É realmente impossível imaginar uma pessoa moderna sem acesso à internet. Trocar mensagens, assistir a arquivos de vídeo, ouvir música e muito mais é impossível sem o uso de protocolos de rede, sendo o principal deles o conhecido Protocolo de Internet, também abreviado como IP ou TCP/IP. Vamos considerar os problemas e as perspectivas de sua sexta versão – o IPv6.
Um breve contexto histórico
O Protocolo de Internet foi criado em 1981 para “unir os segmentos de rede em uma única rede, fornecendo a transmissão de pacotes de dados entre quaisquer nós da rede por meio de um número arbitrário de roteadores intermediários” — a partir das propriedades do protocolo. Inicialmente, o esquema de endereçamento de classe foi usado, mas com o crescimento da Rede Global, ele se tornou ineficiente devido ao uso irracional e dispendioso de recursos IPv4, já que não havia possibilidade de usar máscaras de sub-rede arbitrárias para diferentes sub-redes. Eventualmente, o problema foi resolvido com o uso do Roteamento Interdomínio Sem Classes (CIDR, pronunciado “cider”), que implicava o uso de uma máscara de sub-rede. O IPv4 possui 4 octetos de 8 bits cada, portanto, o número total de endereços não é infinito e é de apenas 2^(4*8) = 2^32 = 4.294.967.296 endereços disponíveis, o que corresponde a uma sub-rede de 0.0.0.0/0. De acordo com a RFC1918, as seguintes redes: 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/24 foram “doadas” para necessidades privadas e, posteriormente, passaram a ser conhecidas como cinzas, uma vez que não são roteadas dentro da Rede Global.
Havia cada vez mais dispositivos de rede e o conjunto de endereços IP disponíveis estava se esgotando gradualmente. Provedores com um conjunto pequeno de endereços (ou seja, com mais clientes do que os endereços brancos disponíveis para atribuição) começaram a usar atribuições dinâmicas de IP com registro de sessão rigoroso. Outros provedores começaram a utilizar soluções temporárias representadas pela tecnologia NAT (Network Address Translation), permitindo a atribuição de um endereço branco para toda a sub-rede cinza.
Em 1º de fevereiro de 2011, os últimos 2 blocos /8 (máscara de sub-rede 255.0.0.0, número máximo de hosts 16.777.216) foram atribuídos ao APNIC. A necessidade de migrar do IPv4 para o IPv6 tornou-se premente para muitos usuários.
Figura 1. Comparação de cabeçalhos de pacotes IPv4 e IPv6
IPv6, razões para sua implementação e perspectivas
IPv6 é uma nova versão do amplamente conhecido protocolo IP (também chamado de IPv4). Seu lançamento foi marcado pelo evento Lançamento Mundial do IPv6, ocorrido em 6 de junho de 2012, após inúmeros testes e melhorias.
A justificativa para tal lançamento foi a atribuição dos últimos blocos de endereços IPv4 aos registradores regionais pela IANA. De acordo com os criadores, deve haver uma transição suave do IPv4 para o IPv6, e a necessidade do IPv4 desaparecerá eventualmente graças ao uso da técnica de pilha dupla. A dinâmica é mostrada na Figura 2, apresentada por Geoff Huston.
Figura 2. A dinâmica da coexistência do IPv4 e do IPv6.
Tudo muito bem, mas apenas na figura acima. Este projeto, assim como a multiplexação NAT, provou ser um fracasso. De fato, o futuro chegou, mas muitos se mostraram despreparados para essa transição do IPv4 para o IPv6.
Desafios da transição do IPv4 para o IPv6 e possíveis maneiras de superá-los
O primeiro e principal problema é a compreensão e a adoção de novos padrões. De uma perspectiva humana, trata-se, antes de tudo, da legibilidade do endereço de rede e sua compreensão. Não é segredo que os novatos em tecnologia da informação associam, em primeiro lugar, o endereço de rede ao endereço físico de uma placa de interface de rede (endereço MAC), diferindo apenas “no maior número de dígitos/grupos”. Aproximadamente da mesma forma que a informação foi aceita por especialistas experientes quando os rumores iniciais sobre o IPv6 começaram. O endereço de loopback 127.0.0.1 usual seria :: 1 no formato IPv6. Atenção especial deve ser dada ao formato duplo usado em ambientes mistos de IPv4 e IPv6. O formato IPv6 mais IPv4 (duplo) é y:y:y:y:y:y:x.x.x.x, onde y são os valores hexadecimais de seis segmentos de endereço de 16 bits (qualquer valor hexadecimal entre 0 e FFFF) separados por dois pontos e x são os valores decimais de quatro octetos de endereço de 8 bits (representação padrão do endereço IPv4) separados por pontos. Em última análise, o problema do treinamento de pessoal é solucionável. Desafios significativos são enfrentados em termos de interconexão de dispositivos mais novos e obsoletos. E é por isso.
Dispositivos adquiridos antes de 2012 não possuem implementação IPv6, seja em software ou hardware (os sistemas operacionais não são considerados). A troca de informações entre esses dispositivos é simplesmente impossível. Além disso, os equipamentos, tendo se tornado repentinamente obsoletos, ainda funcionam nas redes de muitas operadoras. A substituição de switches e roteadores por novos é um procedimento bastante custoso. Além disso, o software para equipamentos obsoletos simplesmente não está sendo desenvolvido.
Mesmo a implementação da pilha de software IPv6 seria impossível e resultaria em um aumento na carga da CPU e no uso de RAM devido às limitações do hardware.
Disponibilidade de redes IPv6 a partir de redes IPv4 e vice-versa
O segundo problema surge do primeiro, ou seja, a impossibilidade de comunicação entre dispositivos usando diferentes versões do protocolo IP. O IETF oferece várias soluções, mas todas se resumem ao uso de túneis IPv4 e uma pilha dupla. Vamos considerar algumas delas.
6to4 — para fornecer conectividade à internet IPv6 global, são utilizados os chamados relés 6to4. São gateways 6to4 que fornecem uma interface entre as redes 6to4 e o restante da internet IPv6. Uma limitação importante é a falta de controle sobre o relé, o que, consequentemente, torna impossível garantir a qualidade da comunicação. Apesar de sua popularidade, é usado principalmente em pequenas redes corporativas.
6rd— resolve o problema de obter acesso aos usuários do provedor IPv6 sem suporte a IPv6 na rede do provedor, já que ele usa seu próprio espaço de endereço IPv6 e toda a área de serviço do 6º é limitada pela rede do provedor.
DS-lite — implica que a rede do provedor suporta totalmente IPv6, mas utiliza túneis IPv4 para acessar seus recursos. O objetivo é usar um NAT centralizado ou CG-NAT. A comunicação com a rede IPv4 é implementada por meio de multiplexação; o acesso à rede IPv6 é implementado sem o uso de NAT. Este esquema não utiliza tradução de protocolos.
NAT64 — é aplicável somente caso ocorra a transição para IPv6 e o acesso a redes IPv4 ainda seja essencial. A necessidade de acesso IPv4 para IPv6 também é levada em consideração. A multiplexação de fluxo é necessária, porém, não há necessidade de tunelamento de tráfego. A interconexão de duas redes ocorre de forma transparente, mas surge outro problema com o suporte a DNS: em alguns casos, o endereço IPv4 será retornado e, em outros, o IPv6. Isso é resolvido por meio do uso do servidor de aplicativos ALG, que permite a substituição do endereço IPv4 por um IPv6.
Figura 3. NAT64 + DNS
Apesar da promessa e facilidade de uso do NAT64 e do NAT em geral, um terceiro problema aparece.
O NAT não resolve todos os problemas
Considerando que todos os métodos de transição se baseiam, em graus variados, no uso do NAT e que o número total de usuários da Internet está crescendo constantemente (as estatísticas podem ser visualizadas aqui), surge a questão dos desafios enfrentados ao usar a tradução de endereços de rede. Aqui estão alguns deles:
A qualidade da comunicação pode diminuir devido à fragmentação de pacotes. Dispositivos NAT adicionais podem causar atrasos adicionais.
A identificação do usuário se tornará mais complexa, pois um endereço pode corresponder a vários usuários.
A funcionalidade dos aplicativos pode ser impossível devido às suas características especiais de rede, como conexões que utilizam portas estritamente definidas, atribuídas a partir de um intervalo de portas conhecido. Em uma rede menor, pode-se usar o PAT (Encaminhamento de Porta) e novamente apenas uma vez.
Certos fatores podem afetar a segurança. Um ataque DDoS em um endereço IP afetará o segmento de rede por trás dele. A alternativa inversa — um ataque de um dos clientes da rede — afetará negativamente as sanções aplicáveis a todo o segmento. Mas não se deve esquecer que a limitação no uso de portas por um usuário ou por um aplicativo pode levar a uma maior probabilidade de ataque DDoS.
Vantagens do IPv6
Em meio às desvantagens, principalmente relacionadas ao desafio da transição IPv4 para IPv6, e não à sua manutenção, o IPv6 apresenta diversas vantagens sobre o IPv4.
A primeira e, sem dúvida, a mais importante vantagem é o enorme espaço de endereços. O número de endereços IPv6 é 1028 (2128/232) vezes maior que o número de endereços IPv4.
Teoricamente, estão disponíveis 340.282.366.920.938.463.463.374.607.431.768.211.456 endereços. Isso significa uma densidade de cerca de 6.67 * 10 ^ 27 endereços IPv6 por metro quadrado do nosso planeta.
Outro recurso importante é a autoconfiguração de endereços IP. Isso é possível graças à técnica SLAAC (Stateless Address Autoconfiguration). Ela pode ser usada tanto em conjunto com o DHCP quanto individualmente. O princípio SLAAC é que, ao criar uma rede, você especifica o endereço do gateway e o prefixo da rede. Isso é suficiente para fornecer endereços IP aos dispositivos de rede. As informações de configuração são enviadas pelo roteador a cada 200 segundos para o endereço multicast FF02::. Esses pacotes são chamados de Anúncio de Roteador (RA).
Simplificação do roteamento — a introdução do campo “Flow Label” no protocolo IPv6 simplificou significativamente o procedimento de roteamento de um fluxo homogêneo de pacotes. Além disso, espera-se que simplifique a transmissão multicast. Vale ressaltar que o protocolo define um novo tipo de endereço denominado anycast, de modo que o pacote enviado para o endereço anycast será enviado para a interface mais próxima da lista de endereços. Os roteadores podem armazenar apenas endereços de rede agregados em suas tabelas, o que reduz o tamanho médio da tabela de roteamento para 8.192 entradas.
Removendo campos redundantes de pacotes — A Figura 1 mostra que o cabeçalho do pacote não contém campos redundantes. Embora o tamanho do pacote tenha aumentado, ele é mais fácil de ser manipulado pelo roteador. A transmissão de informações se torna mais eficiente.
O suporte à qualidade de serviços (QoS) é um novo campo que define os critérios pelos quais a rota do pacote entre a origem e o destino será escolhida. O uso deste campo permite que os roteadores identifiquem e forneçam tratamento especial aos pacotes relacionados a essa conexão lógica. Como o tráfego é identificado no cabeçalho IPv6, o suporte à QoS pode ser fornecido mesmo que a carga útil do pacote seja criptografada por IPSec.
Capacidade de proteção criptográfica e segurança aprimorada na transmissão de dados — o protocolo IPsec permite criptografar quaisquer dados (incluindo UDP) sem a necessidade de qualquer suporte do software aplicativo.
Vale a pena o esforço de transição do IPv4 para o IPv6?
No momento em que este artigo foi escrito, a maioria dos dispositivos já era compatível com IPv6. De qualquer forma, os sistemas operacionais e roteadores modernos suportam a implementação padrão deste protocolo. No entanto, como já mencionado, as operadoras de telecomunicações possuem uma quantidade significativa de equipamentos “obsoletos” em suas redes. Não há necessidade urgente de migrar para IPv6. A tecnologia dual-stack será usada por um longo tempo, mas a transição IPv4 -> IPv6 é inevitável.
Como desenvolvedores profissionais de soluções para operadoras de telecomunicações (DPI, BRAS, Sistemas de Monitoramento de Comunicações), estamos sempre abertos a atender às solicitações dos clientes, por isso, estamos constantemente modificando e aprimorando nossos produtos. As versões mais recentes do Stingray Service Gateway oferecem suporte a IPv6 e, em breve, apresentaremos uma nova versão com suporte a Dual Stack (modelagem de tráfego, serviços, terminação, atribuição de endereços) e tecnologia NAT.
Para obter mais informações sobre as vantagens do moderno sistema de inspeção profunda de pacotes — o Stingray Service Gateway —, seu uso eficaz em redes de operadoras de telecomunicações e também sobre a migração de outras plataformas, consulte os especialistas da VAS Experts.
