O fim está próximo

Este não é um artigo teológico, é uma introdução ao IPv6. Descrevo os motivos que levaram à sua criação, suas características e como começar a implantar o IPv6 na sua empresa, usando um equipamento com GNU/Linux.

[ Hits: 35.133 ]

Por: Ricardo Lino Olonca em 12/05/2014


Pondo a mão na massa



Agora que sabemos o básico, vamos começar a pôr a mão na massa.

Verifique se seu sistema tem suporte ao IPv6.

Antes de prosseguirmos, verifique se o teu equipamento tem o suporte ao IPv6. O IPv6 está incluído nos seguintes sistemas operacionais:
  • Windows XP sp1 (simplificado) ou mais recente (completo)
  • Mac OS X 10.2 Jaguar
  • Linux kernel a partir do 2.1.8 (simplificado) ou a partir do 2.2 (completo)
  • FreBSD 4.0
  • NetBSD 1.5
  • OpenBSD 2.7

No GNU/Linux, para ver a versão do kernel, digite:

uname -r
 3.2.0-4-686-pae

Se a versão for superior a 2.2.0, então seu sistema Linux já tem suporte. Agora, precisamos verificar se os módulo do IPv6 estão carregados.

sysctl net.ipv6.conf.all.disable_ipv6
 net.ipv6.conf.all.disable_ipv6 = 0

Se estiver zerado, então o suporte está habilitado. Caso contrário, execute como root, o seguinte comando:

# sysctl net.ipv6.conf.all.disable_ipv6=0
 net.ipv6.conf.all.disable_ipv6 = 0

Você pode forçar essa configuração alterando o arquivo /etc/sysctl.conf. Inclua a seguinte linha:

net.ipv6.conf.all.disable_ipv6=0

Isso fará com que o seu sistema operacional tenha suporte ao IPv6, habilitado após o boot.

O ARP morreu

No IPv6 não existe mais o ARP. Quem cuida das funções que eram do ARP, é o ICMP. Isso mesmo, o ping.

O protocolo ICMP está no coração do IPv6. É ele quem cuida das resoluções de endereços de MAC address. Bloquear o ICMP, fará com que o protocolo IPv6 simplesmente não funcione. A regra padrão, é permitir o tráfego ICMP, a menos que você saiba exatamente o que está fazendo.

Para ver o endereço físico da interface de rede, você pode executa o ifconfig. Porém, vamos nos acostumar a usar o comando ip, pois ele já tem suporte ao IPv6 e incorpora as funções dos comandos ifconfig, ARP, route, entre outros.

ip link
 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN mode DEFAULT
     link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
     link/ether 50:e5:49:fc:de:9b brd ff:ff:ff:ff:ff:ff
 3: sit0: <NOARP> mtu 1480 qdisc noop state DOWN mode DEFAULT
     link/sit 0.0.0.0 brd 0.0.0.0
 4: teredo: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1280 qdisc pfifo_fast state UNKNOWN mode DEFAULT qlen 500
     link/none


Podemos notar, que a máquina que estou usando tem uma interface de rede real (eth0), duas virtuais (teredo e sit0) e a de loopback (lo).

Quando uma máquina com suporte a IPv6 entra na rede, ela escolhe um endereço IP aleatório do range Link Local (FE80::/64) e manda um pacote Neighbor Solicitation (NS) para a rede, perguntando se alguma estação já possui esse endereço.

Caso alguma máquina responda com um Neighbor Advertisement (RA), então, a estação terá que usar outro endereço IP. Se ela estiver usando uma configuração manual, então ela não entrará na rede.

Portanto, não haverá um conflito de IP. Você não precisará procurar pelas máquina conflitantes na rede, pois a segunda não vai funcionar, enquanto a primeira, funcionará normalmente.

Para ver qual IP a estação pegou, digite:

ip addr
 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
     link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
     inet 127.0.0.1/8 scope host lo
     inet6 ::1/128 scope host
        valid_lft forever preferred_lft forever
 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
     link/ether 50:e5:49:fc:de:9b brd ff:ff:ff:ff:ff:ff
     inet 172.20.120.4/16 brd 172.20.255.255 scope global eth0
     inet6 fe80::52e5:49ff:fefc:de9b/64 scope link
        valid_lft forever preferred_lft forever
 3: sit0: <NOARP> mtu 1480 qdisc noop state DOWN
     link/sit 0.0.0.0 brd 0.0.0.0


Se quiser ver o endereço apenas de uma interface, você pode digitar o seguinte comando:

ip addr show dev eth0
 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
     link/ether 50:e5:49:fc:de:9b brd ff:ff:ff:ff:ff:ff
     inet 172.20.120.4/16 brd 172.20.255.255 scope global eth0
     inet6 fe80::52e5:49ff:fefc:de9b/64 scope link
        valid_lft forever preferred_lft forever


Para checar os endereços físicos já resolvidos, você pode usar o seguinte comando:

ip neigh
 fe80::5aa2:b5ff:fea3:9611 dev eth0 lladdr 58:a2:b5:a3:96:11 STALE
 fe80::230:48ff:fe62:329f dev eth0 lladdr 00:30:48:62:32:9f router STALE
 fe80::cba:37c8:a52e:2590 dev eth0 lladdr e8:03:9a:4a:9a:ff STALE
 172.20.1.32 dev eth0 lladdr 00:1c:c4:c2:06:b8 REACHABLE
 172.20.18.85 dev eth0 lladdr 00:1b:11:b0:e1:c2 REACHABLE
 172.20.1.146 dev eth0 lladdr 00:25:90:2b:35:de STALE


Reparem que o comando arp, não mostra os dados referentes ao IPv6:

arp -na
 ? (172.20.1.32) em 00:1c:c4:c2:06:b8 [ether] em eth0
 ? (172.20.18.85) em 00:1b:11:b0:e1:c2 [ether] em eth0
 ? (172.20.1.146) em 00:25:90:2b:35:de [ether] em eth0


Teste a conectividade

No GNU/Linux, para testar se uma máquina está conseguindo se comunicar com outra via IPv6, você pode usar o ping6.

ping6 fe80::230:48ff:fe62:329f
 connect: Invalid argument

Por que deu erro?
Vamos entender: A máquina em questão, contém uma interface eth0 com suporte a IPv6, e uma interface virtual teredo, também com suporte a IPv6. Ambas possuem a rede FE80::/64, e isso é normal. Para pingarmos um endereço Link Local (FE80::/64), precisamos definir por qual interface vamos tentar a conexão.

ping6 -c 1 -I eth0 fe80::230:48ff:fe62:329f
 PING fe80::230:48ff:fe62:329f ( fe80::230:48ff:fe62:329f ) from fe80::230:48ff:fe62:329f eth0: 56 data bytes
 64 bytes from fe80::230:48ff:fe62:329f : icmp_seq=1 ttl=64 time=0.514 ms
 
 --- fe80::230:48ff:fe62:329f ping statistics ---
 1 packets transmitted, 1 received, 0% packet loss, time 0ms
 rtt min/avg/max/mdev = 0.514/0.514/0.514/0.000 ms


O endereço Link Local não deve ser usado para algo "útil". Se você quer uma rede local IPv6, é necessário configurar uma rede Unique Local. Em uma estação, eu digito:

# ip addr add fc00:470:db7e:8000::1/64 dev eth1
# ip addr show dev eth1

 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
     link/ether 00:30:48:62:32:9f brd ff:ff:ff:ff:ff:ff
     inet 172.20.1.124/16 brd 172.20.255.255 scope global eth1
     inet6 fc00:470:db7e:8000::1/64 scope global
        valid_lft forever preferred_lft forever
     inet6 2001:470:db7e:8000::1/64 scope global
        valid_lft forever preferred_lft forever
     inet6 fe80::230:48ff:fe62:329f/64 scope link
        valid_lft forever preferred_lft forever


Em minha estação de trabalho, digito o mesmo comando substituindo o IP.

# ip addr add fc00:470:db7e:8000::2/64 dev eth0
# ip addr show dev eth0

 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
     link/ether 50:e5:49:fc:de:9b brd ff:ff:ff:ff:ff:ff
     inet 172.20.120.4/16 brd 172.20.255.255 scope global eth0
     inet6 fc00:470:db7e:8000::2/64 scope global
        valid_lft forever preferred_lft forever
     inet6 fe80::52e5:49ff:fefc:de9b/64 scope link
        valid_lft forever preferred_lft forever


Agora, posso pingar a outra estação sem problemas.

# ping6 -c 1 fc00:470:db7e:8000::1
 PING fc00:470:db7e:8000::1(fc00:470:db7e:8000::1) 56 data bytes
 64 bytes from fc00:470:db7e:8000::1: icmp_seq=1 ttl=64 time=0.525 ms
 
 --- fc00:470:db7e:8000::1 ping statistics ---
 1 packets transmitted, 1 received, 0% packet loss, time 0ms
 rtt min/avg/max/mdev = 0.525/0.525/0.525/0.000 ms


Reparem que, se digitarmos o comando ipconfig, veremos a interface com vários IPv6.

# ifconfig eth0
 eth0      Link encap:Ethernet  Endereço de HW 50:e5:49:fc:de:9b
           inet end.: 172.20.120.4  Bcast:172.20.255.255  Masc:255.255.0.0
           endereço inet6: fe80::52e5:49ff:fefc:de9b/64 Escopo:Link
           endereço inet6: fc00:470:db7e:8000::4/64 Escopo:Global
           UP BROADCASTRUNNING MULTICAST  MTU:1500  Métrica:1
           RX packets:21300365 errors:0 dropped:0 overruns:0 frame:0
           TX packets:4442303 errors:0 dropped:0 overruns:0 carrier:0
           colisões:0 txqueuelen:1000
           RX bytes:5514033851 (5.1 GiB)  TX bytes:452512661 (431.5 MiB)
           IRQ:20 Memória:fe400000-fe420000


Diferentemente do que acontece no IPv4, a interface responde por vários IPv6, sem a necessidade de IP virtuais.

Para configurar o endereço IPv6 no arquivo /etc/network/interfaces, adicione as seguintes linhas:

iface eth0 inet6 static
  address   fc00:470:db7e:8000::4
  netmask 64

Roteamento

Vamos agora, entender um pouco sobre o roteamento hierárquico do IPv6. Veja a figura abaixo:
Linux: O fim está próximo
Para adicionarmos rota padrão na máquina 2001:db8:8000:1080::2001:64, devemos abrir o arquivo /etc/network/interfaces a adicionar a linha abaixo:

gateway     2001:db8:8000:1080::

Pela linha de comando, podemos utilizar o comando abaixo:

# ip -6 route add ::/0 via 2001:db8:8000:1080:: dev eth0

Analisando o roteador no topo da hierarquia, podemos notar que basta apenas uma entrada na tabela de roteamento, para que este consiga se comunicar com a estação 2001:db8:8000:1080::2002.

Se esse roteador for um GNU/Linux, o comando seria o seguinte:

# ip route add 2001:db8:8000:1000::/56 from 2001:db8:8000::1 dev eth0

Dessa forma, a tabela de roteamento fica menor. Pensando nos roteadores principais da Internet, os backbones, ter uma tabela menor melhora o desempenho.

Para checar a tabela de roteamento da estação de trabalho, digite:

ip -6 route
 2001:db8:8000:1000::/56 dev eth0  proto kernel  metric 256
 fc00:db8:8000:1000::/56 dev eth0  proto kernel  metric 256
 fe80::/64 dev eth0  proto kernel  metric 256
 fe80::/64 dev vboxnet0  proto kernel  metric 256
 default via 2001:db8:8000:1080:: dev eth0  metric 1024


Para apagar uma rota, digite:

# ip route delete 2001:db8:8000:1000::/56 from 2001:db8:8000:1 dev eth0

Página anterior     Próxima página

Páginas do artigo
   1. O fim está próximo
   2. Introdução
   3. Diferenças entre IPv4 e IPv6
   4. Endereçamento IPv6
   5. Pondo a mão na massa
   6. Configurando um endereço público
Outros artigos deste autor

Entendendo TCP/IP (Parte 3) - Resolução de nomes

Entendendo TCP/IP (Parte 6) - Firewall

Entendendo TCP/IP (Parte 5) - Portas TCP/UDP

Deduplicação com LessFS

Entendendo o TCP/IP

Leitura recomendada

Docker e Flannel

Proxy Squid com SquidGuard + Controle de Banda e Autenticação NTLM no Samba 4 (CentOS 6.5 - 64 bits Minimal)

Packet Tracer 7 no Debian 10

Conexão do Vindula com o Active Directory Server 2008 R2

Tutorial de instalação e configuração do CACIC 3.1.15

  
Comentários
[1] Comentário enviado por removido em 12/05/2014 - 00:20h

No princípio, criou o analista a Internet...

Hilário! :)

[2] Comentário enviado por Under.son em 12/05/2014 - 01:17h

Bela introdução; quem sabe a analogia faz despertar o interesse da galerinha :P

Brincadeiras a parte, já faz um certo tempo em que estou procurando aprender e me especializar no assunto IPv6; eis uma oportunidade de ganhar tal reconhecimento por uma "novidade" que quase ninguém sabe e que todo mundo vai acabar precisando - de agora em diante com muito mais urgência - antes que a Internet entre em colapso.
Comentei num outro fórum que a minha operadora de Internet (Vivo) tá pouco se f!*&ˆ$! pra IPv6, o jeito é começar a contornar a situação por meio dos TunnelBrokers da vida até que uma solução nativa surja (isso se eu não morrer antes. Sério! :P ).
Já brinquei com tunelamento do HE.net e funcionou muito bem, apesar da alta latência, próximo passo é improvisar um "roteador" IPv6 usando meu Desktop ;)

E, se a coisa engrenar, por que não começar a oferecer uma assessoria em IPv6 para o pessoal? Eis uma grande oportunidade de "ganhar dinheiro" nessa área, moçada; ainda mais para um assunto onde profissionais especializados ainda está bastante escasso, vale cada segundo investir nisso.

[3] Comentário enviado por mpsnet em 12/05/2014 - 09:00h

@ricardoolonca.

Vigia para não ser pego de surpresa !
Acredito que você não fez por mal, mas a palavra do Senhor é santa.

[4] Comentário enviado por JFurio em 12/05/2014 - 09:30h

Ricardo, Bom dia!
Eu sei que não se sabe ainda a exata data da "virada", mas, pela sua experiência, se você fosse apostar uma data, qual seria?

Parabéns pelo artigo, muito bom. É triste saber que muitos técnicos não estão levando à sério essa coisa toda do IPv6, no meu ultimo emprego meu chefe riu de mim quando eu falei para iniciarmos alguns testes em uma rede teste para começar a implementar o IPv6, mas isso em uma rede de teste somente. . ., ele acha que essa virada não vai acontecer.

Vlw!


[5] Comentário enviado por tiekookeit em 12/05/2014 - 11:48h

(Y) XD muito bom...

[6] Comentário enviado por removido em 12/05/2014 - 18:51h

Não é nem nota 10 é 1000. Pertinente o assunto e foi tratado de uma forma espetacular.

[7] Comentário enviado por pietro_scherer em 13/05/2014 - 10:26h

Muito bom, parabéns!

[8] Comentário enviado por ricardoolonca em 14/05/2014 - 11:33h

Caros, obrigado pelos comentários.

mpsnet, me perdoe por esse sacrilégio. Não foi minha intenção ofender a Palavra de Deus. Apenas comparei a urgência na adoção do IPv6 com a urgência em se converter e aceitar a Jesus Cristo como seu único e suficiente salvador.

JFurio, eu acho que dentro de dois ou três anos a falta de endereços IPv4 aqui no Brasil vai ser bem mais notado, principalmente por causa do aumento dos dispositivos móveis.

P.S. Quem revisou meu artigo colocou um monte de vírgula onde não deveria. Essas vírgulas não existem no artigo original.

[9] Comentário enviado por JFurio em 14/05/2014 - 17:27h


[8] Comentário enviado por ricardoolonca em 14/05/2014 - 11:33h:

JFurio, eu acho que dentro de dois ou três anos a falta de endereços IPv4 aqui no Brasil vai ser bem mais notado, principalmente por causa do aumento dos dispositivos móveis.



Caramba!!! Dois a três anos . . . Eu pensei que não passaria de 1 ano.

Alguém sabe como esta na Europa em geral, Estados Unidos e Japão? Como esta a implementação do IPv6 por essas localidades? Já se esgotaram o IPv4?

Abraços!

[10] Comentário enviado por cytron em 17/05/2014 - 20:55h

/64 = 4 bilhões de internets pra cada um ... kkkkkkkkkk, ISSO NÃO É EXAGERO!!!! Exagero seria 1, 5, até 10 mil talvez seria exagero. Mas 4 bilhões ultrapassa até o insano! kkkkkkkkkkkkkk

Isso tudo é "trauma" de ter esgotado IPv4 kkkkkkkkkkkkk, o trauma foi tão grande, que em "um único usuário" já colocaram a solução INFINITA para o problema do IPv4 kkkkkkkkkkkkkkkkkk

Mas está correto? O número é esse mesmo?
Procurei na net e encontrei o valor: 18,446,744,073,709,551,616 ............ MESMO ASSIM!!!!! ISSO É LOUCURA KKKKKKKKKKK
Pelo pouco que lí em outros lugares, um /64 dá 256 redes para cada um. Mas não se encontra muita informação detalhada sobre esse ponto.

[11] Comentário enviado por JFurio em 19/05/2014 - 08:44h


[10] Comentário enviado por cytron em 17/05/2014 - 20:55h:

/64 = 4 bilhões de internets pra cada um ... kkkkkkkkkk, ISSO NÃO É EXAGERO!!!! Exagero seria 1, 5, até 10 mil talvez seria exagero. Mas 4 bilhões ultrapassa até o insano! kkkkkkkkkkkkkk

Isso tudo é "trauma" de ter esgotado IPv4 kkkkkkkkkkkkk, o trauma foi tão grande, que em "um único usuário" já colocaram a solução INFINITA para o problema do IPv4 kkkkkkkkkkkkkkkkkk

Mas está correto? O número é esse mesmo?
Procurei na net e encontrei o valor: 18,446,744,073,709,551,616 ............ MESMO ASSIM!!!!! ISSO É LOUCURA KKKKKKKKKKK
Pelo pouco que lí em outros lugares, um /64 dá 256 redes para cada um. Mas não se encontra muita informação detalhada sobre esse ponto.


Olha só então a taxa de frame, o IPv4 é de 1500 bytes, o IPv6 é de 4 gigabytes (jumbo frame), tipo assim, chutaram o balde mesmo. Mas toda a genialidade do IPv6 esta correta mesmo, tem que ser exagerado, pois, vai que um dia . . . . neh ! VIVA à Internet das coisas !



[12] Comentário enviado por ricardoolonca em 19/05/2014 - 16:34h

Os números são esses mesmos. Se um usuário recebe um endereço /64 é só fazer as contas: 2^64. (Dois elevado a 64).

2 ^ 10 = 1024
2 ^ 20 = +- 1 milhão
2 ^ 30 = +- 1 bilhão
2 ^ 40 = +- 1 trilhão
2 ^ 50 = +- 1 quatrilhão
2 ^ 60 = +- 1 quintilhão
2 ^ 64 = +- 16 quintilhões.

Dividindo 2^64 por 2^32 (internet IPv4) e temos 2^32. Resumindo: cerca de 4 bilhões de internet IPv4 para cada pessoa.

Complicado, mas é verdade!

[13] Comentário enviado por rsilveiragomes em 19/05/2014 - 17:23h

Muito bom o artigo ! Parabéns x)

E pra complementar.. vale assistir essa palestra que rolou lá no FISL 15:

O fim do ipv4 e a implementação do IPV6:
http://hemingway.softwarelivre.org/fisl15/high/41c/sala41c-high-201405071500.ogv

[14] Comentário enviado por Buckminster em 24/05/2014 - 23:58h

O artigo está bom, mas tenho umas questões.
Como teoria o IPV6 é muito bonito, muito lindo. Faz tempo que escuto as maravilhas do IPV6 como sendo a segunda vinda de Cristo (ou do analista que criou a Internet), pois o IPV6 existe desde a década de 90. Mas alguém me responda às perguntas que lembrei ao ler essas duas frases do artigo e que são perguntas que eu tenho faz tempo e até hoje não me foram respondidas:

"Se a configuração for manual, a estação não conseguirá entrar na rede. Isso evita o conflito de IP."

Então TODOS os IPs serão automáticos e dinâmicos?
Como um administrador de rede vai monitorar a rede se o IP de cada máquina mudará periodicamente e não terá NAT?
E conflito de IP?!?! Poucas vezes na vida vi conflito de IP e todas essas poucas vezes foram em redes internas e causados por falha do adminstrador. Nunca vi conflito de IP na internet.

"Como o número de endereços IPv6 disponíveis é quase infinito, não vemos qualquer motivo para usar NAT. Aleluia!"

Novamente, como um administrador vai monitorar sua rede interna, pois sem o NAT não haverá rede interna?
A empresa deverá alocar (comprar) um bloco de IPs?
Ou esse bloco será fornecido pela prestadora de serviços (ISP)?

Eu já configurei DHCPv6 e DNSv6 e simplesmente NÃO funciona sem que os DNS dos ISPs TAMBÉM tenham DNSv6 e os blocos de IPs sejam fornecidos por eles. Isto siginifica que esta mudança está vindo de cima para baixo.
E os túneis, como o Teredo, causam uma queda brutal no desempenho se não tiver uma banda de internet excelente.
Tecnicamente o NAT do IPv4 representa segurança, ainda que digam o contrário.

Sinto muito, mas não entendo como isso irá ajudar em alguma coisa concentrando tudo nos ISPs.

E essa lorota de que o IPV4 esgotou é isso mesmo, uma lorota.
Uma das principais causas do esgotamento IPv4 foi a distribuição dos blocos de IPs. Metade dos endereços disponíveis foi endereçada aos EUA e a outra metade foi rateada entre os demais países. Algumas empresas adquiriram blocos inteiros /8 para si (cerca de 16 milhões de endereços IPs), que simplesmente NÃO usam.

Além disso, vamos às contas: o IPv4 permite 4.294.967.296 bilhões de endereços IP SEM o NAT.
Temos em torno, por alto, 600 milhões de sites no mundo e cada qual com seu endereço IP, mais os dispositivos (computadores, celulares, etc). Se cada pessoa no mundo tivesse um computador e acessasse a internet ao mesmo tempo, daí concordo, faltariam IPs.

E se o problema é a falta de IPs, bastaria aumentar o IPv4 de 32 para 64 ou 128 bits, como é o IPv6.
Para quê mudar toda a sistemática do protocolo?

É só raciocinar, com o IPv4 o ISP fornece somente UM endereço IP para o modem/roteador e a partir daí o NAT com o DHCP fazem o resto na rede interna.
Sem NAT o ISP será o responsável em fornecer IPs para todos os computadores da rede interna do cliente, ou seja, acaba-se a rede interna.

O principal objetivo do IPV6 é acabar com o NAT... agora, o porquê disso eu ainda não vislumbrei.

Se alguém me provar tecnicamente que o IPV6 é uma boa, eu mudo de idéia.

http://www.vivaolinux.com.br/artigo/IPv6-DNSv6-e-DHCPv6/

[15] Comentário enviado por cytron em 25/05/2014 - 12:35h


[14] Comentário enviado por Buckminster em 24/05/2014 - 23:58h:

O artigo está bom, mas tenho umas questões.
Como teoria o IPV6 é muito bonito, muito lindo. Faz tempo que escuto as maravilhas do IPV6 como sendo a segunda vinda de Cristo (ou do analista que criou a Internet), pois o IPV6 existe desde a década de 90. Mas alguém me responda às perguntas que lembrei ao ler essas duas frases do artigo e que são perguntas que eu tenho faz tempo e até hoje não me foram respondidas:

"Se a configuração for manual, a estação não conseguirá entrar na rede. Isso evita o conflito de IP."

Então TODOS os IPs serão automáticos e dinâmicos?
Como um administrador de rede vai monitorar a rede se o IP de cada máquina mudará periodicamente e não terá NAT?
E conflito de IP?!?! Poucas vezes na vida vi conflito de IP e todas essas poucas vezes foram em redes internas e causados por falha do adminstrador. Nunca vi conflito de IP na internet.

"Como o número de endereços IPv6 disponíveis é quase infinito, não vemos qualquer motivo para usar NAT. Aleluia!"

Novamente, como um administrador vai monitorar sua rede interna, pois sem o NAT não haverá rede interna?
A empresa deverá alocar (comprar) um bloco de IPs?
Ou esse bloco será fornecido pela prestadora de serviços (ISP)?

Eu já configurei DHCPv6 e DNSv6 e simplesmente NÃO funciona sem que os DNS dos ISPs TAMBÉM tenham DNSv6 e os blocos de IPs sejam fornecidos por eles. Isto siginifica que esta mudança está vindo de cima para baixo.
E os túneis, como o Teredo, causam uma queda brutal no desempenho se não tiver uma banda de internet excelente.
Tecnicamente o NAT do IPv4 representa segurança, ainda que digam o contrário.

Sinto muito, mas não entendo como isso irá ajudar em alguma coisa concentrando tudo nos ISPs.

E essa lorota de que o IPV4 esgotou é isso mesmo, uma lorota.
Uma das principais causas do esgotamento IPv4 foi a distribuição dos blocos de IPs. Metade dos endereços disponíveis foi endereçada aos EUA e a outra metade foi rateada entre os demais países. Algumas empresas adquiriram blocos inteiros /8 para si (cerca de 16 milhões de endereços IPs), que simplesmente NÃO usam.

Além disso, vamos às contas: o IPv4 permite 4.294.967.296 bilhões de endereços IP SEM o NAT.
Temos em torno, por alto, 600 milhões de sites no mundo e cada qual com seu endereço IP, mais os dispositivos (computadores, celulares, etc). Se cada pessoa no mundo tivesse um computador e acessasse a internet ao mesmo tempo, daí concordo, faltariam IPs.

E se o problema é a falta de IPs, bastaria aumentar o IPv4 de 32 para 64 ou 128 bits, como é o IPv6.
Para quê mudar toda a sistemática do protocolo?

É só raciocinar, com o IPv4 o ISP fornece somente UM endereço IP para o modem/roteador e a partir daí o NAT com o DHCP fazem o resto na rede interna.
Sem NAT o ISP será o responsável em fornecer IPs para todos os computadores da rede interna do cliente, ou seja, acaba-se a rede interna.

O principal objetivo do IPV6 é acabar com o NAT... agora, o porquê disso eu ainda não vislumbrei.

Se alguém me provar tecnicamente que o IPV6 é uma boa, eu mudo de idéia.

http://www.vivaolinux.com.br/artigo/IPv6-DNSv6-e-DHCPv6/


=========================================================

Caro amigo Buckminster...

Você está tocando em pontos perigosos sobre este assunto, os senhores do mundo irão te caçar, esquartejar e jogar os restos em público para que sirva de exemplo e não venha a surgir outra pessoa para novamente levantar tais questões.

kkkkkk BRINCADEIRA!!!! Mas sabe que existe a possibilidade né!?!

Suas questões estão certas e realmente fazem sentido, eu mesmo já fiz várias dessas perguntas. Mas imagino que deve ser levado em conta o "fator humano" (interesses)... Não sou a pessoa indicada para respondê-las, mas vou colocar meu ponto de vista, vamos tentar chegar em algum lugar. É claro que devo falar errado algumas coisas aqui, pois estou aprendendo agora sobre IPv6, então me corrijam, não me crucifiquem! :-)

A distribuição do IPv6 será feita da mesma maneira que IPv4. A galera mais alta fornece grandes blocos, quem recebe divide em blocos menores e repassa, então os ISP recebem seus blocos /32 (por exemplo) e entrega aos clientes (pessoas e empresas) um /56 ou /64. Imagino que em qualquer ponto pode-se usar IP manual, visto que basta o nó anterior aceite desta forma. É claro que ninguém vai aceitar, pois é "costume" darmos IP dinâmico exatamente para NÃO beneficiar o cliente com a vantagem de colocar um server na net. Por isso surgiram os DNS dinâmico, como um "drible" da natureza para conseguir colocar server "online" sem precisar de IP fixo que é "caro pra burro" (a natureza sempre encontra um jeito). Eu mesmo tenho 2 blocos de IPv4 e "vendo" IP fixo para meus clientes interessados. Eu poderia simplesmente fixar os IPs válidos e pronto... mas como todo bom ser humano, "se houver a possibilidade de ganhar dinheiro", então ganharei kkkkk, na verdade não gosto desse conceito. Então porque faço isso?

Faço pela segurança do meu cliente, pois só 1% dos clientes precisam do IP fixo, e certamente eles sabem dos riscos de ter IP fixo, já que a máquina naquele IP nunca muda, então as mesmas falhas de segurança estarão no mesmo IP constantemente, facilitando muito para o invasor passar dias tentando descobrir a brecha. Mas se o IP mudar, então os ataques de sucesso "quase" são anulados por completo. NAT também ajuda muito nisso, já que o servidor onde faz nat está preparado para terremotos.

O que estou querendo dizer com isso? IP fixo não vai acontecer pra todos pois não é seguro. E nem rentável kkkkkk.

NAT em IPv6, apesar de possível, não será necessário. Mas isso não acaba com as subredes, pois simplesmente a "máscara" /32, /56, /64 (por exemplo) vai impedir que meu bloco de IPv6 seja acessível diretamente por outro bloco de outro provedor, então os IPv6 terão que ser roteados para chegar ao destino, mas o interessante disso é que serão roteados sem a famosa regra iptables MASQUERADE, ...., mas como o pacote chegará ao destino sem NAT? (famoso unreacheable) Simples!!! O roteador sabe a rota pois eles se comunicam para aprender pra que lado fica cada bloco (sei que não é tão simples assim, mas pode acreditar: NÃO TENHO CONHECIMENTO SUFICIENTE PRA EXPLICAR ISSO EM IPv6 KKKK, alguns podem até dizer... então não tenta explicar e fica quieto!.... HORA!!!! Quem fica quieto não aprende!)

Mas e a segurança do cliente IPv6 com a cara na net (sem NAT)??? Sei lá!!!! Festa total kkkkkkkkkkkkk!!!!! Ou o ISP coloca um firewall ... ou faz nat ... ou deixa o cara jogado à própria sorte! kkkk (windows e seus compartilhamentos kkkkkkkkkkkkkkkk)

E o conflito de IP nessa história? Não vai acontecer! Se eu colocar IPv6 de alguém lá no USA, então não farei parte do bloco do provedor que estou conectado, com isso, não serei roteado, ele pode até dar um DROP nos pacotes de IPv6 da rede interna que não fazem parte do bloco. No meu ISP eu dou DROP nos IPs que não fazem parte dos meus clientes.

Mas o que acontece se eu colocar IPv6 conflitante dentro do meu bloco? Também "não acontece" nada, pois pelo que lí sobre IPv6, "a interface" do host, ao perceber o conflito, simplesmente se recusa a trabalhar. Caso seja IP automático, a interface vai sorteando até não dar conflito. Mas assim como podemos desabilitar alguns "bits" no IPv4, assim como podemos fazer modo "promisc" na placa de rede, é claro que haverá as maneiras de burlar o IPv6, tipo... obrigar o host a trabalhar em conflito (a natureza sempre encontra um meio). Resta saber se o roteador vai permitir... pois se permitir, o spoofing será excelente e todo mundo vai querer usar IP de bancos e governos.

Do meu ponto de vista, IPv6 é "muito mais vulnerável" do que IPv4, mas o motivo é simples: ACABOU DE CHEGAR, IPv4 também era MUITO vulnerável quando novidade. E da mesma forma, IPv6 em alguns anos será muito seguro, provavelmente será MUITO MAIS SEGURO QUE IPv4.

Ao invés de IPv6... porque não fizeram IPv4/64 ... /128 ... /2048 (kkkkkk) ........ Eis uma coisa MUITO misteriosa! kkkkkkkkkkk

Olha só a "trabalheira" que está dando esse IPv6 !!!! Primeiro .... implantar isso no mundo está mais difícil do que curar o câncer. Segundo ... Temos que aprender tudo de novo sobre protocolo! kkkk Já não foi fácil estudar IPv4... assim que eu fecho o livro e grito "APRENDI"... Vem uns camaradas e diz, esquece isso, agora vamos usar IPv6! Putz!!!!!!

Coitado dos desenvolvedores, estão trabalhando a mil para reinventar a roda, criar todo o tratamento ao IPv6 e inserir em seus softwares... É CLARO QUE TERIA SIDO MUITO MAIS FÁCIL SE APENAS AUMENTASSEM O TAMANHO DA VARIÁVEL "IP" DE 32 PARA 64 (sou programador e sei que não é só fazer isso, mas estou apenas fazendo uma analogia fictícia para mostrar que seria mais simples passar de /32 para /64 do que ficar criando protocolo novo do zero e mudar o mundo).

O IPv4 acabou... é claro!!!!! Pega metade e dá para o "dono do universo"! Conheço um cara que mora sozinho, ele não tem filhos e nem esposa, o cara mora na cidade e tem um terreno com 700 alqueires de terra que não usa para nada, nem pasto, nem plantio, NADA! 700 alqueires!!!! Existem cidades bem menores que isso!
Também conheço "muitas" famílias que moram de aluguel, tem filhos pequenos, ganha 1 salário mínimo e chance "quase" ZERO de adquirir um pedacinho de terra de 360 metros quadrados para viver. O velho rico vai morrer sem usar aquela terra. Não estou dizendo que ele deveria doar um pedacinho!!!!
Estou apenas MOSTRANDO a questão da divisão de terras entre pessoas. O CERTO SERIA: Ter muito, quem precisa de muito.

Alguns defensores vão dizer: Mas é herança, ... mas ele comprou, ... ralou pra ter aquilo! SIM! Está correto, é justo. Mas ter toda aquela terra e não utilizar?!!! É AVAREZA! (não sou crente!)

O velho rico poderia simplesmente dizer assim: É justo eu ter essa terra, eu mereci, mas seria MAIS justo ainda "vender" a parte que NUNCA vou utilizar, assim outras pessoas poderão ter terra para morar ou produzir. O mundo definha quando agimos de forma egoísta. Pois vivemos todos juntos, o que eu fizer, afetará a outros, então... nada mais correto do que pensar no próximo ao tomar alguma decisão. Se eu explodir o "meu" mundo, matarei a todos, pois todos vivem nele também. Não adianta ter 50 bilhões de euros se estiver numa ilha deserta, 100 reais no mercado valem bem mais!

Utilizando-se de conceito similar, a INTERNIC deveria pegar de volta muitos IPs que NUNCA serão utilizados e redistribuí-los onde precisa. Imagino que no mínimo 30% desses 4 bilhões seriam liberados.

Quanto ao fim das subredes, cara cliente vai receber uma "internet inteira" em IPs... com isso poderá subdividir em blocos de 256 subredes... ou coisa assim, não estudem bem essa parte ainda, mas tem como criar subredes. Não sei se tem como fazer uma única subrede com 256 hosts. Quem estiver mais por dentro desse assunto vai dar aquela boa aula aqui!

Já antecipo os agradecimentos pelos futuros comentaristas que vão postar conhecimento rico neste artigo, pois é isso que leva o VOL cada vez mais alto.

Se IPv6 tecnicamente é uma boa? Isso não importa! hehehe, ninguém quer dar um passo a frente nessa caminhada, mas olhe para trás... a parede está empurrando hehehe, andando ou não, seremos empurrados. Vai chegar um dia em que as empresas CTBC, EMBRATEL, OI e outras porcarisas (ops!) vão simplesmente parar de rotear IPv4. Provavelmente esse dia chegará quando todas as grandes empresas estiverem fazendo uso do IPv6, pois clientes residenciais nem precisam se preocupar. Com isso, sobrará a gente, daí eles vão dizer assim: lá vai!!!!! kkkkkk

Mas em nossas redes internas poderemos continuar usando IPv4 ... Até uma atualização do kernel anunciar: SEM IPv4 hehehehehe... lembra do caso dos comandos ifconfig x ip ... tantas ameaças, já encontrei uns lugares sem o comando ifconfig! Levei um susto kkkk

CARAMBA! Vou parar por aqui, isso está virando um artigo kkkkkkkkkkkkk

[16] Comentário enviado por ricardoolonca em 29/05/2014 - 14:32h

Pessoal, muito bom esse debate!

Vou responder aqui a algumas questões que foram levantadas. As citações dos amigos estarão entre aspas (").

"E conflito de IP?!?! Poucas vezes na vida vi conflito de IP e todas essas poucas vezes foram em redes internas e causados por falha do adminstrador. Nunca vi conflito de IP na internet."

Estamos falando de rede interna, mesmo. Talvez você nunca tenha trabalhado em uma rede gigante com um monte de estagiários que não conhecem o mínimo de rede e vão colocando IP manualmente nas máquinas.

"Novamente, como um administrador vai monitorar sua rede interna, pois sem o NAT não haverá rede interna?"

O provedor deverá fornecer um range /48 para a empresa. A empresa pode dividir esse range em várias subredes /64, e uma dessas será a rede interna apartada por um firewall.

"Tecnicamente o NAT do IPv4 representa segurança, ainda que digam o contrário."

Não. NAT dá uma falsa sensação de segurança. Por exemplo, imagine a seguinte situação. Você cria um NAT para que alguém da internet possa acessar um servidor na tua rede interna. Você cria uma regra de firewall permitindo ao IP 200.200.200.200 acessar esse servidor interno. Mas você não sabe quantos usuários estão atrás desse 200.200.200.200, pois esse IP é o endereço público de uma multinacional com 30 mil equipamentos. Logo, 30 mil hosts terão permissão de acesso ao teu servidor da rede interna, quando na verdade você só queria liberar o acesso para 1. Outra situação é quando algum órgão de segurança digital, como o CAIS, te envia um e-mail dizendo que o teu gateway está fazendo um ataque. Como o CAIS não tem o IP da tua rede, você não saberá qual é a estação que está fazendo o ataque, a menos que você tenha log de todos os acessos da tua empresa.

"E se o problema é a falta de IPs, bastaria aumentar o IPv4 de 32 para 64 ou 128 bits, como é o IPv6. Para quê mudar toda a sistemática do protocolo?"

E não é isso que o IPv6 está fazendo?

"Sem NAT o ISP será o responsável em fornecer IPs para todos os computadores da rede interna do cliente, ou seja, acaba-se a rede interna."

Errado! O ISP te fornecerá uma REDE IPv6. Você fornecerá os IPv6 para a tua rede da mesma maneira que faz com IPv4, usando DHCPv6 por exemplo.

"O principal objetivo do IPV6 é acabar com o NAT..."

Errado novamente! Acabar com o NAT é uma consequência. Você não está entendendo que daqui a alguns anos TODAS as pessoas e TODOS os equipamentos estarão O TEMPO TODO conectados. Com IPv4 isso não será possível.

"Mas e a segurança do cliente IPv6 com a cara na net (sem NAT)??? Sei lá!!!! Festa total kkkkkkkkkkkkk!!!!! Ou o ISP coloca um firewall ... ou faz nat ... ou deixa o cara jogado à própria sorte! kkkk (windows e seus compartilhamentos kkkkkkkkkkkkkkkk)"

Na verdade, o cliente (rede interna) não vai ficar com a cara na Internet. Ele apenas vai ter um endereço público. Assim como acontece com o IPv4, o administrador da rede é quem vai decidir o que o usuário IPv6 vai acessar, quer seja com regras de firewall, quer seja com Proxy. O fato dele ter um IP público não significa que ele vai poder acessar o que quiser.

"é claro que haverá as maneiras de burlar o IPv6, tipo... obrigar o host a trabalhar em conflito"

Sim. Isso pode acontecer. Por isso que os usuários não devem ter permissão para instalar programas no equipamento. E ferramentas como o Arpwatch vão poder detectar esse tipo de situação. Quando falamos que não haverá conflito queremos dizer que "em situações normais" não haverá conflito.

"Do meu ponto de vista, IPv6 é "muito mais vulnerável" do que IPv4."

Se pensarmos somente no protocolo, o IPv6 é mais seguro, pois tem suporte a IPSec nativo, o scanner de rede é mais complicado (pois as rede são maiores), etc. Mas isso também não quer dizer que simplesmente colocar IPv6 vai fazer com que todos os problemas de segurança sejam sanados. É como dizer que o Linux é mais seguro do que o Windows. O Linux, nativamente, tem mais ferramentas de segurança do que o Windows. Mas isso também não significa que todos os equipamentos Linux são mais seguros do que os Windows. Depende de quem administra o equipamento.

"Ao invés de IPv6... porque não fizeram IPv4/64 ... /128 ... /2048 (kkkkkk) ........ Eis uma coisa MUITO misteriosa!"

Por que não é apenas uma questão de bits. Muitos problemas de segurança nativos do IPv4 foram sanados no IPv6.

"a INTERNIC deveria pegar de volta muitos IPs que NUNCA serão utilizados e redistribuí-los onde precisa. Imagino que no mínimo 30% desses 4 bilhões seriam liberados."

Isso está sendo feito.

"Não sei se tem como fazer uma única subrede com 256 hosts."

Sim, é possível, embora não seja recomendado.

Obrigado pelos comentários. Um abraço a todos e continuem comentando.

[17] Comentário enviado por antonioandreas em 13/06/2014 - 03:42h

vi um material falando sobre ipv9

[18] Comentário enviado por mariojuniorjp em 13/06/2014 - 22:10h

Loguei só pra elogiar o excelente artigo. A primeira página ficou demais! =D

[19] Comentário enviado por fogobranco em 21/07/2014 - 14:28h

boa tarde galera.
tenho lido alguns artigos sobre ipv6 e mesmo assim tenho uma dúvida primária:
como devo criar um endereço ipv6 para minha LAN?
por exemplo: em uma LAN ipv4, eu posso simplesmente atribuir o seguinte endereço: 192.168.50.0/24 ou 192.168.75.0./24, e no ipv6? eu sei que o formato do endereço é xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

porém, eu não sei como montar o prefixo da rede.
alguém poderia me dar um exemplo funcional de como atribuir tal endereço para minha rede, que nesse caso eu acho q seria um endereço unique local.

desde já eu agradeço

[20] Comentário enviado por ricardoolonca em 21/07/2014 - 15:06h

Fogobranco, você pode usar o range FC00::/7. Por exemplo:

fc00:470:db7e:8000::1/64
fc00:470:db7e:8000:172:16:0:2/64

Outras vlan da rede poderia ser:

fc00:470:db7e:4000::1/64
fc00:80:14:8000::1/64


[21] Comentário enviado por fogobranco em 21/07/2014 - 15:30h

olá amigo ricardoolonca.

então eu sempre teria que utilizar o fc00 neste meu caso?
pois a minha maior dúvida é sempre no início do endereço.
por exemplo:
então pelo que entendi eu não poderia criar algo do tipo ed01:670:ee39:1000::1/64 para minha rede?

[22] Comentário enviado por ricardoolonca em 22/07/2014 - 10:26h

A vlan fc00/7 é separada para essa função. Você só deve utilizar em sua rede interna esses endereço. Mas você também pode conseguir um intervalo de endereços globais e utilizá-los em sua lan.

[23] Comentário enviado por fogobranco em 24/07/2014 - 18:12h

Estou agradecido pela sua atenção amigo ricardoolonca.
então só para saber se eu entendi:

depois do FC00: eu posso inventar "qualquer coisa" desde que esteja dentro dos padrões de endereçamento?

[24] Comentário enviado por ricardoolonca em 25/07/2014 - 09:26h

Exatamente. Assim como na rede 192.168.qualquer.coisa, a rede FC00:qualquer:coisa:: também pode ser usada.

[25] Comentário enviado por chaplinux em 04/08/2015 - 12:27h


Muito Bom irmão Ricardo. grato por compartilhar da palavra conosco. a Paz seja convosco.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts