Blog Agility

Planejamento de Escopo IPv6

Planejamento de Escopo IPv6

Sempre achei que esse dia demoraria para chegar, mas chegou: dias atrás recebemos um projeto de Planejamento de Redes em que o cliente adquiriu um link internet e recebeu um range IPv6. E agora, o que fazer? Como distribuir os endereços, como dividir as sub-redes, onde e como atribuir cada endereço?

No IPv4, já estamos bem acostumados a fazer isso: Você compra um link de um ISP e recebe um range de IPv4s públicos (200.x.x.x, 189.y.y.y etc.) e para as redes internas, usamos os IPs privados (10/8, 172.16/12 e 192.168/16), dividindo as sub-redes conforme localização, função etc. Mas no IPv6 tudo muda, pois não existe mais NAT entre IPs públicos e privados. E como dividir aqueles números (números?) malucos em diversos pedaços, ainda mantendo uma lógica compreensível?

Apenas para uma comparação, o bloco de endereços privados autoconfigurados IPv6 é o fe80::/10. Em uma leitura rápida e fazendo uma comparação com o que conheço de IPv4, só entendi o “/10” que é a designação de máscara de rede (isso não mudou tanto assim – OBA!). Mas esse é só o começo da história. Por não haver mais NAT, qualquer endereço IPv6 “privado” agora é também público. Os firewalls farão seus controles baseados em fluxo e não mais por obscuridade, isolando os blocos públicos e privados do IPv4.

A quantidade absurda de endereços IP disponível no IPv6 proporciona aos administradores de rede um novo patamar de flexibilidade na definição de planos de endereçamento IP. Mas, para criar um plano eficiente, estes administradores podem se beneficiar de um conjunto de melhores práticas para gerenciar de forma mais eficiente esta abundância de bits disponíveis em uma alocação de endereços IPv6. Aqui estão oito conceitos ou fundamentos que devem ser considerados:

  1. Planeje com abundância: por causa da oferta quase ilimitada de endereços do IPv6, as sub-redes não são mais dimensionadas pela quantidade de equipamentos por segmento ou por domínio de broadcast. Ao invés disso, o plano de endereçamento IPv6 padrão sugere uma sub-rede “pau-para-toda-obra” (/64). A eficiência no endereçamento IPv6 é mais a respeito de consistência e legibilidade do que conservação de endereços;
  2. Sub-rede tamanho padrão: no endereçamento IPv6, uma sub-rede /64 permite 1,8x10e19 endereços IP (mais que um trilhão de vezes os endereços IP fornecidos por uma rede 10/8 inteira) e é um tamanho “padrão” para sub-redes, sendo que não é recomendado alocar redes menores que /64, exceto para links ponto a ponto;
  3. Links ponto a ponto: a melhor prática da RFC6164 dita que esses links deveriam usar uma máscara /127 (apesar de haver algumas /126 e /64 em produção). Para melhorar a consistência do plano de endereçamentos, pode-se reservar uma sub-rede /64 para cada link ponto a ponto ou uma /64 para cada zona de roteamento, mas configurar a máscara /127 nas interfaces. Os endereços de loopback /128 podem ser alocados da primeira sub-rede /64 disponível na rede /48 reservada para a infraestrutura;
  4. Alocação padrão para sites: a alocação padrão para cada site é uma sub-rede /48. Se você tem mais de um site, talvez seja recomendado ter uma alocação maior, como um /40 para 16 sites, um /36 para até 256 sites ou um /32 para até 65.536 sites, mas ainda assim são MUITOS endereços disponíveis;
  5. PI x PA: as alocações IPv6 provenientes dos ISPs são geralmente chamadas de alocações PA (Provider Aggregatable), geralmente amarradas à duração do contrato de serviços. Alternativamente, alocações provenientes dos RIRs (Regional Internet Registries) são chamadas de PI (Provider Independent) e são consideradas permanentes, algo parecido com os atuais ASNs (Autonomous System Numbers). Ambos são globalmente registrados e roteáveis e, em geral, ambientes com múltiplos provedores necessitam de alocações PI;
  6. Criando um plano de endereçamento legível: grupos de alocações IPv6 fracionadas da alocação primária são feitas geralmente em máscaras com múltiplos de 4 bits (/36, /40, /44, /48, /52, /56, /60 e /64). Este método diminui a granularidade no plano de endereçamento, mas facilita a leitura das redes:
    rodrigo-ipv6-subnet-multi4
  7. Alocação por localidade ou função: a abundância de endereços IP permite a possibilidade de criarmos grupos de redes baseados em características geográficas e/ou funcionais
    rodrigo-ipv6-local-funcoes permitindo políticas de roteamento e firewall mais eficientes. Além disso, é possível codificar os atuais endereços IPv4 dentro dos endereços IPv6 se for necessário alguma consistência entre as famílias de endereços durante a migração para o IPv6 (mas geralmente recomendamos que esta técnica seja usada apenas temporariamente, pois pode interferir na eficiência e escalabilidade do plano de endereçamento IPv6);
  8. Alocação de endereçamento de Hosts: existem três mecanismos primários de endereçamentos de Hosts IPv6: SLAAC (Stateless Address Auto Configuration), DHCPv6 (Dynamic Host Control Protocol for IPv6) e endereçamento estático. Na maioria dos ambientes em produção, os requisitos de segurança e compliance podem recomendar o uso de DHCPv6 ao invés de SLAAC, enquanto equipamentos de rede e servidores devem ainda usar endereços estáticos.

E você, já se deparou com alguma rede IPv6?

(Fonte: Eight Things You Need to Know Before Creating an IPv6 Addressing Plan – Infoblox)