ping6.net
Melhores Práticas

Implantação IPv6: Lista de Verificação para Administrador de Rede

Uma lista de verificação prática para implantar IPv6 em produção. Do planejamento de endereços ao monitoramento, não perca estes passos críticos.

ping6.net14 de dezembro de 20249 min read
IPv6implantaçãomelhores práticasadmin de redechecklist

Implantar IPv6 não é apenas habilitar um protocolo. É planejar um esquema de endereçamento que escala, configurar políticas de segurança que correspondam às suas regras IPv4 e garantir que seu monitoramento detecte problemas antes dos usuários.

Esta lista de verificação cobre o que você realmente precisa fazer, baseado em implantações reais. Pule etapas por sua conta e risco.

TL;DR - Resumo rápido

Pontos-chave:

  • Planeje seu esquema de endereçamento antes de atribuir endereços
  • Configure segurança IPv6 para corresponder às políticas IPv4
  • Teste minuciosamente antes de ir para produção
  • Monitore tanto tráfego IPv4 quanto IPv6 separadamente
  • Documente tudo—seu eu futuro agradecerá

Ir para: Planejamento de Endereços | Configuração de Segurança | Testes | Monitoramento

Antes de Começar#

Fazer Inventário#

Liste cada dispositivo, aplicativo e serviço que precisa de conectividade de rede. Não assuma que tudo suporta IPv6—teste. Aquela impressora legada ou sistema SCADA pode ser o bloqueador que você não esperava.

Verifique o suporte do fornecedor. O suporte do SO é quase universal agora, mas software proprietário e sistemas embarcados podem ficar para trás. Saiba o que funciona e o que não antes de se comprometer.

Obtenha Sua Alocação#

Solicite espaço IPv6 do seu ISP ou Registro Regional de Internet. A maioria dos ISPs fornece pelo menos um /48 para clientes empresariais, dando 65.536 sub-redes /64. Se você é multihomed ou executa um datacenter, obtenha sua própria alocação Provider Independent (PI).

Não se contente com um /64, a menos que seja uma loja de sub-rede única. Você precisa de espaço para crescer.

Projete Seu Esquema de Endereçamento#

Planeje seu endereçamento antes de atribuir qualquer coisa. Um /48 dá um campo de sub-rede de 16 bits—use-o sabiamente. Agrupe sub-redes por localização, função ou zona de segurança.

Esquema de exemplo:

2001:db8::/48          Sua alocação
2001:db8:0001::/64     Rede do escritório sede
2001:db8:0002::/64     VLAN de servidor sede
2001:db8:0100::/64     Filial 1
2001:db8:0200::/64     Filial 2
2001:db8:1000::/64     Servidores web DMZ

Reserve intervalos para uso futuro. Deixe lacunas. Você não se arrependerá de ter espaço extra.

Treine Sua Equipe#

IPv6 parece diferente. Notação hexadecimal, regras de abreviação de endereço e o tamanho absoluto dos endereços confundem as pessoas. Execute sessões de treinamento. Certifique-se de que todos entendam o básico antes do dia da implantação.

Cubra ICMPv6—não é opcional como ICMP no IPv4. Bloqueá-lo quebra a descoberta de vizinhos e descoberta de MTU de caminho.

Planejamento de Endereços#

Use Sub-redes /64 Completas#

Sempre aloque /64 para redes de usuários finais. SLAAC requer isso, e tentar usar /127 ou /126 em LANs causa dores de cabeça operacionais. O espaço de endereçamento é enorme—use-o.

Para links ponto-a-ponto, /127 é aceitável e recomendado (RFC 6164). Previne ataques ping-pong e economiza uma quantidade negligenciável de espaço que você não precisa economizar.

Documente Tudo#

Comece a documentação no primeiro dia. Registre sua alocação, atribuições de sub-rede e a lógica por trás delas. Seu eu futuro—ou seu substituto—precisará disso.

Use ferramentas IPAM. Planilhas funcionam para redes pequenas, mas ferramentas dedicadas como NetBox ou phpIPAM escalam melhor e reduzem erros.

Reserve Espaço para Crescimento#

Não aloque sub-redes sequencialmente sem planejar. Deixe espaço entre grupos lógicos. Se sua rede de escritório é 2001:db8:100::/64, não coloque o próximo escritório em :101::/64. Use :200::/64 e dê a si mesmo 256 sub-redes de espaço para respirar.

Randomize Endereços de Servidor#

Não numere servidores sequencialmente (::1, ::2, ::3). Use endereços aleatórios ou semanticamente significativos dentro do seu /64. Endereçamento sequencial torna o escaneamento mais fácil e expõe o tamanho da sua rede.

Gere endereços aleatórios ou use EUI-64, mas desabilite extensões de privacidade em servidores—você quer endereços estáveis para DNS.

Melhores Práticas de DNS#

Adicione Registros AAAA para Tudo#

Todo serviço com conectividade IPv6 precisa de um registro AAAA. Não faça meia implantação habilitando IPv6 mas pulando DNS. Clientes tentarão IPv6 primeiro e falharão, causando atrasos de conexão.

Para serviços dual-stack, publique tanto A quanto AAAA. Deixe Happy Eyeballs (RFC 6555) lidar com failover.

Configure DNS Reverso#

Configure registros PTR em ip6.arpa. DNS reverso não é apenas para servidores de email—é usado para registro, ferramentas de segurança e solução de problemas. Registros PTR faltando parecem desleixados e podem acionar filtros de spam.

Delegue sua zona reversa adequadamente. Se seu RIR ou ISP lida com delegação, submeta os registros. Se você controla, automatize atualizações.

Garanta Resolvedores Dual-Stack#

Seus resolvedores DNS devem responder consultas sobre IPv4 e IPv6. Configure transporte IPv6 mesmo se sua rede não for totalmente dual-stack ainda. Clientes cada vez mais preferem transporte IPv6 para DNS.

Teste com dig ou nslookup de clientes apenas IPv6. Não assuma que funciona.

Teste com Clientes Apenas IPv6#

Inicie uma VM ou container de teste com apenas IPv6—sem endereço IPv4. Tente acessar seus serviços. Você encontrará lacunas que perdeu: endereços IPv4 hardcoded, registros AAAA quebrados ou aplicativos que não lidam com dual-stack corretamente.

Considerações de Roteamento#

Habilite IPv6 em Todos os Roteadores#

Ative roteamento IPv6 globalmente. Mesmo se um segmento ainda não estiver usando IPv6, tê-lo pronto previne configuração apressada depois.

Configure endereços link-local em todas as interfaces. Eles são necessários para protocolos de roteamento e não precisam de endereçamento global.

Escolha Seu Protocolo de Roteamento Interior#

OSPFv3 e IS-IS ambos suportam IPv6. Se você está executando OSPFv2 para IPv4, OSPFv3 é a escolha natural. IS-IS lida com ambas as famílias de endereços em uma única instância de protocolo, o que simplifica as coisas se você está começando do zero.

Não execute RIPng. É obsoleto e limitado.

Configure BGP para Conectividade Externa#

Se você é multihomed, execute BGP para IPv6 assim como IPv4. Use MP-BGP (Multiprotocol BGP) para carregar ambas as famílias de endereços em uma sessão, ou execute sessões separadas—ambos funcionam.

Anuncie seu prefixo de todos os upstreams. Configure filtros de rota para prevenir vazamentos.

Filtre Prefixos Bogon#

Bloqueie prefixos reservados e bogon na sua borda. A lista bogon é menor que IPv4 mas ainda necessária. Filtre:

  • ::/8 (exceto ::/128 e ::1/128)
  • 0100::/64 (prefixo de descarte)
  • 2001:db8::/32 (documentação)
  • fc00::/7 (ULA—bloqueie na borda internet)
  • fe80::/10 (link-local)
  • ff00::/8 (multicast, dependente de contexto)

Team Cymru publica listas bogon atualizadas. Use-as.

Melhores Práticas de Segurança#

Corresponda Regras de Firewall à Política IPv4#

Sua política de firewall IPv6 deve espelhar IPv4. Se você bloqueia tráfego de entrada exceto serviços específicos em IPv4, faça o mesmo para IPv6. Não deixe IPv6 aberto porque é "novo".

Audite cuidadosamente. Muitos firewalls padrão para permitir-tudo para IPv6 quando habilitados pela primeira vez.

Permita ICMPv6 Essencial#

ICMPv6 não é opcional. Você deve permitir:

  • Tipo 1 (Destination Unreachable)
  • Tipo 2 (Packet Too Big) — quebra PMTUD se bloqueado
  • Tipo 3 (Time Exceeded)
  • Tipo 4 (Parameter Problem)
  • Tipo 128/129 (Echo Request/Reply) — opcional mas útil
  • Tipo 133-137 (Neighbor Discovery) — apenas em segmentos locais

Bloquear ICMPv6 quebra coisas. Não faça isso.

Habilite RA Guard em Switches#

Router Advertisements maliciosos são um vetor de ataque fácil. Habilite RA Guard em switches de acesso para bloquear RAs de portas não confiáveis. Permita RAs apenas das suas portas de roteador.

A maioria dos switches empresariais suporta isso. Configure durante a implantação, não após um incidente.

Monitore para RAs Maliciosos#

Mesmo com RA Guard, monitore para RAs inesperados. Ferramentas como NDPmon ou RAmond detectam anúncios maliciosos. Registre-os e investigue.

RAs maliciosos podem redirecionar tráfego, causar interrupções ou habilitar ataques man-in-the-middle.

Monitoramento e Registro#

Atualize Ferramentas de Monitoramento para IPv6#

SNMP, NetFlow, syslog—todos precisam de suporte IPv6. Atualize seus coletores para capturar tráfego IPv6. Configure seus dispositivos de rede para enviar logs sobre transporte IPv6.

Teste se gráficos, alertas e dashboards exibem métricas IPv6. Muitas ferramentas suportam, mas não habilitam por padrão.

Registre Endereços de Origem IPv6#

Garanta que seus servidores web, logs de aplicativos e ferramentas de segurança capturem endereços IPv6 completos. Endereços truncados ou faltando prejudicam forense.

Verifique formatos de log. Alguns aplicativos registram endereços IPv6 incorretamente ou não registram.

Rastreie Tráfego IPv6 Separadamente#

Monitore volume de tráfego IPv6 e porcentagem. Rastreie adoção ao longo do tempo. Conhecer sua razão de tráfego IPv6 ajuda a planejar capacidade e identificar problemas.

Defina alertas para quedas repentinas—geralmente significa que algo quebrou.

Alerte sobre Problemas Específicos de IPv6#

Crie alertas para:

  • Falhas de adjacência de protocolo de roteamento
  • Gateways IPv6 inacessíveis
  • Altas taxas de erro ICMPv6
  • Quedas de tráfego IPv6 ou blackholing

Não espere usuários relatarem problemas.

Lista de Verificação de Implantação#

Use esta lista para rastrear o progresso da sua implantação:

  • Completar inventário de rede (dispositivos, apps, serviços)
  • Verificar suporte IPv6 de fornecedor para todos os sistemas críticos
  • Obter alocação IPv6 do ISP ou RIR
  • Projetar e documentar esquema de endereçamento
  • Treinar equipe em básicos e solução de problemas IPv6
  • Configurar ferramenta IPAM para gerenciamento de endereços
  • Configurar IPv6 em roteadores e switches core
  • Habilitar OSPFv3/IS-IS para roteamento interior
  • Configurar BGP para conectividade externa (se aplicável)
  • Implementar filtros de prefixo bogon na borda
  • Criar registros AAAA para todos os serviços
  • Configurar DNS reverso (ip6.arpa)
  • Habilitar transporte IPv6 em resolvedores DNS
  • Testar resolução de clientes apenas IPv6
  • Implantar regras de firewall correspondendo à política IPv4
  • Permitir tipos ICMPv6 essenciais
  • Habilitar RA Guard em switches de acesso
  • Implantar monitoramento de RA malicioso
  • Atualizar ferramentas de monitoramento para suporte IPv6
  • Configurar registro IPv6 em todos os sistemas
  • Criar dashboards de tráfego IPv6
  • Configurar alertas específicos de IPv6
  • Testar conectividade de clientes de teste apenas IPv6
  • Documentar implantação e lições aprendidas

Artigos Relacionados#

Planeje Suas Redes

Use a Calculadora de Sub-redes para organizar seu espaço de endereços IPv6.

Implante metodicamente. Teste minuciosamente. Documente tudo. IPv6 não é difícil—é apenas diferente.