Beruflich Dokumente
Kultur Dokumente
09-06849
CDD-621
Sobre os autores
Rodrigo Regis dos Santos formado em Cincia da Computao pela Universidade
Presbiteriana Mackenzie e atualmente Analista de Projetos no NIC.br. Rodrigo
especialista em IPv6 e um dos responsveis pelo projeto IPv6.br, que tem por objetivo
incentivar o uso do protocolo no pas.
Antnio M. Moreiras atua no NIC.br na coordenao de projetos relacionados
infraestrutura da Internet e a seu desenvolvimento no Brasil. Est envolvido atualmente
com a disseminao do IPv6 no Brasil, distribuio da Hora Legal via NTP, medies da
qualidade da Internet no Brasil e estudos da Web brasileira. Engenheiro eletricista e
mestre em engenharia pela POLI/USP, com MBA em Gesto Empresarial pela
FACC/UFRJ, atualmente est especializando-se em Governana da Internet na Diplo
Foundation e iniciando seu doutorado na POLI/USP, estudando a integrao das redes
de sensores Internet.
Ailton Soares da Rocha Analista de Projetos no NIC.br, onde est envolvido com
pesquisas e projetos relacionados infraestrutura da Internet no pas, com importante
atuao nos projetos IPv6.br e NTP.br. Engenheiro eletricista e de telecomunicaes
graduado pelo INATEL, atuou por mais de 10 anos na coordenao da rea de redes e
Internet da instituio.
Sobre a licena
Para cada novo uso ou distribuio, voc deve deixar claro para outros os termos da licena desta obra.
No caso de criao de obras derivadas, os logotipos do CGI.br, NIC.br, IPv6.br e CEPTRO.br no devem ser utilizados.
Na atribuio de autoria, essa obra deve ser citada da seguinte forma:
A apostila Curso IPv6 bsico do NIC.br, disponvel no stio http://curso.ipv6.br ou atravs do e-mail
ipv6@nic.br.
Qualquer uma destas condies podem ser renunciadas, desde que voc obtenha permisso do autor.
Se necessrio, o NIC.br pode ser consultado atravs do email ipv6@nic.br.
Nada nesta licena prejudica ou restringe os direitos morais do autor.
Introduo
Mdulo 1
A Internet e o TCP/IP
1990 Primeiros estudos sobre o
esgotamento dos endereos
Classe A
IBM
HP
AT&T
MIT
DoD
US Army
USPS
........
Classe B
Classe C
Endereos reservados
9
Classe B: definia os 2 bits mais significativo como 10, utilizava os 14 bits seguintes
para identificar a rede, e os 16 bits restantes para identificar o host. Esses endereos
utilizavam a faixa de 128.1.0.0 at 191.254.0.0;
Classe C: definia os 3 bits mais significativo como 110, utilizava os 21 bits seguintes
para identificar a rede, e os 8 bits restantes para identificar o host. Esses endereos
utilizavam a faixa de 192.0.1.0 at 223.255.254.0;
Classe
Formato
Redes
Hosts
A
7 Bits Rede, 24 Bits Host
128 16.777.216
B
14 Bits Rede, 16 Bits Host
16.384
65.536
C
21 Bits Rede, 8 Bits Host 2.562.097.152
256
Embora o intuito dessa diviso tenha sido tornar a distribuio de endereos mais
flexvel, abrangendo redes de tamanhos variados, esse tipo de classificao mostrou-se
ineficiente. Desta forma, a classe A atenderia um nmero muito pequeno de redes, mas
ocupava metade de todos os endereos disponveis; para enderear 300 dispositivos em
uma rede, seria necessrio obter um bloco de endereos da classe B, desperdiando
assim quase o total dos 65 mil endereos; e os 256 endereos da classe C no supriam
as necessidades da grande maioria das redes.
Hosts
213
235
562
1.024
1.961
5.089
28.174
56.000
159.000
313.000
617.000
1.136.000
2.056.000
3.212.000
8.200.000
16.729.000
26.053.000
Domnios
1.280
4.800
9.300
18.000
17.000
26.000
46.000
120.000
488.000
1.301.000
10
Outro fator que colaborava com o desperdcio de endereos, era o fato de que dezenas de
faixas classe A foram atribudas integralmente a grandes instituies como IBM, AT&T, Xerox,
HP, Apple, MIT, Ford, Departamento de Defesa Americano, entre muitas outras, disponibilizando
para cada uma 16.777.216 milhes de endereos. Alm disso, 35 faixas de endereos classe A
foram reservadas para usos especficos como multicast, loopback e uso futuro.
Em 1990, j existiam 313.000 hosts conectados a rede e estudos j apontavam para um
colapso devido a falta de endereos. Outros problemas tambm tornavam-se mais efetivos
conforme a Internet evolua, como o aumento da tabela de roteamento.
Devido ao ritmo de crescimento da Internet e da poltica de distribuio de endereos, em
maio de 1992, 38% das faixas de endereos classe A, 43% da classe B e 2% da classe C, j
estavam alocados. Nesta poca, a rede j possua 1.136.000 hosts conectados.
Em 1993, com a criao do protocolo HTTP e a liberao por parte do Governo
estadunidense para a utilizao comercial da Internet, houve um salto ainda maior na taxa de
crescimento da rede, que passou de 2.056.000 de hosts em 1993 para mais de 26.000.000 de hosts
em 1997.
Mais informaes:
RFC 1287 - Towards the Future Internet Architecture.
RFC 1296 - Internet Growth (1981-1991)
Solensky F., Continued Internet Growth, Proceedings of the 18th Internet Engineering Task
Force, Agosto 1990, http://www.ietf.org/proceedings/prior29/IETF18.pdf
IANA IPv4 Address Space Registry http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml
RFC 3330 - Special-Use IPv4 Addresses.
Solues
Solues paliativas:
DHCP
Alocaes dinmicas de endereos.
NAT + RFC 1918
Permite conectar toda uma rede de computadores usando
apenas um endereo vlido na Internet, porm com vrias
restries.
11
Diante desse cenrio, a IETF (Internet Engineering Task Force) passa a discutir estratgias
para solucionar a questo do esgotamento dos endereos IP e o problema do aumento da tabela de
roteamento. Para isso, em novembro de 1991, formado o grupo de trabalho ROAD (ROuting and
Addressing), que apresenta como soluo a estes problemas a utilizao do CIDR (Classless Interdomain Routing).
Definido na RFC 4632 (tornou obsoleta a RFC 1519), o CIDR tem como idia bsica o fim
do uso de classes de endereos, permitindo a alocao de blocos de tamanho apropriado a real
necessidade de cada rede; e a agregao de rotas, reduzindo o tamanho da tabela de roteamento.
Com o CIDR os blocos so referenciados como prefixo de redes. Por exemplo, no endereo
a.b.c.d/x, os x bits mais significativos indicam o prefixo da rede. Outra forma de indicar o prefixo
atravs de mscaras, onde a mscara 255.0.0.0 indica um prefixo /8, 255.255.0.0 indica um /16, e
assim sucessivamente.
Outra soluo, apresentada na RFC 2131 (tornou obsoleta a RFC 1541), foi o protocolo
DHCP (Dynamic Host Configuration Protocol). Atravs do DHCP um host capaz de obter um
endereo IP automaticamente e adquirir informaes adicionais como mscara de sub-rede,
endereo do roteador padro e o endereo do servidor DNS local.
O DHCP tem sido muito utilizado por parte dos ISPs por permitir a atribuio de endereos
IP temporrios a seus clientes conectados. Desta forma, torna-se desnecessrio obter um endereo
para cada cliente, devendo-se apenas designar endereos dinamicamente, atravs de seu servidor
DHCP. Este servidor ter uma lista de endereos IP disponveis, e toda vez que um novo cliente se
conectar rede, lhe ser designado um desses endereo de forma arbitrria, e no momento que o
cliente se desconecta, o endereo devolvido.
Solues
NAT
Vantagens:
Desvantagens:
12
A NAT (Network Address Translation), foi outra tcnica paliativa desenvolvida para
resolver o problema do esgotamento dos endereos IPv4. Definida na RFC 3022 (tornou obsoleta
a RFC 1631), tem como idia bsica permitir que, com um nico endereo IP, ou um pequeno
nmero deles, vrios hosts possam trafegar na Internet. Dentro de uma rede, cada computador
recebe um endereo IP privado nico, que utilizado para o roteamento do trfego interno. No
entanto, quando um pacote precisa ser roteado para fora da rede, uma traduo de endereo
realizada, convertendo endereos IP privados em endereos IP pblicos globalmente nicos.
Para tornar possvel este esquema, utiliza-se os trs intervalos de endereos IP declarados
como privados na RFC 1918, sendo que a nica regra de utilizao, que nenhum pacote
contendo estes endereos pode trafegar na Internet pblica. As trs faixas reservadas so:
10.0.0.0
a 10.255.255.255 /8
(16.777.216 hosts)
172.16.0.0
a 172.31.255.255 /12 (1.048.576 hosts)
192.168.0.0
a 192.168.255.255 /16 (65.536 hosts)
A utilizao da NAT mostrou-se eficiente no que diz respeito a economia de endereos IP,
alm de apresentar alguns outros aspectos positivos, como facilitar a numerao interna das redes,
ocultar a topologia das redes e s permitir a entrada de pacotes gerados em resposta a um pedido
da rede. No entanto, o uso da NAT apresenta inconvenientes que no compensam as vantagens
oferecidas.
A NAT quebra o modelo fim-a-fim da Internet, no permitindo conexes diretas entre dois
hosts, o que dificulta o funcionamento de uma srie de aplicaes, como P2P, VoIP e VPNs.
Outro problema a baixa escalabilidade, pois o nmero de conexes simultneas limitado, alm
de exigir um grande poder de processamento do dispositivo tradutor. O uso da NAT tambm
impossibilita rastrear o caminho de pacote, atravs de ferramentas como traceroute, por exemplo,
e dificulta a utilizao de algumas tcnicas de segurana como IPSec. Alm disso, seu uso passa
uma falsa sensao de segurana, pois, apesar de no permitir a entrada de pacotes no
autorizados, a NAT no realiza nenhum tipo de filtragem ou verificao nos pacotes que passa por
ela.
Solues
Solues paliativas: Queda de apenas 14%
13
Embora estas solues tenham diminudo a demanda por IPs, elas no foram suficientes
para resolver os problemas decorrentes do crescimento da Internet. A adoo dessas tcnicas
reduziu em apenas 14% a quantidade de blocos de endereos solicitados IANA e a curva de
crescimento da Internet continuava apresentando um aumento exponencial.
Essas medidas, na verdade, serviram para que houvesse mais tempo para se desenvolver
uma nova verso do IP, que fosse baseada nos princpios que fizeram o sucesso do IPv4, porm,
que fosse capaz de suprir as falhas apresentadas por ele.
Mais informaes:
RFC 1380 - IESG Deliberations on Routing and Addressing
RFC 1918 - Address Allocation for Private Internets
RFC 2131 - Dynamic Host Configuration Protocol
RFC 2775 - Internet Transparency
RFC 2993 - Architectural Implications of NAT
RFC 3022 - Traditional IP Network Address Translator (Traditional NAT)
RFC 3027 - Protocol Complications with the IP Network Address Translator
RFC 4632 - Classless Inter-domain Routing (CIDR): The Internet Address Assignment and
Aggregation Plan.
Solues
Estas medidas geraram mais tempo para desenvolver uma nova
verso do IP.
Principais questes:
Escalabilidade;
Segurana;
Suporte a QoS;
Mobilidade;
Polticas de roteamento;
Transio.
14
Deste modo, em dezembro de 1993 a IETF formalizou, atravs da RFC 1550, as pesquisas a
respeito da nova verso do protocolo IP, solicitando o envio de projetos e propostas para o novo
protocolo. Esta foi umas das primeiras aes do grupo de trabalho da IETF denominado Internet
Protocol next generation (IPng). As principais questes que deveriam ser abordadas na elaborao
da prxima verso do protocolo IP foram:
Escalabilidade;
Segurana;
Suporte a QoS;
Mobilidade;
Polticas de roteamento;
Transio.
Solues
Soluo definitiva:
15
TUBA - sua proposta era de aumentar o espao para endereamento do IPv4 e torn-lo
mais hierrquico, buscando evitar a necessidade de se alterar os protocolos da camada
de transporte e aplicao. Pretendia uma migrao simples e em longo prazo, baseada
na atualizao dos host e servidores DNS, entretanto, sem a necessidade de
encapsulamento ou traduo de pacotes, ou mapeamento de endereos;
SIPP - concebido para ser uma etapa evolutiva do IPv4, sem mudanas radicais e
mantendo a interoperabilidade com a verso 4 do protocolo IP, fornecia uma
plataforma para novas funcionalidades da Internet, aumentava o espao para
endereamento de 32 bits para 64 bits, apresentava um nvel maior de hierarquia e era
composto por um mecanismo que permitia alargar o endereo chamado cluster
addresses. J possua cabealhos de extenso e um campo flow para identificar o tipo
de fluxo de cada pacote.
16
Entretanto, conforme relatado tambm na RFC 1752, todas as trs propostas apresentavam
problemas significativos. Deste modo, a recomendao final para o novo Protocolo Internet
baseou-se em uma verso revisada do SIPP, que passou a incorporar endereos de 128 bits,
juntamente com os elementos de transio e autoconfigurao do TUBA, o endereamento
baseado no CIDR e os cabealhos de extenso. O CATNIP, por ser considerado muito
incompleto, foi descartado.
Aps esta definio, a nova verso do Protocolo Internet passou a ser chamado
oficialmente de IPv6.
Mais informaes:
RFC 1550 - IP: Next Generation (IPng) White Paper Solicitation
RFC 1752 - The Recommendation for the IP Next Generation Protocol
IPv6
Cabealhos de extenso.
....
17
18
Mais informaes:
RFC 2460 - Internet Protocol, Version 6 (IPv6) Specification
19
Mundo
23,8% da populao;
Brasil
Esta expanso da Internet pode ser medida por diversos fatores, e inmeras pesquisas tm
mostrado que este crescimento no ocorre de forma isolada.
Estima-se que existam no mundo 1.596.270.108 usurios de Internet, ou 23,8% da
populao da Terra, o que representa, considerando os ltimos oito anos, um crescimento de
342,2%. Mantendo este ritmo de crescimento, dentro de dois anos sero dois bilhes de usurios,
superando a previso de que este nmero s seria alcanado em 2015. A tabela a seguir detalha
esses nmeros, apresentando a penetrao e o crescimento da Internet em cada regio do mundo.
Regies
frica
sia
Europa
Oriente
Mdio
Amrica
Norte
America
Latina
/Caribe
Oceania
TOTAL
975.330.899
3.780.819.792
803.903.540
Usurios de
Internet
(em 2000)
4.514.400
114.304.000
105.096.093
Usurios de
Internet
(atualmente)
54.171.500
657.170.816
393.373.398
196.767.614
3.284.800
337.572.949
Populao
(em 2008)
% por
Regio
% no
mundo
Crescimento
2000-2008
5,6 %
17,4 %
48,9 %
3,4 %
41,2 %
24,6 %
1.100,0 %
474,9 %
274,3 %
45.861.346
23,3 %
2,9 %
1.296,2 %
108.096.800
251.290.489
74,4 %
15,7 %
132,5 %
581.249.892
18.068.919
173.619.140
29,9 %
10,9 %
860,9 %
34.384.384
6.710.029.070
7.620.480
360.985.492
20.783.419
1.596.270.108
60,4 %
23,8 %
1,3 %
100 %
172,7 %
342,2 %
Dados de 15/06/2009.
21
Evoluo do estoque de
blocos IP na IANA.
22
Mais informaes:
http://www.internetworldstats.com/stats.htm
http://cetic.br/usuarios/ibope/tab02-04.htm
http://www.cisco.com/web/BR/barometro/barometro.html
https://www.isc.org/solutions/survey
http://www.nro.net/statistics
23
24
Embora todos os nmeros confirmem a necessidade mais endereos IP, questo essa que
prontamente resolvida com a adoo do IPv6, o ritmo de implantao da nova verso do protocolo
IP no est ocorrendo da forma que foi prevista no incio de seu desenvolvimento, que apontava o
IPv6 como protocolo padro da Internet aproximadamente dez anos aps sua definio, ou seja, se
isso realmente tivesse ocorrido, o objetivo desse curso provavelmente seria outro.
25
27
Dados de 28/08/2009
Blocos de endereos IPv6 vm sendo alocados pelos RIRs h aproximadamente dez anos.
No entanto, o fato dos RIRs alocarem endereos aos Registros Nacionais ou aos ISPs, no
significa que estes endereos estejam sendo utilizados. Ao cruzar os dados sobre a quantidade de
blocos /32 IPv6 j alocados com o nmero de rotas anunciadas na tabela de roteamento, nota-se
que apenas 2,9% desses recursos esto sendo efetivamente utilizados, isto , dos 73.000 blocos j
alocados, apenas 2.117 esto presentes na tabela global de roteamento.
Porm, dos blocos
alocados para o Brasil,
apenas 27,4% esto sendo
efetivamente utilizados.
28
Dados de 28/08/2009
Mais informaes:
http://www.arbornetworks.com/IPv6research
https://sites.google.com/site/ipv6implementors/conference2009/agenda/10_Lees_Google_IPv6_User_Measurement.pdf
http://bgp.he.net/ipv6-progress-report.cgi
http://portalipv6.lacnic.net/pt-br/ipv6/estat-sticas
http://bgp.potaroo.net/v6/as2.0/index.html
Abaixo, segue a lista das redes s quais j foram alocados endereos IPv6 no Brasil:
Bloco
Data da alocao
Nome
2001:1280::/32
2007-12-19
2001:1284::/32
2007-12-19
2001:1288::/32
2007-12-19
2001:128c::/32
2007-12-28
2001:1290::/32
2008-01-29
2001:1291::/32
2008-06-10
2001:1294::/32
2008-02-11
2001:1298::/32
2008-04-08
2001:129c::/32
2008-06-10
2001:12a0::/32
2008-06-10
2001:12a4::/32
2008-06-27
2001:12a8::/32
2008-07-28
2001:12ac::/32
2008-07-29
Onda Internet
2001:12b0::/32
2008-08-08
2001:12b4::/32
2008-08-27
2001:12b8::/32
2008-09-08
2001:12bc::/32
2008-09-08
2001:12c0::/32
2008-10-31
2001:12c4::/32
2008-11-10
INTERNEXO LTDA.
2001:12c8::/32
2006-08-09
2001:12d0::/32
2006-01-31
2001:12d8::/32
2006-01-12
FAPESP
2001:12e0::/32
2004-07-02
2001:12e8::/32
2004-07-26
2001:12f0::/32
2003-10-27
2001:12f8::/48
2007-12-19
2001:12f8:1::/48
2008-10-09
2001:12fe::/32
2007-12-19
2001:12ff::/32
2003-07-28
2801:80::/48
2008-12-01
2801:80:10::/48
2008-12-01
2804::/32
2008-12-01
2804:4::/32
2009-01-26
2804:8::/32
2009-01-26
2804:c::/32
2009-01-26
2804:10::/32
2009-01-26
2804:14::/32
2009-03-27
2804:18::/32
2009-04-09
Vivo S.A.
2804:1c::/32
2009-04-14
2801:20::/32
2009-04-14
2804:24::/32
2009-05-08
2804:28::/32
2009-06-02
2804:2c::/32
2009-06-22
2804:30::/32
2009-06-26
2804:34::/32
2009-07-06
2804:38::/32
2009-07-17
Dedalus.com Ltda
2804:3c::/32
2009-07-20
2804:40::/32
2009-07-20
2804:44::/32
2009-07-22
2804:48::/32
2009-07-27
2804:4c::/32
2009-08-04
2804:50::/32
2009-08-13
2804:54::/32
2009-08-13
2804:58::/32
2009-08-14
2804:5c::/32
2009-08-25
Dados de 28/08/2009.
Quais os riscos da no
implantao do IPv6?
32
Cabealho IPv6
Mdulo 2
33
Cabealho IPv4
34
Cabealho IPv6
Mais simples
Mais flexvel
Mais eficiente
35
Cabealho IPv6
36
Entre essas mudanas, destaca-se a remoo de seis campos do cabealho IPv4, visto que
suas funes no so mais necessrias ou so implementadas pelos cabealhos de extenso.
No IPv6, as opes adicionais agora fazem parte dos cabealhos de extenso do IPv6.
Deste modo, os campos Opes e Complementos puderam ser removidos.
O campo Tamanho do Cabealho tambm foi removido, porque o tamanho do cabealho
IPv6 fixo.
Os campos Identificao, Flags e Deslocamento do Fragmento, foram removidos porque
as informaes referentes a fragmentao so indicadas agora em um cabealho de extenso
apropriado.
Com o intuito de aumentar a velocidade do processamento dos roteadores, o campo Soma
de Verificao foi retirado, pois esse clculo j realizado pelos protocolos das camadas
superiores.
Cabealho IPv6
1
1
2
37
IPv6
Classe de Trfego
Tamanho Total
Tamanho dos Dados
Tempo de Vida (TTL) Limite de Encaminhamento
Protocolo
Prximo Cabealho
Tipo de Servio
Cabealho IPv6
Cabealho IPv6
39
Cabealho IPv6
40
Identificador de Fluxo (20 bits) - Identifica e diferencia pacotes do mesmo fluxo na camada de
rede. Esse campo permite ao roteador identificar o tipo de fluxo de cada pacote, sem a necessidade
de verificar sua aplicao.
Tamanho do Dados (16 bits) - Indica o tamanho, em Bytes, apenas dos dados enviados junto ao
cabealho IPv6. Substituiu o campo Tamanho Total do IPv4, que indica o tamanho do cabealho
mais o tamanho dos dados transmitidos. Os cabealhos de extenso tambm so includos no
calculo do tamanho.
Prximo Cabealho (8 bits) - Identifica cabealho que se segue ao cabealho IPv6. Este campo
foi renomeado (no IPv4 chamava-se Protocolo) refletindo a nova organizao dos pacotes IPv6,
pois agora este campo no contm apenas valores referentes a outros protocolos, mas tambm
indica os valores dos cabealhos de extenso.
Limite de Encaminhamento (8 bits) - Indica o nmero mximo de roteadores que o pacote IPv6
pode passar antes de ser descartado, sendo decrementado a cada salto. Padronizou o modo como o
campo Tempo de Vida (TTL) do IPv4 tem sido utilizado, apesar da definio original do campo
TTL, dizer que este deveria indicar, em segundos, quanto tempo o pacote levaria para ser
descartado caso no chegasse ao seu destino.
Cabealhos de Extenso
No IPv6, opes adicionais so tratadas por meio de cabealhos de
extenso.
Cabealho TCP
Dados
Cabealho IPv6
Cabealho Routing
Prximo
Cabealho = 6
Prximo
Cabealho = 6
Cabealho TCP
Cabealho IPv6
Cabealho Routing
Prximo
Cabealho = 43
Prximo
Cabealho = 44
Cabealho
Fragmentation
Prximo
Cabealho = 6
Dados
Cabealho TCP
Dados
41
Diferente do IPv4, que inclui no cabealho base todas as informaes opcionais, o IPv6
trata essas informaes atravs de cabealhos de extenso. Estes cabealhos localizam-se entre o
cabealho base e o cabealho da camada imediatamente acima, no havendo nem quantidade, nem
tamanho fixo para eles. Caso existam mltiplos cabealhos de extenso no mesmo pacote, eles
sero adicionados em srie formando uma cadeia de cabealhos.
As especificaes do IPv6 definem seis cabealhos de extenso: Hop-by-Hop Options,
Destination Options, Routing, Fragmentation, Authentication Header e Encapsulating Security
Payload.
A utilizao cabealhos de extenso do IPv6, visa aumentar a velocidade de processamento
nos roteadores, visto que, o nico cabealho de extenso processado em cada roteador o Hop-byHop; os demais so tratados apenas pelo n identificado no campo Endereo de Destino do
cabealho base. Alm disso, novos cabealhos de extenso podem ser definidos e usados sem a
necessidade de se alterar o cabealho base.
Cabealhos de Extenso
Hop-by-Hop Options
Prximo
Cabealho
Tam. cab. de
extenso
Opes
42
Identificado pelo valor 0 no campo Prximo Cabealho, o cabealho de extenso Hop-byHop deve ser colocado imediatamente aps o cabealho base IPv6. As informaes carregadas por
ele devem ser examinadas por todos os ns intermedirios ao longo do caminho do pacote at o
destino. Na sua ausncia, o roteador sabe que no precisa processar nenhuma informao
adicional e assim pode encaminha o pacote para o destino final imediatamente.
As definies de cada campo do cabealho so as seguintes:
O terceiro bit deste campo especifica se a informao opcional pode mudar de rota (valor
01) ou no (valor 00).
43
At o momento existem dois tipos definidos para o cabealho Hop-by-Hop: a Router Alert
e a Jumbogram.
Router Alert: Utilizado para informar aos ns intermedirios que a mensagem a ser
encaminhada exige tratamento especial. Est opo utilizada pelos protocols MLD
(Multicast Listener Discovery) e RSVP (Resource Reservation Protocol).
Jumbogram: Utilizado para informa que o tamanho do pacote IPv6 maior do que
64KB.
Mais informaes:
RFC 2711 - IPv6 Router Alert Option
Cabealhos de Extenso
Destination Options
Prximo
Cabealho
Tam. cab. de
extenso
Opes
44
Cabealhos de Extenso
Routing
Tam. cab. de
extenso
Tipo de
Routing
Saltos restantes
Reservado
Endereo de Origem
45
Mais informaes:
RFC 3775 - Mobility Support in IPv6 - 6.4. Type 2 Routing Header
RFC 5095 - Deprecation of Type 0 Routing Headers in IPv6
Cabealhos de Extenso
Fragmentation
Prximo
Cabealho
Reservado
Deslocamento do
Fragmento
Res M
Identificao
46
Cabealhos de Extenso
Authentication Header
47
Cabealhos de Extenso
Quando houver mais de um cabealho de extenso, recomenda-se
que eles apaream na seguinte ordem:
Hop-by-Hop Options
Routing
Fragmentation
Authentication Header
Encapsulating Security Payload
Destination Options
48
49
Endereamento IPv6
Mdulo 3
50
O protocolo IPv6 apresenta como principal caracterstica e justificativa maior para o seu
desenvolvimento, o aumento no espao para endereamento. Por isso, importante conhecermos
as diferenas entre os endereos IPv4 e IPv6, saber reconhecer a sintaxe dos endereos IPv6 e
conhecer os tipos de endereos IPv6 existentes e suas principais caractersticas.
Endereamento
51
Endereamento
A representao dos endereos IPv6, divide o endereo em oito grupos
de 16 bits, separando-os por :, escritos com dgitos hexadecimais.
2001:0DB8:AD1F:25E2:CADE:CAFE:F0CA:84C1
2 Bytes
52
Os 32 bits dos endereos IPv4 so divididos em quatro grupos de 8 bits cada, separados
por ., escritos com dgitos decimais. Por exemplo: 192.168.0.10.
A representao dos endereos IPv6, divide o endereo em oito grupos de 16 bits,
separando-os por :, escritos com dgitos hexadecimais (0-F). Por exemplo:
2001:0DB8:AD1F:25E2:CADE:CAFE:F0CA:84C1
Na representao de um endereo IPv6, permitido utilizar tanto caracteres maisculos
quanto minsculos.
Alm disso, regras de abreviao podem ser aplicadas para facilitar a escrita de alguns
endereos muito extensos. permitido omitir os zeros a esquerda de cada bloco de 16 bits, alm
de substituir uma sequncia longa de zeros por ::. Por exemplo, o endereo
2001:0DB8:0000:0000:130F:0000:0000:140B pode ser escrito como 2001:DB8:0:0:130F::140B
ou 2001:DB8::130F:0:0:140B. Neste exemplo possvel observar que a abreviao do grupo de
zeros s pode ser realizada uma nica vez, caso contrrio poder haver ambigidades na
representao do endereo. Se o endereo acima fosse escrito como 2001:DB8::130F::140B, no
seria possvel determinar se ele corresponde
a 2001:DB8:0:0:130F:0:0:140B,
a
2001:DB8:0:0:0:130F:0:140B ou 2001:DB8:0:130F:0:0:0:140B.
Esta abreviao pode ser feita tambm no fim ou no incio do endereo, como ocorre em
2001:DB8:0:54:0:0:0:0 que pode ser escrito da forma 2001:DB8:0:54::.
Endereamento
URL
http://[2001:12ff:0:4::22]/index.html
http://[2001:12ff:0:4::22]:8080
53
Outra representao importante a dos prefixos de rede. Em endereos IPv6 ela continua
sendo escrita do mesmo modo que no IPv4, utilizando a notao CIDR. Esta notao
representada da forma endereo-IPv6/tamanho do prefixo, onde tamanho do prefixo um
valor decimal que especifica a quantidade de bits contguos esquerda do endereo que
compreendem o prefixo. O exemplo de prefixo de sub-rede apresentado a seguir indica que dos
128 bits do endereo, 64 bits so utilizados para identificar a sub-rede.
Prefixo 2001:db8:3003:2::/64
Prefixo global 2001:db8::/32
ID da sub-rede 3003:2
Esta representao tambm possibilita a agregao dos endereos de forma hierrquica,
identificando a topologia da rede atravs de parmetros como posio geogrfica, provedor de
acesso, identificao da rede, diviso da sub-rede, etc. Com isso, possvel diminuir o tamanho da
tabela de roteamento e agilizar o encaminhamento dos pacotes.
Com relao a representao dos endereos IPv6 em URLs (Uniform Resource Locators),
estes agora passam a ser representados entre colchetes. Deste modo, no haver ambiguidades
caso seja necessrio indicar o nmero de uma porta juntamente com a URL. Observe os exemplos
a seguir:
http://[2001:12ff:0:4::22]/index.html
http://[2001:12ff:0:4::22]:8080
Endereamento
Existem no IPv6 trs tipos de endereos definidos:
Endereamento
Unicast
Global Unicast
n
64 - n
64
ID da
sub-rede
Identificador da interface
2000::/3
Os endereos unicast so utilizados para comunicao entre dois ns, por exemplo,
telefones VoIPv6, computadores em uma rede privada, etc., e sua estrutura foi definida para
permitir agregaes com prefixos de tamanho flexvel, similar ao CIDR do IPv4.
Existem alguns tipos de endereos unicast IPv6: Global Unicast; Unique-Local; e LinkLocal por exemplo. Existem tambm alguns tipos para usos especiais, como endereos IPv4
mapeados em IPv6, endereo de loopback e o endereo no-especificado, entre outros.
Global Unicast - equivalente aos endereos pblicos IPv4, o endereo global unicast
globalmente rotevel e acessvel na Internet IPv6. Ele constitudo por trs partes: o
prefixo de roteamento global, utilizado para identificar o tamanho do bloco atribudo a
uma rede; a identificao da sub-rede, utilizada para identificar um enlace em uma
rede; e a identificao da interface, que deve identificar de forma nica uma interface
dentro de um enlace.
Sua estrutura foi projetada para utilizar os 64 bits mais a esquerda para identificao
da rede e os 64 bits mais a direita para identificao da interface. Portanto, exceto
casos especficos, todas as sub-redes em IPv6 tem o mesmo tamanho de prefixo, 64
bits (/64), o que possibilita 264 = 18.446.744.073.709.551.616 dispositivos por subrede.
Atualmente, est reservada para atribuio de endereos a faixa 2000::/3 (001), que
corresponde aos endereos de 2000:: a 3fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff. Isto
representa 13% do total de endereos possveis com IPv6, o que nos permite criar
2(643) = 2.305.843.009.213.693.952 (2,3x1018) sub-redes (/64) diferentes ou 2(483) =
35.184.372.088.832 (3,5x1013) redes /48.
Endereamento
Unicast
Link local
FE80
Identificador da interface
FE80::/64
56
Link Local podendo ser usado apenas no enlace especfico onde a interface est
conectada, o endereo link local atribudo automaticamente utilizando o prefixo
FE80::/64. Os 64 bits reservados para a identificao da interface so configurados
utilizando o formato IEEE EUI-64. Vale ressaltar que os roteadores no devem
encaminhar para outros enlaces, pacotes que possuam como origem ou destino um
endereo link-local;
Endereamento
Unicast
Unique local
7
Pref. L
Identificador global
ID da
sub-rede
Identificador da interface
FC00::/7
Prefixo: FC00::/7.
Deste modo, a estrutura de um endereo ULA FDUU:UUUU:UUUU:<ID da subrede>:<Id da interface> onde U so os bits do identificador nico, gerado
aleatoriamente por um algoritmo especfico.
Sua utilizao permite que qualquer enlace possua um prefixo /48 privado e nico
globalmente. Deste modo, caso duas redes, de empresas distintas por exemplo, sejam
interconectadas, provavelmente no haver conflito de endereos ou necessidade de
renumerar a interface que o esteja usando. Alm disso, o endereo ULA
independente de provedor, podendo ser utilizado na comunicao dentro do enlace
mesmo que no haja uma conexo com a Internet. Outra vantagem, que seu prefixo
pode ser facilmente bloqueado, e caso um endereo ULA seja anunciado
acidentalmente para fora do enlace, atravs de um roteador ou via DNS, no haver
conflito com outros endereos.
Endereamento
Unicast
Manualmente
Autoconfigurao stateless
DHCPv6 (stateful)
58
Mais informaes:
RFC 3986 - Uniform Resource Identifier (URI): Generic Syntax
RFC 4291 - IP Version 6 Addressing Architecture
RFC 4193 - Unique Local IPv6 Unicast Addresses
RFC 5156 - Special-Use IPv6 Addresses
RFC 3587 - IPv6 Global Unicast Address Format
Internet Protocol Version 6 Address Space - http://www.iana.org/assignments/ipv6-addressspace
Endereamento
Unicast
EUI-64
Endereo MAC
48
1E
48
1E
C9
Endereo EUI-64
C9
21
FF
FE
FF
FE
85
0C
21
85
0C
21
85
0C
Bit U/L
0
Identificador da Interface
4A
1E
C9
59
Mais informaes:
Guidelines for 64-bit Global Identifier (EUI-64) Registration Authority http://standards.ieee.org/regauth/oui/tutorials/EUI64.html
Endereamento
Unicast
Endereos especiais
Localhost - ::1/128 (0:0:0:0:0:0:0:1)
No especificado - ::/128 (0:0:0:0:0:0:0:0)
IPv4-mapeado - ::FFFF:wxyz
Faixas Especiais
6to4 - 2002::/16
Documentao - 2001:db8::/32
Teredo - 2001:0000::/32
Obsoletos
Site local - FEC0::/10
IPv4-compatvel - ::wxyz
6Bone 3FFE::/16 (rede de testes desativada em 06/06/06)
60
61
FEC0::/10: prefixo utilizado pelos endereos do tipo site local, desenvolvidos para
serem utilizados dentro de uma rede especfica sem a necessidade de um prefixo global,
equivalente aos endereos privados do IPv4. Sua utilizao foi substituda pelos
endereos ULA;
Mais informaes:
RFC 3849 - IPv6 Address Prefix Reserved for Documentation
RFC 3879 - Deprecating Site Local Addresses
Endereamento
Anycast
Possveis utilizaes:
Balanceamento de carga;
Subnet-Router
62
Um endereo IPv6 anycast utilizado para identificar um grupo de interfaces, porm, com
a propriedade de que um pacote enviado a um endereo anycast encaminhado apenas a interface
do grupo mais prxima da origem do pacote.
Os endereos anycast so atribudos a partir da faixa de endereos unicast e no h
diferenas sintticas entre eles. Portanto, um endereo unicast atribudo a mais de uma interface
transforma-se em um endereo anycast, devendo-se neste caso, configurar explicitamente os ns
para que saibam que lhes foi atribudo um endereo anycast. Alm disso, este endereo deve ser
configurado nos roteadores como uma entrada separada (prefixo /128 host route).
Este esquema de endereamento pode ser utilizado para descobrir servios na rede, como
servidores DNS e proxies HTTP, garantindo a redundncia desses servios. Tambm pode-se
utilizar para fazer balanceamento de carga em situaes onde mltiplos hosts ou roteadores
provem o mesmo servio, para localizar roteadores que forneam acesso a uma determinada subrede ou para localizar os Agentes de Origem em redes com suporte a mobilidade IPv6.
Todos os roteadores devem ter suporte ao endereo anycast Subnet-Router. Este tipo de
endereo formado pelo prefixo da sub-rede e pelo IID preenchido com zeros (ex.:
2001:db8:cafe:dad0::/64). Um pacote enviado para o endereo Subnet-Router ser entregue para
o roteador mais prximo da origem dentro da mesma sub-rede.
Tambm foi definido um endereo anycast para ser utilizado no suporte a mobilidade
IPv6. Este tipo de endereo formado pelo prefixo da sub-rede seguido pelo IID dfff:ffff:ffff:fffe
(ex.: 2001:db8::dfff:ffff:ffff:fffe). Ele utilizado pelo N Mvel, quando este precisar localizar
um Agente Origem em sua Rede Original.
Mais informaes:
Internet Protocol Version 6 Anycast Addresses - http://www.iana.org/assignments/ipv6-anycastaddresses
Endereamento
Multicast
Flags
0RPT Escopo
112
Identificador do grupo multicast
63
Endereos multicast so utilizados para identificar grupos de interfaces, sendo que cada
interface pode pertencer a mais de um grupo. Os pacotes enviados para esses endereo so
entregues a todos as interfaces que compe o grupo.
No IPv4, o suporte a multicast opcional, j que foi introduzido apenas como uma
extenso ao protocolo. Entretanto, no IPv6 requerido que todos os ns suportem multicast, visto
que muitas funcionalidades da nova verso do protocolo IP utilizam esse tipo de endereo.
Seu funcionamento similar ao do broadcast, dado que um nico pacote enviado a
vrios hosts, diferenciando-se apenas pelo fato de que no broadcast o pacote enviado a todos os
hosts da rede, sem exceo, enquanto que no multicast apenas um grupo de hosts receber esse
pacote. Deste modo, a possibilidade de transportar apenas uma cpia dos dados a todos os
elementos do grupo, a partir de uma rvore de distribuio, pode reduzir a utilizao de recurso de
uma rede, bem como otimizar a entrega de dados aos hosts receptores. Aplicaes como
videoconferncia, distribuio de vdeo sob demanda, atualizaes de softwares e jogos on-line,
so exemplos de servios que vm ganhando notoriedade e podem utilizar as vantagens
apresentadas pelo multicast.
Os endereos multicast no devem ser utilizados como endereo de origem de um pacote.
Esses endereos derivam do bloco FF00::/8, onde o prefixo FF, que identifica um endereo
multicast, precedido por quatro bits, que representam quatro flags, e um valor de quatro bits que
define o escopo do grupo multicast. Os 112 bits restantes so utilizados para identificar o grupo
multicast.
Endereamento
Multicast
Flags
Flag
Primeiro bit
R
R
P
P
T
T
Valor (binrio)
Descrio
0
1
0
1
0
1
0
Escopo
Valor (4 bits hex)
1
2
3
4
5
8
E
(0, F)
(6, 7, 9, A, B, C, D)
Descrio
Interface
Enlace
Sub-rede
Admin
Site
Organizao
Global
Reservados
No-alocados
64
Endereamento
Multicast
Endereo
Escopo
Descrio
FF01::1
FF01::2
Interface
Interface
FF02::1
FF02::2
FF02::5
FF02::6
FF02::9
FF02::D
FF02::1:2
FF02::FFXX:XXXX
Enlace
Enlace
Enlace
Enlace
Enlace
Enlace
Enlace
Enlace
Todos os ns (all-nodes)
Todos os roteadores (all-routers)
Roteadores OSFP
Roteadores OSPF designados
Roteadores RIP
Roteadores PIM
Agentes DHCP
Solicited-node
FF05::2
FF05::1:3
FF05::1:4
Site
Site
Site
FF0X::101
Variado
Escopo
Descrio
FF01::1
FF01::2
Interface
Interface
FF02::1
FF02::2
FF02::5
FF02::6
FF02::9
FF02::D
FF02::1:2
FF02::FFXX:XXXX
Enlace
Enlace
Enlace
Enlace
Enlace
Enlace
Enlace
Enlace
FF05::2
FF05::1:3
FF05::1:4
Site
Site
Site
FF0X::101
Variado
Endereamento
Multicast
Endereo Solicited-Node
66
Endereamento
Multicast
Flag P = 1
Flag T = 1
Flags
Tamanho do
0RPT Escopo Reservado Prefixo
64
32
Prefixo da
Rede
ID do
Grupo
Prefixo FF30::/12
Exemplo:
prefixo da rede =
endereo
=
2001:DB8::/32
FF3E:20:2001:DB8:0:0:CADE:CAFE67
Endereamento
Multicast
Prefixo: FF3X::/32
Tamanho do prefixo = 0
Prefixo = 0
Exemplo: FF3X::CADE:CAFE/96
onde X o escopo e CADE:CAFE o identificador do
grupo.
68
Endereamento
Do mesmo modo que no IPv4, os endereos IPv6 so atribudos a
interfaces fsicas e no aos ns.
Loopback
::1
Link Local
FE80:....
Unique local
FD07:...
Global
2001:....
A RFC 3484 determina o algoritmo para seleo dos endereos de
origem e destino.
69
70
Estas regras devem ser utilizadas quando no houver nenhuma outra especificao. As
especificaes tambm permitem a configurao de polticas que possam substituir esses padres
de preferncias com combinaes entre endereos de origem e destino.
Mais informaes:
RFC 2375 - IPv6 Multicast Address Assignments
RFC 3306 - Unicast-Prefix-based IPv6 Multicast
RFC 3307 - Allocation Guidelines for IPv6 Multicast Addresses
RFC 3484 - Default Address Selection for Internet Protocol version 6 (IPv6)
RFC 3569 - An Overview of Source-Specific Multicast (SSM)
RFC 3956 - Embedding the Rendezvous Point (RP) Address in an IPv6 Multicast Address
RFC 4007 - IPv6 Scoped Address Architecture
RFC 4489 - A Method for Generating Link-Scoped IPv6 Multicast Addresses
Internet Protocol Version 6 Multicast Addresses - http://www.iana.org/assignments/ipv6multicast-addresses/
71
Funcionalidades do
IPv6 #1
Mdulo 4
72
ICMPv6
Realizar diagnsticos;
ARP/RARP
IGMP
73
Definido na RFC 4443 para ser utilizado com o IPv6, o ICMPv6 uma verso atualizada
do ICMP (Internet Control Message Protocol) utilizado com IPv4.
Esta nova verso do ICMP, embora apresente as mesma funes que o ICMPv4, como
reportar erros no processamento de pacotes e enviar mensagens sobre o status a as caractersticas
da rede, ela no compatvel com seu antecessor, apresentando agora um nmero maior de
mensagens e funcionalidades.
O ICMPv6, agora o responsvel por realizar as funes dos protocolos ARP (Address
Resolution Protocol), que mapeia os endereos da camada dois para IPs e vice-versa no IPv4, e do
IGMP (Internet Group Management Protocol), que gerencia os membros dos grupos multicast no
IPv4.
O valor no campo Prximo Cabealho, que indica a presena do protocolo ICMPv6, 58,
e o suporte a este protocolo deve ser implementado em todos os ns.
ICMPv6
ICMPv6
Mobilidade IPv6;
Em um pacote IPv6, o ICMPv6 posiciona-se logo aps o cabealho base do IPv6, e dos
cabealhos de extenso, se houver.
O ICMPv6, um protocolo chave na arquitetura IPv6, visto que, alm do gerenciamento
dos grupos multicast, atravs do protocolo MLD (Multicast Listener Discovery), e da resoluo de
endereos da camada dois, suas mensagens so essenciais para o funcionamento do protocolo de
Descoberta de Vizinhana (Neighbor Discovery), responsvel por localizar roteadores vizinhos na
rede, detectar mudanas de endereo no enlace, detectar endereos duplicados, etc.; no suporte
mobilidade, gerenciando Endereos de Origem dos hosts dinamicamente; e no processo de
descoberta do menor MTU (Maximum Transmit Unit) no caminho de uma pacote at o destino.
ICMPv6
Cabealho simples
ICMPv6
Mensagens de Erro
Destination Unreachable
Time Exceeded
Parameter Problem
Mensagens de Informao
Redirect...
76
As mensagens ICMPv6 so divididas em duas classes, cada uma composta por diversos
tipos de mensagens, conforme as tabelas a seguir:
Mensagens de Erro:
Tipo
Nom e
D e scri o
Tim e Exceeded
Param et er Problem
100-101
102-126
No ut ilizado
127
Mensagens de Informao
Tipo
Nom e
128
Echo Request
129
Echo Reply
130
131
132
133
134
135
136
137
Redirect Message
138
139
140
141
142
143
144
145
146
147
148
149
D e scri o
Ut ilizadas pelo com ando ping.
Ut ilizada no m ecanism o de
endeream ent o
(Renum bering)
rot eadores.
Rede
150
151
152
153
154
FMIPv6 Messages
200-201
255
Descoberta de Vizinhana
redirecionamento de pacotes;
autoconfigurao de endereos.
78
redirecionamento de pacotes;
autoconfigurao de endereos.
Descoberta de Vizinhana
Prefix information.
Redirected header.
MTU.
79
Router Solicitation (ICMPv6 tipo 133): utilizada por hosts para requisitar aos
roteadores mensagens Router Advertisements imediatamente. Normalmente
enviada para o endereo multicast FF02::2 (all-routers on link);
Uma terceira flag utilizada em redes com suporte mobilidade IPv6, para
indicar se o roteador um Agente de Origem;
Redirect (ICMPv6 tipo 137): utilizada por roteadores para informar ao host o
melhor roteador para encaminhar o pacote ao destino. Esta mensagem traz como
informao, o endereo do roteador considerado o melhor salto, o endereo do n
que est sendo redirecionado.
Estas mensagens podem trazer zero ou mais opes, definidas na RFC 4861:
Redirected header: contm todo ou parte do pacote que est sendo redirecionado.
utilizada nas mensagens Redirect; e
Descoberta de Vizinhana
81
Esta funcionalidade utilizada para determinar o endereo MAC dos vizinhos do mesmo
enlace, onde um host envia uma mensagem NS para o endereo multicast solicited node do
vizinho, informando seu endereo MAC.
Descoberta de Vizinhana
82
Descoberta de Vizinhana
83
Descoberta de Vizinhana
84
Descoberta de Vizinhana
Destination Cache.
85
Este mecanismo utilizado na comunicao host-a-host, host-a-roteador, e roteador-ahost para rastrear a acessibilidade dos ns ao longo do caminho.
Um n considera um vizinho acessvel se ele recebeu recentemente a confirmao de
entrega de algum pacote a esse vizinho. Essa confirmao pode ocorrer de dois modos: ser uma
resposta a uma mensagem do protocolo de Descoberta de Vizinhana; ou algum processo da
camada de transporte que indique que uma conexo foi estabelecida.
Esse processo apenas executado quando os pacotes so enviados a um endereo unicast,
no sendo utilizado no envio para endereos multicast.
Para acompanhar os estados de um vizinho, o n IPv6 utiliza duas importantes tabelas:
Neighbor Cache mantem uma lista de vizinhos locais para os quais foi enviado
trfego recentemente, armazenado seus endereos IP, informaes sobre o
endereo MAC e um flag indicando se o vizinho um roteador ou um host.
Tambm informa se ainda h pacotes na fila para serem enviados, a acessibilidade
dos vizinhos e a prxima vez que um evento de deteco de vizinhos inacessveis
est agendado. Esta tabela pode ser comparada a tabela ARP do IPv4.
Destination Cache mantem informaes sobre destinos para os quais foi
enviado trfego recentemente, incluindo tanto destinos locais quanto remotos,
sendo atualizado com informaes recebidas por mensagens Redirect. O Neighbor
Cache pode ser considerado um subconjunto das informaes do Destination
Cache.
Descoberta de Vizinhana
Redirecionamento
Pacote IPv6
86
Descoberta de Vizinhana
Redirecionamento
87
Descoberta de Vizinhana
Redirecionamento
Pacotes IPv6
subsequentes
88
Descoberta de Vizinhana
89
Descoberta de Vizinhana
Endereo de Tentativa;
Endereo Preferencial;
Endereo Depreciado;
Endereo Vlido;
Endereo Invlido.
90
Esse endereo passa a fazer parte dos grupos multicast solicited-node e all-node;
O host envia uma mensagem Router Solicitation para o grupo multicast all-routers;
91
Endereo Depreciado endereo cujo tempo de vida expirou. Pode ser utilizado para
continuar as comunicaes abertas por ele, mas no para iniciar novas comunicaes;
Endereo Vlido termo utilizado para designar tanto os endereos preferenciais quanto
os depreciados;
Endereo Invlido endereo que no pode ser atribudo a uma interface. Um endereo
se torna invlido quando seu tempo de vida expira.
DHCPv6
Fornece:
Endereos IPv6
receber
DHCPv6
Renumerao da Rede
Formato da Mensagem
Cdigo
Soma de Verificao
Nmero Sequencial
Nmero de
Segmento
Flags
Atraso Mximo
Reservado
Corpo da Mensagem
Mensagem de Comando / Mensagem de Resultado
94
O endereamento de uma rede muitas vezes baseado nos prefixos atribudos por ISPs.
No caso de uma mudana de provedor, necessrio renumerar todos os endereos da rede.
No IPv6, o processo de reendereamento dos hosts pode ser feito de forma relativamente
simples. Atravs dos mecanismos do protocolo de Descoberta de Vizinhana, um novo prefixo
pode ser anunciado pelo roteador a todos os hosts do enlace. possvel tambm, a utilizao de
servidores DHCPv6. Para tratar a configurao e reconfigurao dos prefixos nos roteadores to
facilmente quanto nos hosts, foi definido na RFC 2894, o protocolo Router Renumbering.
O mecanismo Router Renumbering utiliza mensagens ICMPv6 do tipo 138, enviadas aos
roteadores, atravs do endereo multicast all-routers, contendo as instrues de como atualizar
seus prefixos.
As mensagens Router Renumbering so formadas pelos seguintes campos:
Mais informaes:
RFC 4443 - Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6
(IPv6) Specification
Funcionalidades do
IPv6 #2
Mdulo 4
96
Determinado pelos protocolos de roteamento, cada enlace na rede pode possuir um valor
diferente de MTU, ou seja, uma limitao distinta em relao ao tamanho mximo do pacote que
pode trafegar atravs dele. Para que pacotes maiores que o MTU de enlace seja encaminhado, ele
deve ser fragmentado em pacotes menores, que sero remontados ao chegarem em seu destino.
Na transmisso de um pacote IPv4, cada roteador ao longo do caminho pode fragmentar os
pacotes, caso estes sejam maiores do que o MTU do prximo enlace. Dependendo do desenho da
rede, um pacote IPv4 pode ser fragmentado mais de uma vez durante seu trajeto atravs da rede,
sendo reagrupado no destino final.
No IPv6, a fragmentao dos pacotes realizada apenas na origem, no sendo permitida em
roteadores intermedirios. Este processo tem o intuito de reduzir o overhead do clculo dos
cabealhos alterados nos roteadores intermedirios.
Para isso, utilizado, no incio do processo de fragmentao, o protocolo Path MTU
Discovery, descrito na RFC 1981, que descobre de forma dinmica qual o tamanho mximo
permitido ao pacote, identificando previamente os MTUs de cada enlace no caminho at o
destino. O protocolo PMTUD deve ser suportado por todos os ns IPv6. No entanto,
Implementaes mnimas de IPv6 podem omitir esse suporte, utilizando 1280 Bytes como
tamanho mximo de pacote.
Aps o recebimento dessa mensagem, o n de origem reduz o
tamanho dos pacotes de acordo com o MTU indicado na mensagem
packet too big.
98
O processo de Path MTU Discovery se inicia assumindo que o MTU de todo o caminho
igual ao MTU do primeiro salto. Se o tamanho dos pacotes enviados for maior do que o suportado
por algum roteador ao longo do caminho, este ir descart-lo e retornar uma mensagem ICMPv6
packet too big, que devolve juntamente com a mensagem de erro, o valor do MTU do enlace
seguinte. Aps o recebimento dessa mensagem, o n de origem reduzir o tamanho dos pacotes de
acordo com o MTU indicado na mensagem packet too big.
Esse procedimento termina quando o tamanho do pacote for igual ou inferior ao menor
MTU do caminho, sendo que estas iteraes, de troca de mensagens e reduo do tamanho dos
pacotes, podem ocorrer diversas vezes at se encontrar o menor MTU. Caso o pacote seja enviado
a um grupo multicast, o tamanho utilizado ser o menor PMTU de todo o conjunto de destinos.
De um ponto de vista terico, o PMTUD pode parecer imperfeito, dado que o roteamento
dos pacotes dinmico, e cada pacote pode ser entregue atravs de uma rota diferente. No
entanto, essas mudanas no so to frequentes, e caso o valor do MTU diminua devido a uma
mudana de rota, a origem receber a mensagem de erro e reduzir o valor do Path MTU.
Mais informaes:
RFC 1981 - Path MTU Discovery for IP version 6
Jumbograms
IPv6 permite o envio de pacotes que possuam entre 65.536 e
4.294.967.295 Bytes de comprimento.
99
A RFC 2675 define uma opo do cabealho de extenso Hop-By-Hop chamada Jumbo
Payload. Esta opo permitir envio de pacotes IPv6 com cargas teis entre 65.536 e
4.294.967.295 Bytes de comprimento, conhecidos como jumbograms.
Ao enviar jumbograms, o cabealho IPv6 trar os campos Tamanho dos Dados e Prximo
Cabealho com o valor zero. Este ltimo indicar que as opes do cabealho de extenso HopBy-Hop devem ser processadas pelos ns, onde so indicados os tamanhos dos pacotes
jumbograms.
O cabealho UDP possui um campo de 16 bits chamado Tamanho, que indica o tamanho
do cabealho UDP mais o tamanho dos dados, no permitindo o envio de pacotes com mais
65.536 Bytes. Entretanto, possvel o envio de jumbograms definindo o campo Tamanho como
zero, deixando que o receptor extraia o tamanho real do pacote UDP a partir do tamanho do
pacote IPv6.
Nos pacotes TCP, as opes Maximum Segment Size (MSS), que negocia no incio da
conexo o tamanho mximo do pacote TCP a ser enviado, e Urgent Pointer, que indica um
deslocamento de Bytes a partir do nmero de seqncia em que dados com alta prioridade devem
ser encontrados, tambm no podem referenciar pacotes maiores que 65.535 Bytes. Deste modo,
para se enviar jumbograms preciso no caso do MSS, determinar seu valor como 65.535, que ser
tratado como infinito pelo receptor do pacote. Em relao ao Urgent Pointer, a soluo
semelhante, visto que se pode determinar o valor do Urgent Pointer como 65.535, indicando que
este est alm do final deste pacote.
Mais informaes:
RFC 2675 - IPv6 Jumbograms
Gerenciamento de Grupos
Multicast
100
Recapitulando o que foi dito no mdulo anterior, multicast uma tcnica que permite
enderear mltiplos ns como um grupo, possibilitando o envio de pacotes a todos os ns que o
compe a partir de um endereo nico que o identifica.
Os membros de um grupo multicast so dinmicos, sendo que os ns podem entrar e sair de
um grupo a qualquer momento, no existindo limitaes para o tamanho de um grupo multicast.
O gerenciamento dos grupos multicast no IPv6 realizado pelo Multicast Listener
Discovery (MLD), definido na RFC 2710. Este protocolo o responsvel por informar aos
roteadores multicast locais o interesse de ns em fazer parte ou sair de um determinado grupo
multicast. No IPv4, este trabalho realizado pelo protocolo Internet Group Management Protocol
(IGMPv2).
O MLD utiliza trs tipos de mensagens ICMPv6:
Multicast Listener Query (Tipo 130) - as mensagens Query possuem dois subtipos. A
General Query utilizada por roteadores verificar periodicamente os membros do
grupo, solicitando a todos os ns multicast reportem todos os grupos de que fazem
parte. A Multicast-Address-Specific Query utilizada por roteadores para descobrir se
existem ns fazendo parte de um determinado grupo;
Multicast Listener Report (Tipo 131) - mensagens Report no solicitadas so enviadas
por um n quando este comea a fazer parte de grupo multicast. Elas tambm so
geradas em resposta a mensagens Query;
Multicast Listener Done (Tipo 132) enviada pelos ns quando estes esto deixando
um determinado grupo.
Estas mensagens so enviadas com um endereo de origem link-local e com o valor 1 no
campo Limite de Encaminhamento, garantindo que elas permaneam na rede local. Caso o pacote
possua um cabealho Hop-by-Hop, a flag Router Alert ser marcada, deste modo, os roteadores
no descartaro o pacote, ainda que o endereo do grupo multicast em questo, no esteja sendo
ouvido por eles.
101
Uma nova verso do protocolo MLD, chamada de MLDv2, foi definida na RFC3810.
Equivalente ao IGMPv3, alm de incorporar as funcionalidades de gerenciamento de grupos do
MLD, esta nova verso introduziu o suporte a filtragem de origem, que permite a um n
especificar se no deseja receber pacotes de uma determinada origem, ou informar o interesse em
receber pacotes somente de endereos especficos. Por padro, os membros de um grupo recebem
pacotes de todos os membros deste grupo.
Outro mecanismo importante para o funcionamento dos grupos multicast, o Multicast
Router Discovery (MRD). Definido na RFC 4286, ele utilizado na descoberta de roteadores
multicast na rede. Ele utiliza trs mensagens ICMPv6:
Multicast Router Advertisement (Tipo 151)- esta mensagem enviada por roteadores
para anunciar que o roteamento IP multicast est habilitado. Ela enviada a partir do
endereo link-local do roteador para o endereo multicast all-snoopers (FF02::6A);
Multicast Router Termination (Tipo 153) Esta mensagem enviada por roteadores
para anunciar que suas interfaces no esto mais encaminhando pacotes IP multicast.
Ela enviada a partir do endereo link-local do roteador para o endereo multicast
all-snoopers (FF02::6A).
DNS
Imensa base de dados distribuda utilizada para a resoluo de
nomes de domnios em endereos IP e vice-versa.
Registros
www.ipv6.br. IN A
200.160.4.22
IN AAAA 2001:12ff:0:4::22
102
O protocolo Domain Name System (DNS) uma imensa base de dados distribuda
utilizada para a resoluo de nomes de domnios em endereos IP e vice-versa. Possui uma
arquitetura hierrquica, com dados dispostos em uma rvore invertida, distribuda eficientemente
em um sistema descentralizado e com cache.
Para que o DNS trabalhe com a verso 6 do protocolo IP, algumas mudanas foram
definidas na RFC 3596.
Um novo registro foi criado para armazenar os endereos IPv6 de 128 bits, o AAAA ou
quad-A. Sua funo traduzir nomes para endereos IPv6, equivalente ao registro A utilizado
com o IPv4. Caso um host possua mais de um endereo IPv6, ele ter um registro quad-A para
cada endereo. Os registros so representados como se segue:
Exemplo:
www.ipv6.br. IN A 200.160.4.22
IN AAAA 2001:12ff:0:4::22
DNS
www.ipv6.br.
2.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.0.0.0.0.0.0.0.f.f.2.1.1.0.0.2.ip6.arpa
PTR www.ipv6.br.
Obsoletos
Registros
A6
DNAME
103
ip6.int
Para resoluo de reverso, foi adicionado o registro PTR ip6.arpa, responsvel por traduzir
endereos IPv6 em nomes. Em sua representao, omitir sequncia de zeros no permitido e o
bit menos significativo colocado mais a esquerda, como possvel observar no exemplo a
seguir:
Exemplo:
22.4.160.200.in-addr.arpa PTR www.ipv6.br.
2.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.0.0.0.0.0.0.0.f.f.2.1.1.0.0.2.ip6.arpa
PTR www.ipv6.br.
Os outros tipos de registro DNS no sofreram alteraes, apenas foram adaptados para
suportar o novo tamanho dos endereos.
A RFC 2874 introduziu os registros A6 e DNAME, com o intuito de facilitar renumerao
de redes, onde cada nameserver detm apenas uma parte do endereo IPv6. Inicialmente o
domnio para resoluo de reverso, definido na RFC 1886, era o ip6.int, no entanto, houve
manifestaes contrrias a sua utilizao, pois, o .int significa "internacional", e no deve servir
para fins administrativos na Internet. Os registros A6 e DNAME tornaram-se obsoletos pelo
desuso, e o domnio .int foi substitudo pelo .arpa, respectivamente nas RFCs 3363 e 3152,
DNS
A base de dados de um servidor DNS pode armazenar tanto
registros IPv6 quanto IPv4.
104
O suporte a IPv6 do DNS deve ser observado por dois aspectos. O primeiro, que um
servidor DNS deve ser capaz de armazenar registros quad-A para endereos IPv6. O segundo
aspecto, se um servidor DNS capaz de transportar consultas e respostas atravs de conexes
IPv6. Isto , a base de dados de um servidor DNS pode armazenar tanto registros IPv6 quanto
IPv4, independente verso de IP em que este servidor opera.
Com isso, um servidor com conexo apenas IPv4 pode responder tanto consultas AAAA
quanto A. No entanto, as informaes obtidas na consulta via IPv6 devem ser iguais s obtidas na
consulta IPv4.
Mais informaes:
RFC 3596 - DNS Extensions to Support IP Version 6
RFC 3363 - Representing Internet Protocol version 6 (IPv6) Addresses in the Domain Name
System (DNS)
RFC 3364 - Tradeoffs in Domain Name System (DNS) Support for Internet Protocol version 6
(IPv6)
QoS
O protocolo IP trata todos os pacotes da mesma forma, sem
nenhuma preferncia.
VoIP
Videoconferncia
Jogos online
Entre outros...
Utiliza-se o conceito de QoS (Quality of Service), ou em
portugus, Qualidade de Servio.
QoS
DiffServ: trabalha por meio de classes, agregando e priorizando
pacotes com requisitos QoS similares.
O DiffServ trabalha por meio de classes, agregando e priorizando pacotes com requisitos
QoS similares.
Pacotes DiffServ so identificados pelos oito bits dos campos Tipo de Servio do IPv4 e
Classe de Trfego do IPv6, com o intuito de identificar e distinguir as diferentes classes ou
prioridades de pacotes que necessitem de QoS.
Ambos os campos possuem as mesmas definies e as prioridades atribudas a cada tipo de
pacote podem ser definidos tanto na origem quanto nos roteadores, podendo tambm, serem
redefinidas ao longo do caminho por roteadores intermedirios. Pacotes que no necessitem de
QoS o campo Classe de Trfego apresenta o valor zero.
Comparado com o IntServ, o DiffServ no exige qualquer identificao ou gerencia dos
fluxos, alm de ser geralmente mais utilizado nas redes, devido a sua facilidade de implantao.
QoS
IntServ: baseia-se na reserva de recursos por fluxo. Normalmente
associado ao protocolo RSVP (Resource ReSerVation Protocol).
O modelo IntServ baseia-se na reserva de recursos por fluxo e sua utilizao est
normalmente associada ao protocolo RSVP. O RSVP utilizado para reservar o recurso ao longo
do caminho da fonte at o destino de um fluxo que requer QoS.
No IPv6, para identificar os fluxos que necessitam de QoS so utilizados os 20 bits do
campo Identificador de Fluxo, que so preenchidos com valores aleatrios entre 00001 e FFFFF.
Pacotes que no pertencem a um fluxo devem marcar o campo Identificador de Fluxo com zeros.
Os hosts e roteadores que no tm suporte as funes deste campo devem preencher este campo
com os zeros quando enviarem um pacote, no alter-lo ao encaminharem um pacote, ou ignor-lo
quando receberem um pacote. Pacotes de um mesmo fluxo devem possuir o mesmo endereo de
origem e destino, e o mesmo valor no campo Identificador de Fluxo.
O RSVP utiliza alguns elementos do protocolo IPv6, como o campo Identificador de Fluxo
e o cabealho de extenso Hop-by-Hop. Pacotes RSVP so enviados com o mesmo valor no
campo Identificador de Fluxo, junto com o cabealho de Extenso Hop-By-Hop, usado para
transportar uma mensagem Router Alert, indicando para cada roteador no caminho do trfego
QoS, que o pacote IP dever ser processado.
Mais informaes:
RFC 1633 - Integrated Services in the Internet Architecture: an Overview
RFC 2205 - Resource ReSerVation Protocol (RSVP)
RFC 2475 - An Architecture for Differentiated Services
RFC 3260 - New Terminology and Clarifications for Diffserv
Mobilidade IPv6
Permite que um dispositivo mvel se desloque de uma rede para
outra sem necessidade de alterar seu endereo IP de origem,
tornando a movimentao entre redes invisvel para os protocolos
das camadas superiores.
108
N Mvel - dispositivo que pode mudar de uma rede para outra enquanto continua
recebendo pacotes atravs de seu Endereo de Origem;
Mobilidade IPv6
Funcionamento
Deslocamento
O N Mvel possui um Endereo de Origem fixo, que lhe atribudo pela sua Rede de
Origem. Mesmo quando o n se desloca de sua Rede de Origem, este endereo mantido.
Ao ingressar em uma Rede Remota, o N Mvel recebe um ou mais Endereos Remotos
atravs dos mecanismos de autoconfigurao, constitudos de um prefixo vlido na Rede Remota.
Para assegurar que os pacotes IPv6 destinados ao seu Endereo de Origem sejam recebidos, o n
realiza uma associao entre o Endereo de Origem e o Endereo Remoto, registrando seu novo
endereo no Agente de Origem, atravs do envio de uma mensagem Binding Updates. Como
resposta a essa mensagem, o roteador da Rede de Origem envia uma mensagem Binding
Acknowledgement.
Essa associao de endereos tambm pode ser feita diretamente com o N
Correspondente, com o intuito de otimizar a comunicao.
Para o N Mvel detectar que retornou a sua rede, ele utiliza o processo de Descoberta de
Vizinhos Inacessveis, para detectar se o seu roteador padro est ativo. Caso ele localize um novo
roteador padro, ele ir gerar um novo endereo baseado no prefixo anunciado na mensagem RA.
No entanto, encontrar um novo roteador padro no significa necessariamente que ele esteja em
uma nova rede, pode ser apenas uma renumerao em sua rede ou a adio de um novo roteador.
Com isso, antes de realizar a associao de endereos com o Agente de Origem e com os Ns
Correspondentes, o N Mvel tenta localizar novamente seu roteador padro e ir comparar se o
intervalo entre o envio de mensagens RA no solicitadas o mesmo que o configurado em sua
Rede Original.
Quando o N Mvel retorna a sua Rede de Origem, ele envia uma mensagem Binding
Updates informando ao Agente de Origem o seu retorno e que este no precisa mais lhe
encaminhar os pacotes.
Mobilidade IPv6
Tam. cab. de
extenso
Tipo de Mensagem
Mobility
Reservado
Soma de Verificao
Dados
112
Mobilidade IPv6
113
Mobilidade IPv6
114
Mobilidade IPv6
Descoberta
extenso...
de
Vizinhana,
ICMPv6, cabealhos
de
A busca por agentes de origem realizada pelo n mvel passou a ser feita utilizando
anycast. Desta forma, o n mvel receber apenas a reposta de um nico agente de origem.
Com o IPv4, utiliza-se broadcast, o que implica em uma resposta separada para cada
agente de origem existente.
Mais informaes:
RFC 3775 - Mobility Support in IPv6
116
Protocolos de
Roteamento
Mdulo 5
117
Roteamento
Definies Importantes
Roteamento
Protocolos de Roteamento
Interno (IGP)
Externo (EGP)
Tabela de Roteamento
Agregao de Prefixos
Rota Esttica
Roteamento - mecanismo que possibilita encaminhar pacotes de dados entre quaisquer dois
hosts conectados Internet.
Rota Default representa a rota para todos os endereos de destino que no so explicitamente
listados na tabela de rotas (::/0).
RIPng
Limitaes
Mais informaes:
RFC 2080 - RIPng for IPv6
119
RIPng
Prefixo do destino
Mtrica
Prximo salto
Mudana de rota
120
RIPng
8 bits
Comando
Verso
16 bits
Reservado
RTE
OSPFv3
Dijkstra
Baseado no OSPFv2
122
Mais informaes:
RFC 5340 - OSPF for IPv6
OSPFv3
123
OSPFv3
Mudanas na autenticao
124
IS-IS
Intermediate System to Intermediate System (IS-IS) - protocolo
IGP do tipo link-state
Desenvolvido originalmente para funcionar sobre o protocolo
CLNS
Endereamento
NSAP
NET
L2 = Backbone
L1 = Stub
L2L1= Interligao L2 e L1
125
IS-IS
IPv6 Reachability
IPv6 NLPID
Mais informaes:
RFC 1195 - Use of OSI IS-IS for Routing in TCP/IP and Dual Environments
RFC 5308 - Routing IPv6 with IS-IS
126
Multiprotocolo BGP
RIB
Open
Update
Keepalive
Notification
Mais informaes:
RFC 4271 - A Border Gateway Protocol 4 (BGP-4)
RFC 4760 - Multiprotocol Extensions for BGP-4
127
Multiprotocolo BGP
Atributos do BGP
ORIGIN
AS_PATH
NEXT_HOP
MULTI_EXIT_DISC
LOCAL_PREF
ATOMIC_AGGREGATE
AGGREGATOR
eBGP
iBGP
128
Multiprotocolo BGP
Mais informaes:
RFC 2545 - Use of BGP-4 Multiprotocol Extensions for IPv6 Inter-Domain Routing
Multiprotocolo BGP
MP_REACH_NLRI
Reserved (1 Byte)
MP_UNREACH_NLRI
130
Roteamento Global
IPv6 vs. IPv4
ROTAS
ROTAS
AGREGADAS
ASs
IPv6
IPv4
2.118
301.351
1.921
(90,69%)
1.624
186.478
(61,88%)
32.189
131
132
Gerenciamento e
Monitoramento de
Redes IPv6
Mdulo 6
133
Gerenciamento e
Monitoramento
LAN
WAN
Acesso Remoto
Segurana
Manuteno
Acesso s informaes
134
Funes bsicas
Acesso Remoto:
SSH;
TELNET.
Transferncia de Arquivos
SCP;
FTP;
TFTP.
135
Umas das funes mais bsicas de gesto de redes, o acesso remoto a outros dispositivos.
Neste aspecto, os principais protocolos existentes j so capazes de operar sobre IPv6.
Os protocolos Telnet e SSH (Secure Shell), utilizados para estabelecer conexes remotas a
outros dispositivos da rede, j permitem o acesso via conexes IPv6. Aplicativos como OpenSSH
e PuTTy, por exemplo, j oferecem essa funcionalidade.
Do mesmo modo, realizar a transferncia de arquivos entre dispositivos remotos via IPv6,
j possvel atravs de protocolos como SCP, TFTP e FTP. O FTP inclusive, foi um dos
primeiros protocolos a serem adaptados para trabalhar sobre IPv6.
SNMP e MIBs
de
dois
utilizao
SNMP e MIBs
InetAddressType
InetAddress
137
Mais informaes:
RFC 1157 - A Simple Network Management Protocol (SNMP)
RFC 4001 - Textual Conventions for Internet Network Addresses
RFC 4292 - IP Forwarding Table MIB
Monitoramento de Fluxo
Para anlises mais detalhadas de uma rede, podemos aplicar uma abordagem alternativa
que consiste em recolher informaes sobre cada pacote. Neste mtodo, equipamentos de rede,
por exemplo, um roteador, enviam periodicamente informaes sobre um determinado fluxo de
dados para um dispositivo chamado coletor, que armazena e interpreta esses dados.
Um fluxo de dados pode ser definido como um conjunto de pacotes pertencentes mesma
aplicao que possuem o mesmo endereo de origem e destino. Os principais protocolos
utilizados para a transmisso de informaes sobre um fluxo IP de uma rede, tambm j esto
preparados para coletar dados sobre o trfego IPv6.
O NetFlow, protocolo desenvolvido pela Cisco Systems definido na RFC 3954, uma
eficiente ferramenta utilizada, entre outras coisas, para contabilizao e caracterizao de trfego
de redes, planejamento de redes e deteco de ataques DoS e DDoS. O protocolo NetFlow com
suporte IPv6 encontra-se implementado a partir do Cisco IOS 12.3(7)T, no entanto, esta
implementao ainda utiliza o protocolo IPv4 para a exportao de dados.
Do mesmo modo, o protocolo IPFIX (IP Flow Information Export), proposto pela IETF na
RFC 3917, tambm capaz de exportar e coletar dados sobre o trfego IPv6.
Mais informaes:
RFC 3917 - Requirements for IP Flow Information Export (IPFIX)
RFC 3954 - Cisco Systems NetFlow Services Export V9
NTP
a.ntp.br
ntp.pop-sc.rnp.br
ntp.pop-rs.rnp.br
ntp.cert-rs.tche.br
ntp.pop-mg.rnp.br
139
Mais informaes:
RFC 1305 - Network Time Protocol (Version 3) Specification, Implementation and Analysis
Ferramentas de Monitoramento
ARGUS
NAGIOS
140
Existem diversas ferramentas que auxiliam no monitoramento de uma rede. Utilitrios para
gerenciamento de trfego, elaborao de grficos e relatrios sobre o status de equipamentos e
links, anlise de trfego e diversas outras tarefas, so utilizados frequentemente por
administradores de redes, sendo que muitas dessas ferramentas j possuem suporte o IPv6. Entre
essas ferramentas podemos destacar:
Ferramentas de Monitoramento
NTOP
MRTG
Desenvolvido em C e Perl;
Utiliza SNMP para obter informaes dos dispositivos gerenciados;
Anlisde dos dados atravs de grficos visualizados em formato
HTML;
Suporte a IPv6 desde a verso 2.10.0.
141
NTOP (Network Traffic Probe) - capaz de detalhar a utilizao da rede por host,
protocolo, etc., permitindo a visualizao de estatsticas do trfego, anlise do trfego
IP, deteco de violaes de segurana na rede, entre outras funes. Possui suporte a
trfego IPv6;
MRTG (Multi Router Traffic Grapher) - Desenvolvido em C e Perl, utiliza o SNMP
para obter informaes de trfego dos dispositivos gerenciados. Todos os dados
obtidos atravs do protocolo SNMP podem ser monitorados por esta ferramenta e
analisados atravs de grficos visualizados em formato HTML. Suporte a IPv6 desde
a verso 2.10.0.
Ferramentas de Monitoramento
Pchar
Rancid
Monitora configuraes de equipamentos;
Desenvolvida nas linguagens Perl, Shell e C;
Disponibiliza um looking glass;
capaz de caracterizar o caminho entre dois hosts em redes
IPv6.
142
Ferramentas de Monitoramento
Wireshark
Looking Glass
roteadores
sem
143
144
Segurana
Mdulo 7
145
Segurana
IPv4
...
Segurana no IPv6
Tcnicas de transio;
Modelo fim-a-fim;
Mobilidade IPv6;
Segurana no IPv6
Ferramentas de Segurana
IPSec
Extenses de Privacidade
148
No IPv6 a segurana foi uma preocupao desde o incio, vrias ferramentas de segurana
foram implementadas no protocolo.
Segurana no IPv6
Estratgia de Implantao
Roteadores wireless
Sistemas sem firewall
Projetos de ltima hora / demonstraes
Projetos sem o envolvimento de especialistas em seg.
Ou...
Planejamento (Plan)
Implantao (Do)
Verificao (Check)
Ao (Act)
149
Segurana no IPv6
150
interessante notar quantos sistemas so capazes de executar o IPv6, e que muitos deles
vm com o protocolo habilitado por padro. A lista inclui Sistemas Operacionais, telefones
celulares, equipamentos de redes, entre outros.
Segurana no IPv6
151
Segurana no IPv6
152
Da mesma forma, malwares que fazem uso do IPv6 ou atacam sistemas IPv6 vm sendo
reportados pelo menos desde 2001.
Segurana no IPv6
153
Segurana no IPv6
154
Segurana no IPv6
155
Segurana no IPv6
156
Segurana no IPv6
157
Apesar do IP tratar da camada de rede, implicaes nas outras camadas podem levar
tambm a vulnerabilidades ou problemas.
Segurana no IPv6
158
O IPv6 oferece vrias ferramentas tanto para defesa, quanto para o ataque:
Defesa:
IPsec
SEND
Crypto-generated Address
Unique Local Addresses
Privacy Addresses
Ataque:
Tnel automtico
Neighbor Discovery e autoconfigurao
Modelo fim a fim
Novidade / Complexidade
Falta de polticas, treinamentos e ferramentas.
Deve-se:
Ter preocupao com segurana e envolver a equipe de segurana desde o incio
Obter equipamentos certificados
Educao / Treinamento
Fazer upgrade das ferramentas e processos de segurana
Desenvolver prticas de programao adequadas (e seguras) para IPv6
Procurar auditorias / equipes de teste que conheam IPv6
IPSec
Implementa criptografia e autenticao de pacotes na camada de
rede.
Associaes de segurana.
Suporte obrigatrio.
Suporte opcional.
159
O IPSec foi desenvolvido para o IPv4 e pouca coisa muda com o IPv6. Contudo o suporte
passa a ser mandatrio, e no h a NAT para atrapalhar o funcionamento.
IPSec
Framework de segurana - utiliza recursos independentes para
realizar suas funes.
Autenticao da origem;
Confidencialidade;
Autenticao da origem;
IPSec - AH
Tam. cab. de
extenso
Reservado
IPSec - ESP
Dados + Complemento
Tamanho do
complemento
Prximo
Cabealho
163
Manual
Automtica
ISAKMP
OAKLEY
SKEME
IKEv1
IKEv2
164
Mais informaes:
RFC 4301 - Security Architecture for the Internet Protocol
No h mecanismos de proteo.
Mais informaes:
RFC 3756 - IPv6 Neighbor Discovery (ND) Trust Models and Threats
RFC 3971 - SEcure Neighbor Discovery (SEND)
SEND
Cadeia de certificados.
Gerados criptograficamente.
Endereos bogons.
167
Endereos - CGA
Endereos IPv6 cujas IIDs so geradas criptograficamente
utilizando uma funo hash de chaves pblicas.
Parmetro de segurana.
Mais informaes:
RFC 3972 - Cryptographically Generated Addresses (CGA)
Mais informaes:
RFC 4864 - Local Network Protection for IPv6
RFC 4941 - Privacy Extensions for Stateless Address Autoconfiguration in IPv6
Segurana no IPv6
Sniffing
Man-in-the-Middle
Vrus
DoS
Muitas implementaes da pilha IPv6 ainda no suportam IPSec integralmente. Assim, ele
vem sendo usado sem o suporte criptogrfico. Mesmo quando este utilizado, vrias questes de
segurana em redes IP ainda esto presentes. Mas o IPv6 pode potencialmente melhorar a
segurana na Internet.
DoS: No existem endereos broadcast em IPv6
Evita ataques atravs do envio de pacotes ICMP para o endereo de broadcast.
As especificaes do IPv6 probem a gerao de pacotes ICMPv6 em resposta a mensagens
enviadas para endereos globais multicast (com a exceo da mensagem packet too big).
Muitos Sistemas Operacionais seguem a especificao;
Ainda h alguma incerteza sobre o perigo que pode ser criado por pacotes ICMPv6 com
origem em endereos multicast globais.
Recomendaes
173
Recomendaes
Mais informaes:
RFC 3704 - Ingress Filtering for Multihomed Networks
RFC 4890 - Recommendations for Filtering ICMPv6 Messages in Firewalls
Recomendaes
175
176
Coexistncia e
Transio
Mdulo 8
177
Para que a transio entre os dois Protocolo Internet ocorra de forma gradativa e sem
maiores impactos no funcionamento das redes, necessrio que exista um perodo de coexistncia
entre os protocolos IPv4 e IPv6.
Neste mdulo, aprenderemos as diferentes tcnicas de transio utilizadas, analisando os
conceitos bsicos do funcionamento da Pilha Dupla, dos Tneis e das Tradues, de modo a
entender em qual situao cada tcnica melhor aplicada.
Coexistncia e Transio
Coexistncia e Transio
Pilha Dupla
Tunelamento
Traduo
Tunelamento: que permite o trfego de pacotes IPv6 sobre estruturas de rede IPv4; e
Traduo: que permite a comunicao entre ns com suporte apenas a IPv6 com ns
que suportam apenas IPv4.
179
Pilha Dupla
180
Nesta fase inicial de implementao do IPv6, ainda no aconselhvel ter ns com suporte
apenas a esta verso do protocolo IP, visto que muitos servios e dispositivos de rede ainda
trabalham somente sobre IPv4. Deste modo, uma possibilidade a de se introduzir o mtodo
conhecido como pilha dupla.
A utilizao deste mtodo permite que hosts e roteadores estejam equipados com pilhas
para ambos os protocolos, tendo a capacidade de enviar e receber os dois pacotes, IPv4 e IPv6.
Com isso, um n Pilha Dupla, ou n IPv6/IPv4, na comunicao com um n IPv6, se comportar
como um n apenas IPv6, e na comunicao com um n IPv4, se comportar como um n apenas
IPv4.
Cada n IPv6/IPv4 configurado com ambos endereos, utilizando mecanismos IPv4 (ex.
DHCP) para adquirir seu endereo IPv4, e mecanismos do protocolo IPv6 (ex. autoconfigurao
e/ou DHCPv6) para adquirir seu endereo IPv6.
Este mtodo de transio pode facilitar o gerenciamento da implantao do IPv6, por
permitir que este seja feito de forma gradual, configurando pequenas sees do ambiente de rede
de cada vez. Alm disso, caso no futuro o IPv4 no seja mais usado, basta simplesmente
desabilitar a pilha IPv4 de cada n.
180
Pilha Dupla
Tcnicas de Tunelamento
Roteador-a-Roteador
Host-a-Roteador
Roteador-a-Host
Host-a-Host
182
Mais informaes:
RFC 4213 - Basic Transition Mechanisms for IPv6 Hosts and Routers
Tcnicas de Tunelamento
Protocolo 41.
Protocolo GRE.
TEREDO.
183
Tunnel Broker
Descrita na RFC 3053, essa tcnica permite que hosts IPv6/IPv4 isolados em uma rede
IPv4 acessem redes IPv6. Seu funcionamento bastante simples, primeiramente necessrio
cadastrar-se em um provedor de acesso Tunnel Broker e realizar o download de um software ou
script de configurao. A conexo do tnel estabelecida atravs da solicitao do servio ao
Servidor Web do provedor, que aps autenticao, verifica qual tipo de conexo o cliente est
utilizado (IPv4 pblico ou NAT) e lhe atribui um endereo IPv6. A partir desse ponto, o cliente
pode acessar qualquer host na Internet.
Mais informaes:
RFC 3053 - IPv6 Tunnel Broker
6to4
186
6to4
Comunicao Cliente 6to4 com Cliente 6to4 em redes diferentes
Note-se que o trfego na rede local nativo IPv6, ele encapsulado
apenas entre os roteadores 6to4
187
Equipamento
C1
R1
R2
C2
Rota
::/0 atravs de R1
2002:0102:0304:1::/64 atravs da interface LAN
::/0 atravs do Relay 6to4 utilizando a interface virtual 6to4
2002::/16 atravs da interface virtual 6to4
2002:0102:0304:1/64 para a rede local atravs da interface LAN
::/0 atravs de R2
2002:0102:0305:1:/64 para a rede local atravs da interface LAN
::/0 atravs do Relay 6to4 utilizando a interface virtual 6to4
2002::/16 atravs da interface Virtual 6to4
2002:0102:0305:1:/64 para a rede local atravs da interface LAN
1- Analisando a tabela de roteamento, nota-se que o pacote enviado atravs da rede local IPv6
para o roteador R1 utilizando a rota ::/0;
2- O pacote IPv6 recebido por R1 atravs da interface LAN. R1 verifica sua tabela de
roteamento e descobre que deve enviar o pacote para a sua interface virtual 6to4 (rota para rede
2002::/16). Nesta interface o pacote IPv6 encapsulado em um pacote IPv4 (protocolo tipo 41)
que endereado ao roteador R2 (endereo extrado do endereo IPv6 do destinatrio do pacote
original);
3- O pacote IPv6 encapsulado em IPv4 recebido por R2 atravs da sua interface IPv4 ou WAN.
Como o pacote do tipo 41, ele encaminhado interface virtual 6to4, que o desencapsula.
Consultando a sua tabela de roteamento, R2 descobre que o pacote destinado sua rede local
2002:0102:03:05:1::/64, sendo assim, ele encaminha atravs da sua rede local o pacote IPv6 ao
computador C2.
Nos passos seguintes o sistema de comunicao o mesmo, mudando apenas a direo de
encaminhamento do pacote.
6to4
Comunicao Cliente/Roteador 6to4 com servidor IPv6
2002:0102:0308:1::1
188
Equipamento
HR1
RL1
S1
R1
Rota
::/0 atravs da interface virtual 6to4
2002::/16 atravs da interface virtual 6to4
::/0 rede IPv6 atravs da interface LAN
2002::/16 atravs da interface virtual 6to4
Rota padro atravs de R1
2002::/16 atravs do Relay RL1 (rota descoberta atravs da divulgao via BGP)
1- HR1 envia um pacote IPv6 para S1, atravs da tabela de roteamento o pacote direcionado
para a interface virtual 6to4. Esta encapsula o pacote IPv6 em um pacote IPv4 (protocolo 41) e
coloca como destino o endereo do Relay, que pode ser especificado manualmente ou ento
descoberto automaticamente atravs do encaminhamento do pacote para o endereo anycast
192.88.99.1;
2- O Relay RL1 recebe o pacote encapsulado atravs do seu IPv4 ou anycast, como o protocolo
do pacote 41, ele desencapsula o pacote IPv6, e atravs da sua tabela de roteamento, descobre
que o pacote deve ser enviado para S1 atravs da sua interface LAN na rede IPv6;
3- Depois de recebido o pacote, S1 responde utilizando a sua rota padro atravs do roteador R1
da sua rede. O roteador R1 recebeu via BGP a rota para a rede 2002::/16, e encaminha o pacote
para o Relay RL1;
4- RL1 recebe o pacote e v que ele destinado rede 6to4, sendo assim, ele encaminha o pacote
para a interface virtual 6to4, que o encapsula em um pacote IPv4 (protocolo 41) e atravs do
endereo IPv4 implcito no endereo IPv6 do destinatrio, o pacote encaminhado para HR1.
HR1 recebe o pacote na sua interface IPv4, v que est sendo utilizado o protocolo 41 e
desencapsula o pacote IPv6 atravs da interface virtual 6to4.
6to4
Comunicao Cliente 6to4 com servidor IPv6 utilizando
apenas um Relay 6to4 (Rota de ida e volta iguais):
189
Equipamento
Rota
RL1
::/0 rede IPv6 atravs da interface LAN / 2002::/16 atravs da interface virtual 6to4
RL2
::/0 rede IPv6 atravs da interface LAN / 2002::/16 atravs da interface virtual 6to4
S1
R2
2002::/16 atravs do Relay RL1 (rota descoberta atravs da divulgao via BGP)
R1
::/0 atravs do Relay 6to4 RL1 ou RL2 utilizando a interface virtual 6to4
2002::/16 atravs da interface virtual 6to4
2002:0102:0304:1/64 para a rede local atravs da interface LAN
C1
::/0 atravs de R1 /
C2
::/0 atravs de R1 /
1- De acordo com a tabela de roteamento, o pacote enviado atravs da rede local IPv6 para o roteador R1 utilizando
a rota ::/0;
2- O pacote IPv6 recebido por R1 atravs da interface LAN, que verifica a sua tabela de roteamento e descobre que
o pacote deve ser encaminhado para a interface virtual 6to4 (rota para rede 2002::/16). Nesta interface o pacote IPv6
encapsulado em um pacote IPv4 (protocolo tipo 41) enviado ao Relay RL1 ou RL2 (O Relay 6to4 pode ser
definido manualmente no roteador 6to4 ou ento automaticamente atravs da utilizao do endereo anycast
192.88.99.1). Vamos supor que o pacote foi enviado para o Relay RL1;
3- RL1 recebe o pacote 6to4 atravs de sua interface IPv4, e como o pacote utiliza o protocolo 41, ele o encaminha
para a interface virtual, que desencapsula o pacote IPv6 e verifica na tabela de roteamento que deve envi-lo pela
interface LAN atravs do roteador R2, que simplesmente repassa o pacote IPv6 ao servidor S1;
4- S1 responde com o envio de outro pacote IPv6 com destino ao Cliente C1 utilizando a sua rota padro que aponta
para o roteador R2. R2 recebe o pacote e atravs da rota recebida via BGP, ele sabe que deve envi-lo para o relay
mais prximo, neste caso RL1;
5- RL1 recebe o pacote IPv6 e verifica que o destino a rede 6to4 (2002::/16). Sendo assim, de acordo com sua
tabela de roteamento, o pacote encaminhado para a interface virtual 6to4, que o empacota em um pacote IPv4
(protocolo 41) e o envia ao endereo IPv4 implcito no endereo IPv6 do destinatrio do pacote;
6- O roteador R1 recebe o pacote atravs de seu endereo IPv4, como o pacote est utilizando o protocolo 41, este
encaminhado interface virtual 6to4, que o desencapsula e verifica o endereo de destino. De acordo com sua tabela
de roteamento ela envia o pacote IPv6 atravs da sua interface LAN para o Cliente 6to4 C1.
6to4
Comunicao Cliente 6to4 com servidor Ipv6 utilizando
dois relays 6to4 diferentes(Rota de ida e volta diferentes)
190
Equipamento
Rota
RL1
::/0 rede IPv6 atravs da interface LAN / 2002::/16 atravs da interface virtual 6to4
RL2
::/0 rede IPv6 atravs da interface LAN / 2002::/16 atravs da interface virtual 6to4
S2
R3
2002::/16 atravs do Relay RL2 (rota descoberta atravs da divulgao via BGP)
R1
::/0 atravs do Relay 6to4 RL1 ou RL2 utilizando a interface virtual 6to4
2002::/16 atravs da interface virtual 6to4
2002:0102:0304:1/64 para a rede local atravs da interface LAN
C1
C2
1- De acordo com a tabela de roteamento, o pacote enviado atravs da rede local IPv6 para o roteador R1 utilizando
a rota ::/0;
2- O pacote IPv6 recebido por R1 atravs da interface LAN, que verifica sua tabela de roteamento e descobre que
deve enviar o pacote para a interface virtual 6to4 (rota para rede 2002::/16). Nesta interface o pacote IPv6
encapsulado em um pacote IPv4 (protocolo tipo 41) e enviado ao Relay RL1 ou RL2 (O Relay 6to4 pode ser definido
manualmente no roteador 6to4 ou ento automaticamente atravs da utilizao do endereo anycast 192.88.99.1).
Vamos supor que o pacote foi enviado para o Relay RL1;
3- RL1 recebe o pacote 6to4 atravs de sua interface IPv4, v que o pacote utiliza o protocolo 41 e o encaminha para
a interface virtual. Esta desencapsula o pacote IPv6 e verifica na sua tabela de roteamento que deve envi-lo pela
interface LAN atravs do roteador R3, que simplesmente repassa o pacote IPv6 ao servidor S2;
4- S2 responde com o envio de outro pacote IPv6 com destino ao Cliente C2 utilizando a sua rota padro que aponta
para o roteador R3. R3 recebe o pacote e atravs da rota recebida via BGP, ele sabe que deve envi-lo para o relay
mais prximo que RL2;
5- RL2 recebe o pacote IPv6 e verifica que o destino a rede 6to4 (2002::/16). Deste modo, de acordo com sua
tabela de roteamento, ele encaminha o pacote para a interface virtual 6to4, que o empacota em um pacote IPv4
(protocolo 41) e o envia ao endereo IPv4 implcito no endereo IPv6 do destinatrio do pacote;
6- O roteador R1 recebe o pacote atravs de seu endereo IPv4, verifica que o pacote est utilizando o protocolo 41 e
o encaminha interface virtual 6to4. Esta o desencapsula e verifica o endereo de destino. De acordo com sua tabela
de roteamento e o endereo de destino, o pacote IPv6 enviado atravs da sua interface LAN para o Cliente 6to4 C2.
6to4
Segurana
Os Relay roteador no verifica os pacotes IPv6 que esto
encapsulados em IPv4, apesar dele os encapsular e
desencapsular;
191
ISATAP
Endereamento
Nesta tcnica, o endereo IPv4 dos clientes e roteadores so utilizados
como parte dos endereos ISATAP. Com isso, um n ISATAP pode
determinar facilmente os pontos de entrada e sada dos tneis IPv6,
sem utilizar nenhum protocolo ou recurso auxiliar.
O formato do endereo ISATAP segue o seguinte formato:
Prefixo unicast : qualquer prefixo unicast vlido em IPv6, que pode ser linklocal (FE80::/64) ou global;
ID IPv4 pblico ou privado: Se o endereo IPv4 for pblico, este campo deve ter
o valor "200" e se for privado (192.168.0.0/16, 172.16.0.0/12 e 10.0.0.0/8) o valor
do campo zero;
ID ISATAP: Sempre tem o valor 5EFE;
193
Endereo IPv4: o IPv4 do cliente ou roteador em formato IPv4;
Endereo IPv4
Endereo IPv6/ISATAP
250.140.80.1
2001:10fe:0:8003:200:5efe:250.140.80.1
fe80::200:5efe:250.140.80.1
192.168.50.1
2001:10fe:0:8003:0:5efe:192.168.50.1
fe80:0:5efe:250.140.80.1
ISATAP
Incio
194
1- Neste passo o cliente tenta determinar o endereo IPv4 do roteador, se o endereo IPv4 j no
estiver determinado na sua configurao. No caso do Windows ele tenta por padro resolver o
nome ISATAP e ISATAP.domnio-local via resoluo local ou servidor DNS;
2- O servidor DNS retorna o IPv4 do roteador ISATAP (se for o caso);
3- O cliente envia uma mensagem de solicitao de roteador (RS) encapsulada em IPv4 ao
roteador ISATAP;
4- O Roteador ISATAP responde com uma mensagem de Anncio de Roteador (RA) encapsulada
em IPv4, com isso, o cliente j pode configurar os seus endereos IPv6/ISATAP.
ISATAP
Comunicao entre clientes ISATAP na mesma rede
195
ISATAP
Comunicao entre clientes ISATAP em redes diferentes
196
1.O cliente ISATAP C1 quer enviar um pacote IPv6 para o cliente C2. Atravs de sua tabela de
roteamento ele descobre que tem que envi-lo utilizando a interface virtual ISATAP, com isso, o
pacote encapsulado em IPv4 (protocolo 41) e enviado ao endereo IPv4 do roteador R1;
2.O roteador R1 recebe o pacote atravs de sua interface IPv4, mas, como o pacote IPv6 est
encapsulado utilizando o protocolo 41, ele o desencapsula (utilizando a interface virtual ISATAP)
e verifica o endereo IPv6 do destino. Depois disso ele descobre que a rota para o destino
atravs da rede IPv6, sendo assim, o pacote desencapsulado (IPv6 nativo) encaminhado para o
roteador R2;
3.O roteador R2 recebe o pacote IPv6 em sua interface IPv6, mas verificando o endereo de
destino, descobre que ele para o cliente C2 que est na sua subrede ISATAP, sendo assim, ele
envia o pacote atravs desta interface, que encapsula novamente o pacote IPv6 em um pacote IPv4
e o envia a C2 (baseado no IPv4 que est implcito no IPv6). O cliente ISATAP C1 recebe o
pacote IPv4 e desencapsula o pacote IPv6 (atravs da interface virtual ISATAP);
4.O cliente ISATAP C2 quer responder ao cliente C1, sendo assim, ele verifica a sua tabela de
rotas e conclui que tem que enviar o pacote atravs da interface virtual ISATAP, com isso, o
pacote IPv6 encapsulado em IPv4 e encaminhado ao roteador R2;
5.O roteador R2 recebe o pacote atravs de sua interface IPv4, mas, como o pacote est utilizando
o protocolo 41, ele desencapsula o pacote IPv6 dele e verificando na sua tabela de roteamento, o
encaminha atravs da sua interface IPv6;
6.O roteador R1 recebe o pacote IPv6, mas, verificando em sua tabela de roteamento descobre que
o pacote tem que ser enviado atravs de sua interface virtual ISATAP, a qual encapsula o pacote
IPv6 em IPv4 utilizando o protocolo 41 e o encaminha o IPv4 de C1;
C1 recebe o pacote, mas, como ele est encapsulado utilizando o protocolo 41, ele extrai o pacote
IPv6 enviado por C2 e o recebe.
ISATAP
Comunicao entre clientes ISATAP e computadores IPv6
197
1- O cliente ISATAP quer enviar um pacote IPv6 para o servidor IPv6. Atravs de sua tabela de
roteamento ele descobre que tem que envi-lo utilizando a interface virtual ISATAP, com isso, o
pacote encapsulado em IPv4(protocolo 41) e enviado ao endereo IPv4 do roteador ISATAP;
2- O roteador ISATAP recebe o pacote atravs de sua interface IPv4, mas, como o pacote IPv6
est encapsulado utilizando o protocolo 41, ele o desencapsula(utilizando a interface virtual
ISATAP) e verifica o endereo IPv6 do destino. Depois disso ele descobre que a rota para o
destino atravs da rede IPv6, sendo assim, o pacote desencapsulado(IPv6 nativo) encaminhado
para o servidor IPv6. O servidor recebe o pacote IPv6 destinado a ele;
3- O servidor IPv6 quer responder ao cliente ISATAP, sendo assim, verificando sua tabela de
roteamento ele descobre que tem que enviar atravs de sua rota padro, que atravs da rede
IPv6;
4- Como a rota para a rede do cliente ISATAP atravs do roteador ISATAP, o pacote
encaminhado a ele atravs de sua interface IPv6. Verificando em sua tabela de roteamento o
roteador descobre que tem que enviar o pacote atravs de sua interface virtual ISATAP, sendo
assim, o pacote encapsulado em IPv4 e encaminhado ao cliente ISATAP atravs da rede IPv4. O
cliente recebe o pacote IPv4, mas, como ele est utilizando o protocolo 41, ele desencapsula e
recebe o pacote IPv6.
Teredo
198
Teredo
Baseado nas mensagens RA recebidas dos Servidores, o cliente constri seu endereo
IPv6, utilizando o seguinte padro:
* Os bits 0 a 31 so o prefixo do Teredo recebido do Servidor atravs das mensagens RA; o
padro 2001:0000;
* Os bits 32 a 63 so o endereo IPv4 primrio do Servidor Teredo que enviou a primeira
mensagem RA;
* Os bits 64 a 79 so utilizados para definir alguns flags. Normalmente, somente o bit mais
significativo utilizado, sendo que ele marcado como 1 se o Cliente est atrs de NAT do tipo
Cone, caso contrrio ele marcado como 0. Apenas o Windows Vista e Windows Server 2008
utilizam todos os 16 bits, que seguem o formado "CRAAAAUG AAAAAAAA", onde "C"
continua sendo a flag Cone; o bit R reservado para uso futuro; o bit U define a flag
Universal/Local (o padro 0); o bit G define a flag Individual/Group (o padro 0); e os 12 bits
A so randomicamente determinados pelo Cliente para introduzir uma proteo adicional ao n
contra ataques de scan;
* Os bits 80 a 95 so a porta UDP de sada do NAT, recebida nas mensagens RA e mascarada
atravs da inverso de todos os seus bits. Este mascaramento necessrio porque alguns NATs
procuram portas locais dentro dos pacotes e os substituem pela porta pblica ou vice-versa;
* Os bits 96 a 127 so o endereo IPv4 pblico do Servidor NAT, mascarado atravs da
inverso de todos os seus bits. Este mascaramento necessrio porque alguns NATs procuram
endereos IPs locais dentro dos pacotes e os substituem pelo endereo pblico ou vice-versa.
Teredo
200
1- Uma mensagem Router Solicitation (RS) enviada ao servidor Teredo 1 (servidor primrio)
com o flag de NAT tipo Cone ativado, o servidor Teredo 1 ento responde com uma mensagem de
Router Advertisement (RA). Como a mensagem RS estava com o Cone flag ativado, o servidor
Teredo 1 envia a mensagem RA utilizando um endereo IPv4 alternativo. Com isso o cliente
conseguir determinar se o NAT que ele est utilizando do tipo Cone, se ele receber a
mensagem de RA;
2- Se a mensagem RA do passo anterior no for recebida, o cliente Teredo envia uma outra
mensagem RS, mas, agora com o Cone flag desativado. O servidor Teredo 1 responde novamente
com uma mensagem RA, mas, como o Cone flag da mensagem RS estava desativado, ele
responde utilizando o mesmo endereo IPv4 em que ele recebeu a mensagem RS. Se agora o
cliente receber a mensagem de RA, ento ele conclui que est utilizando NAT do tipo restrita;
3- Para ter certeza que o cliente Teredo no est utilizando um NAT do tipo simtrico, ele envia
mais uma mensagem RS, mas, agora para o servidor secundrio Teredo 2, o qual responde com
uma mensagem do tipo RA. Quando o cliente recebe a mensagem RA do servidor Teredo 2, ele
compara o endereo e a porta UDP de origem contidos na mensagem RA recebidas dos dois
servidores, se forem diferentes o cliente conclui que est utilizando NAT do tipo simtrico, o qual
no compatvel com o Teredo.
Teredo
Comunicao atravs de NAT tipo CONE
201
1- Para iniciar a comunicao, primeiro o cliente Teredo tem que determinar o endereo IPv4 e a
porta UDP do Relay Teredo que estiver mais prximo do host IPv6, para isto, ele envia uma
mensagem ICMPv6 echo request para o host IPv6 via o seu servidor Teredo;
2- O servidor Teredo recebe a mensagem ICMPv6 echo request e a encaminha para o host IPv6
atravs da rede IPv6;
3- O host IPv6 responde ao cliente Teredo com uma mensagem ICMPv6 Echo Reply que
roteada atravs do Relay Teredo mais prximo dele;
4- O Relay Teredo ento encapsula a mensagem ICMPv6 Echo Reply e envia diretamente ao
cliente Teredo. Como o NAT utilizado pelo cliente do tipo Cone, o pacote enviado pelo Relay
Teredo encaminhado para o cliente Teredo;
5- Como o pacote retornado pelo Relay Teredo contm o endereo IPv4 e a porta UDP utilizada
por ele, o cliente Teredo extrai estas informaes do pacote. Depois disso um pacote inicial
encapsulado e enviado diretamente pelo cliente Teredo para o endereo IPv4 e porta UDP do
Relay Teredo;
6- O Relay Teredo recebe este pacote, remove o cabealho IPv4 e UDP e o encaminha para o host
IPv6. Depois disso toda a comunicao entre o cliente Teredo e o host IPv6 feita via o relay
Teredo atravs deste mesmo mtodo.
Teredo
Comunicao atravs de NAT restrito
202
1- Para iniciar a comunicao, primeiro o cliente Teredo tem que determinar o endereo IPv4 e a
porta UDP do Relay Teredo que estiver mais prximo do host IPv6, para isto, ele envia uma
mensagem ICMPv6 echo request para o host IPv6 via o seu servidor Teredo;
2- O servidor Teredo recebe a mensagem ICMPv6 echo request e a encaminha para o host IPv6
atravs da rede IPv6;
3- O host IPv6 responde ao cliente Teredo com uma mensagem ICMPv6 Echo Reply que
roteada atravs do Relay Teredo mais prximo dele;
4- Atravs do pacote recebido, o Relay Teredo descobre que o cliente Teredo est utilizando um
NAT do tipo restrito, sendo assim, se o Relay Teredo enviar o pacote ICMPv6 diretamente para o
cliente Teredo, ele ser descartado pelo NAT porque no h mapeamento pr-definido para
trfego entre o cliente e o Relay Teredo, com isso, o Relay Teredo envia um pacote bubble para
o cliente Teredo atravs do Servidor Teredo utilizando a rede IPv4;
5- O servidor Teredo recebe o pacote Bubble do Relay Teredo e o encaminha para o cliente
Teredo, mas coloca no indicador de origem o IPv4 e a porta UDP do Relay Teredo. Como j havia
um mapeamento de trfego entre o servidor Teredo e o Cliente Teredo, o pacote passa pelo NAT e
entregue ao Cliente Teredo;
6- O Cliente Teredo extrai do pacote Bubble recebido o IPv4 e a porta UDP do Relay Teredo
mais prximo do host IPv6, com isso, o Cliente Teredo envia um pacote Bubble para o Relay
Teredo, para que seja criado um mapeamento de conexo entre eles no NAT;
7- Baseado no contedo do pacote Bubble recebido, o Relay Teredo consegue determinar que
ele corresponde ao pacote ICMPv6 Echo Reply que est na fila para a transmisso e tambm que a
passagem atravs do NAT restrito j est aberta, sendo assim, ele encaminha o pacote ICMPv6
Echo Reply para o cliente Teredo;
8- Depois de recebido o pacote ICMPv6, um pacote inicial ento enviado do Cliente Teredo para
o host IPv6 atravs do Relay Teredo mais prximo dele;
9- O relay Teredo remove os cabealhos IPv4 e UDP do pacote e o encaminha atravs da rede
IPv6 para o host IPv6. Aps isto os pacotes subseqentes so enviados atravs do Relay Teredo.
Teredo
O principal problema de segurana quando se utiliza o Teredo que seu
trfego pode passar desapercebido pelos filtros e firewalls se os mesmos
no estiverem preparados para interpret-lo, sendo assim, os computadores
e a rede interna ficam totalmente expostos ataques vindos da Internet IPv6.
Para resolver este problema, antes de implementar o Teredo, deve se fazer
uma reviso nos filtros e firewalls da rede ou pelo menos dos computadores
que utilizaro esta tcnica. Alm deste problema, ainda temos os seguintes:
O cliente Teredo divulga na rede a porta aberta por ele no NAT e o tipo de
NAT que ele est utilizando, possibilitando assim um ataque atravs dela;
A quantidade de endereos Teredo bem menor que os IPv6 nativos,
facilitando assim a localizao de computadores vulnerveis;
Um ataque por negao de servio fcil de ser aplicado tanto no cliente
quanto no relay;
Devido ao mtodo de escolha do Relay pelo host de destino, pode-se criar
um Relay falso e utiliz-lo para coletar a comunicao deste host com os
seus clientes.
203
Mais informaes:
RFC 4380 - Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)
GRE
GRE (Generic Routing Encapsulation) - tnel esttico hosts-ahost desenvolvido para encapsular vrios tipos diferentes de
protocolos.
Suportado na maioria do sistemas operacionais e roteadores.
Seu funcionamento consiste em pegar os pacotes originas,
adicionar o cabealho GRE, e enviar ao IP de destino.
Quando o pacote encapsulado chega na outra ponta do tnel,
remove-se o cabealho GRE, sobrando apenas o pacote
original.
204
Mais informaes:
RFC 2784 - Generic Routing Encapsulation (GRE)
GRE
205
Tcnicas de Traduo
Mais informaes:
RFC 4966 - Reasons to Move the Network Address Translator - Protocol Translator (NAT-PT)
to Historic Status
SIIT
Utiliza
um endereo IPv4-mapeado em IPv6, no formato
0::FFFF:a.b.c.d, que identifica o destino IPv4, e um endereo IPv4traduzido, no formato 0::FFFF:0:a.b.c.d, para identificar o n IPv6.
207
Mais informaes:
RFC 2765 - Stateless IP/ICMP Translation Algorithm (SIIT)
BIS
208
BIS (Bump in the Stack) - esse mtodo possibilita a comunicao de aplicaes IPv4 com
ns IPv6. Definida na RFC 2767, o BIS funciona entre a camada de aplicao e a de rede,
adicionando pilha IPv4 trs mdulos: translator, que traduz os cabealhos IPv4 enviados em
cabealhos IPv6 e os cabealhos IPv6 recebidos em cabealhos IPv4; extension name resolver,
que atua nas DNS queries realizadas pelo IPv4, de modo que, se o servidor DNS retorna um
registro AAAA, o resolver pede ao address mapper para atribuir um endereo IPv4
correspondente ao endereo IPv6; e address mapper, que possui uma certa quantidade de
endereos IPv4 para associar a endereos IPv6 quando o translator receber um pacote IPv6. Como
os endereos IPv4 no so transmitidos na rede, eles podem ser endereos endereos privados.
Esse mtodo permite apenas a comunicao de aplicaes IPv4 com hosts IPv6, e no o contrrio,
alm de no funcionar em comunicaes multicast.
Como os endereos IPv4 no so transmitidos na rede, eles podem ser endereos privados.
Esse mtodo permite apenas a comunicao de aplicaes IPv4 com hosts IPv6, e no o contrrio,
alm de no funcionar em comunicaes multicast.
Mais informaes:
RFC 2767 - Dual Stack Hosts using the "Bump-In-the-Stack" Technique (BIS)
208
BIA
BIA (Bump in the API) - similar ao BIS, esse mecanismo adiciona uma API de traduo
entre o socket API e os mdulos TPC/IP dos hosts de pilha dupla, permitindo a comunicao de
aplicaes IPv4 com hosts IPv6, traduzindo as funes do socket IPv4 em funes do socket IPv6
e vice-versa. Conforme descrito na RFC 3338, trs mdulos so adicionados, extension name
resolver e address mapper, que funcionam da mesma forma que no BIS, e o function mapper, que
detecta as chamadas das funes do socket IPv4 e invoca as funes correspondentes do socket
IPv6 e vice-versa. O BIA apresenta duas vantagens em relao ao BIS: no depender do driver da
interface de rede e no introduzir overhead na traduo dos cabealhos dos pacotes. No entanto,
ele tambm no suporta comunicaes multicast.
Mais informaes:
RFC 3338 - Dual Stack Hosts Using "Bump-in-the-API (BIA)
TRT
210
Mais informaes:
RFC 3142 - An IPv6-to-IPv4 Transport Relay Translator
ALG e DNS-ALG
211
211
ALG e DNS-ALG
Fonte: TOTD
212
212
Segurana
213
Segurana
Como se proteger:
Dar preferncia
automticos;
aos
tneis
estticos,
no
lugar
dos
215
Planejamento
Mdulo 9
216
Planejamento
treinamento de pessoal;
troca de equipamentos;
atualizao de softwares;
....
217
Planejamento
218
Conceitos Importantes:
A troca de protocolo tem um carter estrutural;
Esta mudana no ocorrer apenas porque o protocolo IPv6 apresenta melhorias em relao ao
seu antecessor;
A implantao do IPv6 necessria e inevitvel;
O esgotamento dos endereos IPv4 no far a Internet acabar, nem mesmo que ela deixe de
funcionar;
Mas deve haver uma diminuio na taxa de crescimento da rede e dificuldades no
desenvolvimento de novas aplicaes;
Todos esses problemas podem ser evitados com a adoo do IPv6 antes do trmino do IPv4;
A implantao do IPv6 no ser algo rpido;
No haver uma data da virada para a troca de protocolo;
A migrao do IPv4 para IPv6 acontecer de forma gradual, com o IPv4 ainda em
funcionamento;
importante que as redes estejam preparadas para o novo protocolo desde j. Quanto mais cedo
a questo for entendida, e a implantao planejada, menores sero os gastos no processo.
Planejamento
Investir em treinamento;
Realizar testes;
Treinamento
Cursos;
Livros;
Stios Internet;
Documentos tcnicos;
Fruns;
Eventos.
Objetivos e Estratgia
Fase da implementao;
Testes e Produo.
Cronograma;
221
Inventrio de equipamentos e
aplicaes
das
verses
de
aplicativos
Sistemas
Servios crticos.
222
O impacto do IPv6
Novas aplicaes;
Novas oportunidades;
Novos servios.
IPv6 nativo;
Tneis.
O impacto do IPv6
Infraestrutura;
Questes de segurana;
Comprar corretamente;
Durao da transio.
224
Uma mudana para o IPv6 em um curto espao de tempo pode ser mais custosa do que fazer a
transio gradativamente, como parte de um normal ciclo de vida de uma atualizao.
O impacto do IPv6
Roteadores - Mdio;
Firewalls - Mdio.
SOs - Mdio.
Mo-de-obra (70%)
Treinamento - Alto;
Implementao - Alto;
Manuteno Mdio/Alto;
preciso
acessar
o
stio
web
http://registro.br/info/cidr.html e preencher o formulrio
correspondente.
Planejando o endereamento
Alocao de endereos
Planejando o endereamento
Endereamento de infraestrutura;
Tamanhos de prefixos:
/64
/112 ou /120
/127
/128
Mais informaes:
RFC 3627 - Use of /127 Prefix Length Between Routers Considered Harmful
228
Testes
Polticas de segurana.
Simuladores;
Emuladores;
Mquinas Virtuais;
229
Produo
REFERNCIAS
Migrating to IPv6 : A Practical Guide to Implementing IPv6 in Mobile and Fixed Networks .
Autor: Marc Blanchet.
IPv6 Essentials.
Autor: Silvia Hagem.
Planning and Accomplishing the IPv6 Integration: Lessons Learned from a Global Construction
and Project-Management Company .
Autor: Cisco Public Information.
Introduccin a IPv6.
Autor: Roque Gagliano.
Planificando IPv6.
Autor: Roque Gagliano.
Deliverable D 6.2.4: Final report on IPv6 management tools, developments and tests.
Autor: 6 Net.
IPv6 and IPv4 Threat Comparison and Best- Practice Evaluation (v1.0)
Autores: Sean Convery; Darrin Miller.
IPv6 at Google.
Autores: Angus Lees; Steinar H. Gunderson.
Tracking the IPv6 Migration. Global Insights From the Largest Study to Date on IPv6 Traffic on
the Internet.
Autor: Craig Labovitz.
REFERNCIAS