo, para um prefixo 198.51.0.0/16, os bits que representam 198.51 poderiam ser omitidos.
Capacitao
6rd
Implementaes
Pode ser til para provedores que administram remotamente o CPE No uma tcnica para ser usada para novos usurios, j que se baseia numa rede nativa IPv4, e no IPv6, mas pode ser til para a base existente de usurios Laboratrio disponvel no CD ou Website
Tcnicas de Transio rev 2012.04.01-01
Capacitao
Laboratrio 6rd
Capacitao
Teredo
Capacitao
Teredo
O Teredo (RFC 4380) foi criado com o mesmo objetivo do 6to4, mas usa encapsulamento UDP, o que permite seu funcionamento com NAT IPv4 Usa o prefixo 2001:0000::/32 O Windows o implementa de forma automtica. Pode ser bloqueado numa rede corporativa, bloqueando-se a comunicao na porta UDP 3544, ou desativando-o no Windows.
Capacitao
Teredo
Capacitao
ISATAP
O ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) (RFC 5214) um tnel automtico IPv6 sobre IPv4 para ser usado dentro das corporaes No funciona atravs da Internet Baseado no protocolo 41
Capacitao
ISATAP
Capacitao
Tenho IPv4 Computador destino na Internet tem IPv4 Mas meu provedor somente oferece IPv6 Como eu consigo fazer esta comunicao em IPv4?
Capacitao
Utilizar tneis
Capacitao
Entre provedores e seus usurios No h IPv4 disponveis, preciso preserv-los, compartilhando-os Usurios trabalham com IPv6 nativo
Capacitao
DS-Lite
Capacitao
DS-Lite
IPv6 nativo Deve suportar tneis 4in6 (Linux / OpenWRT) DHCPv4 (para atribuio dos endereos v4 RFC 1918 aos hosts) Proxy DNS (faz as consultas via IPv6, evitando a traduo) CGN NAT44 Um s NAT, no NAT 444, faz a traduo para cada um dos dispositivos do usurio, j que o CPE opera como bridge
Endereos na faixa 192.0.0.0/29 nos tneis: no gasta blocos IPv4 na infraestrutura do provedor.
Capacitao
Stateless O usurio recebe um IPv4 vlido, mesmo com algumas restries NAT44 no CPE, obedecendo a restrio de portas
Capacitao
Capacitao
Laboratrio DSLite
Capacitao
4rd
Usa tneis 4in6 para fornecer IPs v4 compartilhados para usurios somente IPv6 Usa compartilhamento de endereos com restrio de portas (A+P)
Capacitao
4rd
Capacitao
4rd
Blocos de portas: 1o. bloco: 2o. bloco: 3o. bloco: 4o. bloco: 0001 + port-set-ID (n=1 a 12 bits) + sufixo (que varia de 0 a 12-n) 001 + port-set-ID (n=1 a 13 bits) + sufixo (que varia de 0 a 13-n) 01 + port-set-ID (n=1 a 14 bits) + sufixo (que varia de 0 a 14-n) 1 + port-set-ID (n=1 a 15 bits) + sufixo (que varia de 0 a 15-n)
Capacitao
4rd
Capacitao
4rd
Implementao baseada em vyatta que pode ser usada para testes: http://bougaidenpa.org/masakazu/archives/176 Produtos da linha SEIL do provedor japons IIJ tambm implementam o protocolo. O desenvolvimento do 4rd deve ser acompanhado com ateno:
Funciona em redes somente IPv6 Stateless Conectividade fim a fim Quando necessrio o uso de tcnicas stateful, isso feito no lado do cliente (NAT44 obedecendo restrio de portas)
Capacitao
Somente tenho IPv6 Computador destino na Internet somente tem IPv4 Como eu consigo fazer esta comunicao?
Capacitao
Utilizar Traduo
Fazer equivalncia entre campos IPv6 com campos IPv4 na mudana de uma rede para outra
Capacitao
RFC 6145
Capacitao
RFC 6145
Capacitao
Endereos IPv4 so escassos Como atribuir um IPv4 quando fizer a traduo? Se tivesse falando de redes IPv4 com endereamento privado para acessar a Internet teramos algo similar?
Capacitao
NAT64 e DNS64
Capacitao
NAT64 e DNS64
Entre provedores e seus usurios No h IPv4 disponveis, preciso preserv-los, compartilhando-os Usurios trabalham com IPv6 nativo
No recebem um IPv4, nem mesmo privado A comunicao com hosts v4 feita por meio de traduo
Capacitao
NAT64
Definido na RFC 6146 Traduo stateful de pacotes IPv6 em IPv4 Prefixo bem conhecido: 64:ff9b::/96 Linux, Windows, Cisco, Juniper, A10, F5, etc.
Capacitao
DNS64
Tcnica auxiliar ao NAT64 RFC 6147 Funciona como um DNS recursivo, para os hosts, mas:
Se no h resposta AAAA, converte a resposta A em uma resposta AAAA, convertendo o endereo usando a mesma regra (e prefixo) do NAT64
BIND ou Totd
Capacitao
NAT64 e DNS64
Alguns softwares, no preparados ainda para o IPv6, podem no funcionar Algumas aplicaes, que carregam IPs em sua forma literal no protocolo, na camada de aplicao, no funcionaro. Ex.: ftp em modo ativo, sip.
Traduo de endereos
Capacitao
Laboratrio NAT64
Capacitao
NAT64 e DNS64 no oferecem IPv4, quebrando algumas aplicaes possvel atribuir um IPv4, mesmo que privado, aos usurios?
Capacitao
464XLAT
Capacitao
464XLAT
Capacitao
464XLAT
Soluo que usa dupla traduo, similar ao dIVI ou dIVI-pd draft-ietf-v6ops-464xlat-01 No realmente uma tcnica nova, mas uma aplicao de duas tcnicas j conhecidas em conjunto:
O NAT64, no lado do provedor PLAT (provider side translator) RFC 6146 Um tradutor stateless, semelhante ao IVI, no lado do cliente, mas que usa endereos privados (RFC1918), e no pblicos CLAT (customer side translator) RFC 6145
Capacitao
464XLAT
CLAT
PLAT: NAT64 (diversas opes) Testes realizados pela T-Mobile e pelo Ponto de Troca de Trfego japons JPIX No a soluo ideal:
Pode ser implantada em larga escala em pouco tempo, pois seus componentes bsicos j esto relativamente maduros
Capacitao
possvel fazer uma traduo sem guardar o histrico? Existem mais IPv6 do que IPv4, como fazer um mapeamento 1:1?
Capacitao
IVI
Capacitao
IVI
Capacitao
IVI
A traduo dos cabealhos feita da mesma forma que no NAT64, conforme a RFC 6145
Capacitao
IVI
IVI = IV (4 em romano) + VI (6 em romano) Como o IVI no trata do esgotamento do IPv4, e exige um mapeamento 1:1, mais adequado para servidores IPv6, do que para estaes de trabalho em geral. O IVI foi desenvolvido para que servidores somente IPv6 da CERNET2 (Rede Acadmica Chinesa), pudessem ser acessados da Internet IPv4 RFC 6219 H uma implementao aberta do IVI para Linux, que pode ser usada para testes: http://www.ivi2.org/IVI/
Tcnicas de Transio rev 2012.04.01-01
Capacitao
possvel expandir a traduo para que uma maior quantidade de usurios possa ser atendida? Compartilhar a traduo possvel?
Capacitao
dIVI e dIVI-pd
Capacitao
dIVI e dIVI-pd
O dIVI (draft-xli-behave-divi-04) e o dIVI-pd (draft-xli-behave-divi-pd-01) so tcnicas que usam dupla traduo para fornecer endereos IPv4 compartilhados, com restrio de portas, a hosts somente IPv6. No dIVI possvel entregar apenas 1 endereo IPv6, e um endereo IPv4, para um dado CPE, enquanto no dIVI-pd possvel delegar um prefixo.
Capacitao
dIVI
Totalmente stateless, mas nesse caso os hosts devem obedecer, por algum outro meio, a restrio de portas Parcialmente stateless, quando o CPE realiza a traduo das portas e guarda o estado relativo a isso
O dIVI adequado para dispositivos mveis, quando 1 endereo IPv4 e 1 endereo IPv6 normalmente so suficientes
Capacitao
dIVI-pd
Um prefixo IPv6, que pode ser distribudo para os diversos hosts via SLAAC Um endereo IPv4, com portas restritas, que pode ser compartilhado entre diversos hosts, se o CPE realizar a funo de NAT44 e DHCPv4
Capacitao
dIVI e dIVI-pd
Funcionam sobre redes somente v6 Stateless Conectividade fim a fim No necessitam de DNS64 ou ALG Quando necessrio usar tcnicas stateful (mapeamento de portas ou NAT44) isso feito no lado do usurio A traduo N:1 implementada no provedor pode ser usada tambm com DNS64 e eventualmente ALGs para clientes somente IPv6
Capacitao
Os IPv4 esto acabando por aqui e j acabaram em outros lugares Distribuio em massa de IPv6 ou de tcnicas de transio ainda no realidade Existe algo que possa ser feito para dar sobrevida ao IPv4?
Capacitao
A+P
Capacitao
A+P
O A+P (RFC 6346) no uma tcnica de transio para IPv6, mas uma forma de preservar os endereos IPv4 Pode ser usada em conjunto com a implantao nativa do IPv6 O A+P consiste em compartilhar o mesmo IPv4 para diversos usurios, restringindo as faixas de portas que cada um deles pode usar O A+P menos nocivo arquitetura da Internet do que o NAT
Capacitao
NAT444
Capacitao
NAT444
O NAT444 (draft-shirasaki-nat444-05) no uma tcnica de transio para o IPv6, mas uma forma de prolongar a vida til do IPv4, por meio do compartilhamento O NAT444 pode ser usado, contudo, em conjunto com a implantao do IPv6 O NAT444 implica na utilizao de dois NATs, um no provedor, outro no usurio, e quebra a conectividade fim a fim, e potencialmente diversas aplicaes Existe uma proposta para reservar-se um bloco IPv4 especfico para o NAT444: draft-weil-shared-transition-space-request-15
Capacitao
Capacitao
Critrios de escolha
IPv6 nativo nos usurios Stateless em detrimento de stateful Evitar tcnicas para prolongar a vida do IPv4, sem a adoo concomitante do IPv6 Adequao rede onde ser implantada Maturidade e opes de implantao
Capacitao
Pilha Dupla
Tcnica padro, adequada para enquanto ainda houver IPs verso 4 disponveis Pacotes IPv4 encapsulados em IPv6, ou vice-versa Pacotes IPv4 traduzidos para IPv6, e vice-versa Gateways que lidam com aplicaes especficas
Tneis
Traduo
Capacitao
Stateful
necessrio manter informaes de estado, como tabelas com endereos e portas. No necessrio manter estado, cada pacote processado de forma independente, de acordo com uma regra ou algortmo.
Stateless
Capacitao
Consideraes finais
Deve-se usar pilha dupla, se no houver falta de endereos IPv4 A Internet caminha para ser somente IPv6, deve-se preferir tcnicas que usem IPv6 nativo Deve-se evitar duplo NAT IPv4, o NAT444
Tcnicas com dupla traduo e tneis IPv4 sobre IPv6 evitam a necessidade do duplo NAT, para compartilhar o IPv4
Stateless prefervel a stateful Caso stateful seja necessrio, que seja preferivelmente do lado do usurio, e no do provedor
Capacitao
Laboratrio NAT64
Capacitao
Contatos
ipv6@nic.br
Coordenador do IPv6.br
Capacitao
Backup
Capacitao
Cenrios
Mostram as diferentes situaes em que h necessidade de redes IPv6 e IPv4 coexistirem e interoperarem Generalizao e extenso dos cenrios apresentados na RFC 6144
Capacitao
Cenrios 1 e 2
O cenrio 1 representa uma rede com falta de endereos v4, ou uma rede nova, somente v6.
Mapeamento 1:1 frequentemente no pode ser feito. Solues normalmente stateful. Stateless pode ser possvel se o mapeamento puder ser feito parcialmente.
Capacitao
Cenrios 3 e 4
O cenrio 3 representa, tipicamente, uma rede legada IPv4 que tem de responder a requisies da Internet v6.
Solues stateful.
O cenrio 4 pode ser encontrado num estgio avanado da migrao, onde usurios IPv4 tm de acessar servios somente IPv6 na Internet.
Capacitao
Cenrios 5 e 6
Similares os cenrios 1 e 2. O cenrio 5 representa uma rede com falta de endereos v4, ou uma rede nova, somente v6.
Mapeamento 1:1 frequentemente no pode ser feito. Solues normalmente stateful. Stateless pode ser possvel se o mapeamento puder ser feito parcialmente.
Capacitao
Cenrios 7 e 8
Os cenrios 7 e 8 representam uma situao ideal, onde qualquer dispositivo na Internet IPv6 poderia comunicar-se com qualquer outro na Internet IPv4, e viceversa. Soluo improvvel.
Capacitao
Cenrios 9 e 10
Os cenrios 9 e 10 representam situaes onde necessrio fazer duas redes IPv6 comunicarem-se atravs da Internet IPv4, ou duas redes IPv4 comunicaremse atravs da Internet IPv6.
Solues de tunelamento.