Configuração avançada de redes IPv6: um guia prático completo

Informatec Digital » Recursos » Configuração avançada de redes IPv6: um guia prático completo

Dando o salto para o IPv6 Em uma rede avançada, não é mais algo "para depois": trabalho remoto, mais dispositivos, serviços em nuvem e a escassez de IPv4 significam que é uma mudança que você terá que implementar mais cedo ou mais tarde. A boa notícia é que, com um bom planejamento, você pode implantar o IPv6 em sua rede corporativa ou doméstica avançada sem grandes dificuldades e aproveitar seus benefícios reais em desempenho, segurança e escalabilidade.

Neste artigo, vamos entrar em detalhes muito específicos.O que é IPv6, como ele se integra ao IPv4 (dual stack, transição), como configurá-lo em roteadores comuns (ASUS, Omada, UniFi, FRITZ!Box, etc.), como dividir uma rede corporativa /48 em VLANs, quais opções escolher nos menus do IPv6, como controlar o acesso com ACLs em vez de NAT e quais configurações especiais você deve conhecer em sistemas como o Windows para que tudo funcione como esperado.

O que é IPv6 e por que você deve habilitá-lo agora?

IPv6 é a versão moderna do protocolo IP.O IPv6 foi projetado para substituir gradualmente o IPv4 e, sobretudo, para resolver o problema do esgotamento dos endereços públicos. Enquanto o IPv4 utiliza endereços de 32 bits (aproximadamente 4.294 bilhões de endereços teóricos), o IPv6 utiliza 128 bits, o que se traduz em um número astronômico de endereços, da ordem de 340 sextilhões.

Na prática, isto significa que Você pode atribuir um endereço público exclusivo a praticamente qualquer dispositivo, máquina virtual, contêiner ou serviço, eliminando grande parte da complexidade do NAT, encaminhamento de portas e traduções complexas. Além disso, o IPv6 inclui melhorias nativas em autoconfiguração, segmentação de rede e suporte a serviços avançados.

Ao se conectar a um siteO nome de domínio é resolvido para um endereço IP (v4 ou v6) que identifica o destino na rede. Em IPv4, você está acostumado a ver endereços como 192.168.1.1 ou 10.0.0.1. Em IPv6, o formato é hexadecimal e é representado por blocos separados por dois pontos, por exemplo, 2001:db8:abcd:1::1.

Hoje em dia, a maioria dos operadores Eles estão implementando o IPv6 em modo de pilha dupla, o que significa que fornecem ao cliente endereços IPv4 e IPv6 simultaneamente. O sistema e os aplicativos escolhem qual protocolo usar com base em políticas de preferência, geralmente priorizando o IPv6 quando ele está disponível e funcional.

Tipos de conexão IPv6 e mecanismos de transição

Antes de tocar em qualquer coisa no roteadorVocê precisa saber qual tipo de conexão IPv6 seu provedor de serviços de internet (ISP) oferece. Normalmente, você terá que selecionar esse tipo nas configurações de WAN ou internet do seu computador. Se você não souber, pergunte ao seu provedor de internet, pois isso é crucial para a configuração correta do IPv6 na sua rede.

Entre os tipos mais comuns em roteadores domésticos e corporativos Você encontrará opções como:

• nativo (às vezes chamado de “Nativo” ou simplesmente “IPv6”): a operadora encaminha um prefixo IPv6 diretamente para o seu roteador, sem túneis especiais. Este é o caso ideal e o mais fácil de gerenciar.
• IPv6 estáticoO provedor de internet atribui a você um bloco fixo (por exemplo, /48 ou /56) e você configura manualmente o endereço e o prefixo na interface WAN do roteador.
• AtravessarO roteador funciona como uma "ponte" e permite que o dispositivo atrás dele obtenha diretamente a configuração IPv6 (típico em alguns cenários com IP automático na WAN).
• Túneis 6to4, 6in4 e 6rdMecanismos de transição que encapsulam pacotes IPv6 dentro de IPv4 quando o provedor ou a infraestrutura intermediária ainda não oferecem suporte nativo ao IPv6. O 6rd, por exemplo, é uma variante de implantação sem estado "rápida", semelhante ao 6to4.
• Serviços específicos como o IPv6 da FLET: amplamente utilizado no Japão, onde alguns provedores implementam suas próprias soluções que exigem modelos de configuração específicos no roteador.

Em todo caso, o ponto crucial Primeiro, você precisa configurar a conexão WAN IPv4 (IP automático, PPPoE, IP estático etc.) e, em seguida, selecionar o tipo de IPv6 correspondente. Muitos roteadores até preenchem automaticamente alguns dos parâmetros IPv6 quando detectam corretamente o tipo de conexão.

Configurando o IPv6 em um roteador típico (por exemplo, ASUS)

Vamos usar um roteador ASUS como referência.Porque seus menus são bastante representativos do que você encontrará em muitas outras marcas. O fluxo geral costuma ser muito semelhante: acesse a interface web, as configurações de WAN e, em seguida, a seção específica de IPv6 dentro das Configurações Avançadas.

Etapas típicas para ativar o IPv6 Em um roteador desse tipo, eles seriam:

1. Conecte um computador ao roteador. via cabo ou Wi-Fi e acesse a interface web, seja através do endereço IP da LAN (por exemplo, 192.168.1.1) ou de um URL específico, como http://www.asusrouter.com.
2. Faça login no console de administração com o nome de usuário e a senha do dispositivo. Se você os esqueceu, a única opção é restaurar o roteador para as configurações de fábrica e configurá-lo novamente.
3. Primeiro, verifique o tipo de conexão WAN IPv4. Na seção WAN > Conexão com a Internet, você poderá verificar se está usando PPPoE, IP automático (DHCP), IP estático, etc.
4. Acesse o menu IPv6 Nas configurações avançadas, selecione o tipo de conexão IPv6 conforme indicado acima.

Por exemplo, uma combinação típica costuma ser:

• Se a WAN IPv4 estiver em PPPoESelecione o tipo IPv6 nativoO roteador utilizará a sessão PPPoE para obter as informações IPv6 da operadora.
• Se a WAN IPv4 for I.P. estático, escolher IPv6 estático Na seção IPv6, preencha manualmente o endereço, prefixo, gateway e DNS fornecidos pelo seu provedor de internet.
• Se a WAN IPv4 estiver em IP automático (DHCP)Muitos guias recomendam o uso de Atravessar para que a configuração IPv6 seja passada diretamente para o dispositivo que a requer ou seja gerenciada automaticamente.

Após aplicar as alteraçõesO roteador geralmente reinicia parcialmente o serviço de rede. Uma maneira rápida de verificar se você está recebendo parâmetros IPv6 é fazer login novamente e verificar a seção de configuração da LAN IPv6: se você vir endereços e prefixos atribuídos, a parte da WAN IPv6 está funcionando.

Para confirmar a conectividade real.Um teste recomendado é visitar uma página de teste como test-ipv6.com, que analisa se seu navegador e provedor suportam corretamente o protocolo e informa se você está operando em pilha dupla, se há erros de DNS ou se você só tem IPv4.

Implantação do IPv6 em redes avançadas com VLANs e prefixos /48

Em contextos um pouco mais sériosPor exemplo, em escritórios com várias VLANs e equipamentos do tipo UniFi ou Omada, o provedor de internet geralmente fornece um prefixo estático grande, como /48. A partir daí, sua tarefa é dividir esse bloco em sub-redes /64 (ou outras, se a plataforma suportar) que você atribuirá a cada VLAN ou segmento lógico.

Digamos que seu fornecedor lhe dê um /48 Por exemplo, você usaria o comando 2001:b33f:f33d::/48 na interface WAN do seu roteador e 2001:b33f:f33d::2 no roteador do seu provedor de internet, que é 2001:b33f:f33d::1. Essa configuração WAN é simplesmente o link de saída. O importante é como você distribui esse /48 na rede local (LAN).

Em IPv6, é muito comum trabalhar com /64. Em cada link de Camada 2, pois esse é o tamanho recomendado para permitir a autoconfiguração (SLAAC) e outros recursos. Começando com um /48, você tem 2^(64-48) = 65.536 sub-redes /64 disponíveis; em outras palavras, você tem mais do que o suficiente para atribuir blocos confortavelmente a cada VLAN, rede Wi-Fi para convidados, DMZ, etc.

Nas configurações da interface LAN do seu roteador. (Por exemplo, em um gateway UniFi ou Omada) você verá um campo "Endereço IPv6" ou "Prefixo IPv6" e um menu suspenso com tamanhos de máscara entre /64 e /127. O mais comum e recomendado é deixar em /64, a menos que você tenha um caso muito específico.

A ideia é mais ou menos assim::

• VLAN 10 (rede corporativa): 2001:b33f:f33d:10::/64
• VLAN 20 (convidados): 2001:b33f:f33d:20::/64
• VLAN 30 (servidores): 2001:b33f:f33d:30::/64
• VLAN 40 (laboratório/IoT): 2001:b33f:f33d:40::/64

Em cada VLAN, o roteador terá um endereço. válido dentro desse /64, que atuará como gateway para os clientes, por exemplo, 2001:b33f:f33d:10::1 para a VLAN 10, 2001:b33f:f33d:20::1 para a VLAN 20 e assim por diante. O campo que muitos dispositivos rotulam como “IP/Máscara de Sub-rede do Gateway” refere-se precisamente a esse endereço de roteador juntamente com o comprimento do prefixo (/64).

Em relação aos clientesNormalmente, eles obtêm um único endereço IPv6 global dentro da sub-rede /64 atribuída, seja por meio de SLAAC, DHCPv6 ou uma combinação de ambos (SLAAC para o endereço IP e DHCPv6 para parâmetros adicionais, como DNS). Sub-redes inteiras geralmente não são delegadas a cada dispositivo, exceto em contextos muito específicos (por exemplo, roteadores internos que, por sua vez, distribuem prefixos usando DHCPv6-PD).

Ao dividir o espaço de endereçamento entre várias VLANsEm vez de se preocupar com o consumo (você tem muitos prefixos disponíveis), você está interessado em ter um esquema organizado e fácil de entender: usar números de VLAN nos últimos 16 bits do prefixo, reservar intervalos consecutivos para serviços internos, separar convidados, IoT e produção com blocos bem diferenciados, etc.

Autoconfiguração, DAD e parâmetros avançados de IPv6 em interfaces.

Ao habilitar o IPv6 em uma interface (LAN, VLAN, túnel, etc.), muitos sistemas permitem ajustar parâmetros avançados que já vêm razoavelmente bem configurados por padrão. Geralmente, é melhor não alterá-los, a menos que você tenha uma necessidade muito específica para sua rede.

Um desses parâmetros é o “Limite de Salto”. (limite de saltos), que é o equivalente ao TTL no IPv4: o número máximo de saltos que um pacote pode percorrer em um roteador antes de ser descartado. O valor padrão mais comum é 64, o que geralmente é mais do que suficiente mesmo em redes grandes.

Outra configuração comum é o número de transmissões DAD. (Detecção de Endereços Duplicados). O IPv6 executa um processo para verificar se um endereço não está duplicado na rede antes de usá-lo. Um valor típico é 1, o que reduz o tempo de configuração, mantendo uma verificação mínima. Definir como 0 desativa a detecção de endereços duplicados, o que geralmente não é recomendado, exceto em cenários altamente controlados.

Na maioria dos controladores e roteadores Você verá esses parâmetros em uma aba específica do IPv6 ao editar a interface. A própria documentação geralmente recomenda manter os valores padrão, a menos que você saiba exatamente o que está alterando e por quê.

Controle de acesso e segurança em IPv6: ACLs em vez de NAT

Uma diferença muito importante em comparação com o IPv4. O problema é que o NAT não é usado da mesma forma no IPv6. Cada dispositivo pode ter endereços roteáveis ​​globalmente diretamente da internet, então a primeira barreira de segurança passa a ser o firewall/ACL do gateway, em vez do próprio efeito colateral do NAT.

Em gateways do tipo OmadaA funcionalidade de lista de controle de acesso (ACL) para IPv6 é fundamental. Ela permite que o administrador defina regras que filtram o tráfego com base no endereço de origem, endereço de destino, portas ou protocolos, e decida se deve permitir ou negar cada tipo de tráfego.

Por padrão, muitos gateways Omada Eles já bloqueiam o acesso de redes externas para redes internas quando se trata de tráfego IPv6, justamente porque não há NAT para "ocultar" os endereços internos. Em outras palavras, o acesso da internet à sua LAN é completamente cortado, a menos que você crie brechas explicitamente.

Para cenários típicos de controle de acesso IPv6Você tem vários padrões de configuração:

• Impeça o acesso da Internet à rede interna.Geralmente é bloqueado por padrão, mas você pode revisar ou restringir ainda mais a política com ACLs adicionais em IPv6.
• Permitir acesso a um servidor interno (Por exemplo, um servidor web em uma VLAN de servidor): um grupo de endereços IPv6 interno (my_server) e um grupo de clientes ou intervalo externo (my_client) são definidos, e uma regra ACL do tipo WAN-IN é criada para permitir esse tráfego.
• Restringir o acesso à internet para determinados dispositivos (por exemplo, computadores infantis ou dispositivos IoT): um grupo IPv6 é criado com esses clientes (children_pc) e outro que representa a Internet, e uma regra ACL LAN->WAN é adicionada no modo Negar para esse grupo.

O fluxo de trabalho no Omada Em resumo: configure corretamente a conexão WAN IPv6, habilite e defina o modo IPv6 nas LANs/VLANs, defina grupos IPv6 com os endereços ou intervalos de seu interesse e, por fim, crie regras de ACL de gateway onde você escolhe a direção do tráfego (ENTRADA, SAÍDA, LAN->WAN), a política (Permitir/Negar), os protocolos e os pares de origem/destino com base nesses grupos.

É importante garantir que o firmware esteja correto. O software do gateway está atualizado, pois os recursos mais recentes de controle de acesso IPv6 podem exigir versões recentes do software do sistema.

Ativação do IPv6 em ambientes domésticos e de pequenos escritórios

Em um ambiente doméstico ou de escritório pequenoO processo de ativação do IPv6 geralmente é menos intimidante do que parece. O importante é que seu provedor de internet já ofereça suporte a IPv6 em sua linha e que seu roteador o reconheça corretamente.

Os passos gerais seriam::

1. Confirme com seu fornecedor. Confirme se sua conexão suporta IPv6 e em qual modo (dual stack, somente IPv6 com NAT64, etc.). Pergunte também se você precisa trocar algum equipamento ou firmware.
2. Verifique se o roteador suporta IPv6.Isso é comum em equipamentos modernos como FRITZ!Box, roteadores ASUS, TP-Link Archer (C, AX, etc.), Omada, UniFi, etc.
3. Acesse a interface web do roteador. (192.168.1.1, 192.168.0.1 ou outro, dependendo do fabricante) e procure a seção IPv6 nas opções avançadas ou no menu de rede.
4. Ative o IPv6 e escolha o tipo de conexão. Indicado pelo provedor de internet: DHCPv6, PPPoE com IPv6 nativo, IP estático, túnel 6rd, etc.
5. Aplique as alterações e reinicie, se necessário.Em seguida, verifique em um site como o test-ipv6.com se sua conexão de internet já está usando IPv6.

Na maioria dos sistemas operacionais modernos (Windows 10/11, macOS, Linux, Android, iOS), o IPv6 está habilitado por padrão. No Windows, por exemplo, basta acessar as propriedades do adaptador de rede e verificar se a caixa "Protocolo de Internet versão 6 (TCP/IPv6)" está marcada.

Assim que o roteador anunciar corretamente o prefixo E se os clientes tiverem o IPv6 ativado, cada dispositivo obterá automaticamente seu endereço global e local de link, sem precisar alterar nada no próprio dispositivo.

Perspectiva do Windows: Preferência por IPv4/IPv6 e desativação parcial

Em ambientes gerenciados pelo WindowsVale ressaltar que o sistema implementa a lógica de seleção de endereço descrita na RFC 3484, mantendo uma tabela de prefixos que decide qual endereço usar quando a mesma máquina possui vários IPs (IPv4 e IPv6) associados a um nome DNS.

Por padrão, o Windows tende a usar IPv6. desde que haja um endereço unicast global disponível e a conectividade esteja correta, embora ainda seja perfeitamente capaz de funcionar em paralelo com IPv4.

Alguns administradores optam por desativar ou limitar o IPv6. Para diagnosticar problemas de rede, especialmente quando há suspeita de problemas relacionados à resolução de nomes ou configurações IPv6 incompletas, a Microsoft disponibiliza um mecanismo centralizado para monitorar o uso do IPv6 por meio do registro do sistema.

A chave de registro relevante é:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents

Este é um valor REG_DWORD. que pode variar de 0x00 (comportamento padrão, IPv6 totalmente habilitado) a 0xFF (desabilitando efetivamente o IPv6 na maioria das interfaces, embora o sistema ainda o utilize internamente para suas próprias tarefas).

Algumas configurações úteis são:

• Prefira IPv4 a IPv6: valor 0x20 (32 em decimal). Mantém o IPv6 ativo, mas modifica as políticas de prefixo para que o IPv4 seja escolhido quando disponível. Isso é considerado preferível a desativar o IPv6 completamente.
• Desativar IPv6 em interfaces que não sejam de túnel: valor 0x10 (16 decimal), que afeta as interfaces nativas.
• Desativar IPv6 nas interfaces de túnel: valor 0x01 (1 decimal), útil se tecnologias de transição como 6to4, ISATAP ou Teredo não forem desejadas.
• Desligue em quase todos os lugares: 0xFF (255 decimal), que desativa o IPv6 tanto em túneis quanto em interfaces nativas, com a exceção de que o sistema ainda mantém ::1 para loopback e usos internos.

Para alterar esse valor a partir do console administrativo Você pode usar um comando como este:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" /v DisabledComponents /t REG_DWORD /d <valor> /f

O Windows usa uma máscara de bits Este campo é usado para decidir quais componentes são desativados: túneis, 6to4, ISATAP, Teredo, interfaces nativas, preferência IPv4, etc. Cada bit é interpretado como verdadeiro (1) ou falso (0) para as diferentes funções, e combinações específicas como 0x20, 0x10, 0x01 ou 0x11 correspondem a cenários comuns documentados pela Microsoft.

É importante entender que esta chave O status da caixa de seleção "Internet Protocol versão 6 (TCP/IPv6)" nas propriedades da interface não muda; ou seja, você pode ver a caixa de seleção marcada mesmo se tiver limitado ou desativado o IPv6 no nível do registro. Este é o comportamento esperado.

Se o que você deseja é desassociar o IPv6 A partir de uma interface específica, você pode:

• Remova a caixa de seleção IPv6 nas propriedades de rede do adaptador.
• Use o PowerShell com um comando como:
  Disable-NetAdapterBinding -Name "NombreDeMiAdaptador" -ComponentID ms_tcpip6

Além disso, no Windows Tecnologias como 6to4 são habilitadas por padrão quando o computador possui endereços IPv4 públicos. Se você não deseja que essas interfaces de túnel sejam criadas ou que endereços IPv6 sejam registrados automaticamente no DNS, você pode desabilitá-las definindo DisabledComponents como 0x01 ou usando a Política de Grupo para desabilitar 6to4, ISATAP e Teredo.

Modelos de roteadores e suporte a IPv6

O suporte ao IPv6 tem se expandido. Com o tempo, essa tecnologia foi adotada por praticamente todos os roteadores domésticos e para pequenas empresas, tanto de gama média quanto de alta gama. Marcas como ASUS, AVM FRITZ!Box, TP-Link (séries Archer e Omada) e outras soluções SD-WAN geralmente incluem suporte completo a IPv6 em seus firmwares mais recentes.

No ecossistema TP-Link Archer, por exemploExistem muitos modelos destinados a diferentes cenários (AX57, C1200, C5400, AX55, C4, C5200, AX53, C5, AX10, C2, AX51, AX96, A2200, TL-WR1043N V5, C80, AXE95, C8, AX10000, C3150, C9, AX50, C6, C7, AX90, AX6000, C5400X, C25, C24, A20, A64, C60, C2600, A1200, C21, C20, C64, AX1800, AX206, C59, C58, AX4200, C3200, C900, A2, AX75, AX4400, C3000, AX73, C50, A10, A54, AX4800, C1900, C55, C54, A2300, TL-WR841N V14.20, AXE75, A6, A7, AX72, AXE5400V, AXE200 Omni, A5, GX90, A8, A9, AX68, C2300, AX5300, C1210, AX23, AX20, C4000, AX21, AX3000V, A3000, C2700, AXE300, AX1500, AX60, AX11000, AX3200, AX3000…).

Em muitos desses modelos O suporte para IPv6 ou recursos específicos (como DHCPv6-PD, tunelamento, controle parental IPv6, ACLs avançadas, etc.) tem sido aprimorado com as atualizações de firmware. É recomendável verificar a central de downloads do fabricante, confirmar a versão do hardware do seu dispositivo e ler a ficha técnica ou as notas de versão para ver o que foi adicionado recentemente.

Além disso, leve em consideração a disponibilidade. A disponibilidade de determinados produtos e funcionalidades varia conforme a região, portanto, um modelo específico com certas capacidades de IPv6 pode não estar disponível em seu país ou pode não ter exatamente as mesmas funcionalidades que em outra região.

Suporte, firmware e testes funcionais

Ao trabalhar com IPv6 É especialmente importante manter o firmware do seu equipamento atualizado: bugs na implementação do DHCPv6, falhas no RA (Router Advertisements), problemas com túneis 6rd/6to4 ou incompatibilidades com ACLs podem complicar bastante a sua vida.

Os fabricantes geralmente centralizam Baixe drivers, firmware, utilitários e manuais dos respectivos centros de suporte (por exemplo, o Centro de Downloads da ASUS ou o portal de suporte do FRITZ!Box). Consultar regularmente as notas de versão fornecerá informações sobre melhorias relacionadas a IPv6, segurança e desempenho.

Após qualquer alteração importante na configuração (Ativar IPv6, modificar prefixos, ajustar ACLs, alterar a preferência IPv4/IPv6 em clientes Windows, etc.) É recomendável realizar uma bateria mínima de testes:

• Acesse sites que só aceitam IPv6 ou que priorizam IPv6.
• Utilize ferramentas como o test-ipv6.com para verificar conectividade, DNS, vazamentos e transição.
• Realize testes de ping e traceroute para endereços IPv6 internos e externos.
• Verifique se as regras do firewall/ACL estão funcionando conforme o esperado no tráfego IPv6.

Se algo não funcionarUm plano de diagnóstico típico inclui verificar o tipo de conexão configurado, confirmar se os prefixos da LAN estão corretos, verificar se os clientes estão recebendo endereços válidos, atualizar o firmware e, por fim, redefinir o roteador para as configurações de fábrica para descartar configurações legadas que possam estar causando interferência.

Diante desse cenário, o IPv6 deixa de ser Esse "bug estranho" se torna apenas mais uma ferramenta em seu conjunto de recursos de rede: configurado corretamente, ele oferece um esquema de endereçamento muito mais limpo, simplifica alguns cenários de publicação de serviços e, bem protegido com ACLs e firewalls, não representa necessariamente um risco adicional em comparação com o IPv4, mas sim o oposto, graças ao seu design mais moderno.