Migração IPv6: Dual-Stack, Tunelamento e NAT64

Por Que Migrar Agora#

O esgotamento de endereços IPv4 é real. Todos os registros regionais de internet esgotaram seus pools. Organizações pagam preços premium por pequenos blocos IPv4 enquanto o espaço de endereçamento IPv6 permanece gratuito. Além do endereçamento, o IPv6 elimina a complexidade do NAT, simplifica o roteamento e cada vez mais se torna um requisito competitivo, já que as principais plataformas priorizam o tráfego IPv6.

O caso de negócio é direto: seus usuários já estão em redes IPv6 (operadoras móveis, provedores de nuvem, ISPs modernos), mas você pode não estar pronto para atendê-los eficientemente. A Apple exige suporte IPv6 para aplicativos iOS. O Google classifica sites habilitados para IPv6 ligeiramente mais alto. O tráfego IPv6 cresce 25-30% anualmente.

Três Abordagens de Migração#

A migração IPv6 não é uma solução única. Você tem três estratégias fundamentais:

A maioria das redes de produção usa dual-stack. Tunelamento serve como ponte temporária. Tradução lida com casos extremos onde protocolos devem interoperar.

Implantação Dual-Stack#

Dual-stack significa que todo dispositivo de rede fala ambos os protocolos. Um servidor tem um endereço IPv4 (192.0.2.10) e um endereço IPv6 (2001:db8::10). Aplicativos escolhem qual protocolo usar com base no destino e preferência.

┌─────────────────────────────────┐
│      Camada de Aplicação        │
├─────────────────────────────────┤
│  TCP/UDP (Agnóstico a Protocolo)│
├──────────────┬──────────────────┤
│  Pilha IPv4  │   Pilha IPv6     │
│  192.0.2.10  │  2001:db8::10    │
└──────────────┴──────────────────┘
         │              │
    Rede IPv4      Rede IPv6

Vantagens#

Dual-stack não cria problemas de compatibilidade. Clientes apenas IPv4 continuam funcionando normalmente. Clientes IPv6 obtêm conectividade nativa. Você migra no seu próprio ritmo sem interrupção de serviço ou coordenação com partes externas.

A arquitetura de rede simplifica ao longo do tempo. À medida que a adoção do IPv6 cresce, você pode descontinuar serviços IPv4 gradualmente. Sem dia decisivo. Sem fim de semana de migração. Apenas progresso constante.

Passos de Implementação#

1. Verificar Suporte de Hardware

Verifique se roteadores, switches e firewalls suportam IPv6. A maioria dos equipamentos empresariais da última década suporta, mas verifique as versões de firmware. Alguns dispositivos mais antigos precisam de atualizações.

2. Projetar Seu Esquema de Endereçamento

Solicite um prefixo /48 ou maior do seu ISP (ou RIR para grandes organizações). Planeje sua estrutura de sub-redes. Diferente da criação rígida de sub-redes do IPv4, use /64 para todas as LANs—o tamanho de sub-rede padrão que habilita SLAAC.

Exemplo de alocação para um /48:

2001:db8:0100::/48  - Recebido do ISP
2001:db8:0100:0001::/64  - Servidores de data center
2001:db8:0100:0002::/64  - LAN do escritório
2001:db8:0100:0003::/64  - Rede de convidados
2001:db8:0100:0010::/64  - DMZ

3. Configurar Infraestrutura de Rede

Habilite roteamento IPv6 em roteadores de borda. Configure anúncios de roteador (SLAAC) ou DHCPv6 para atribuição de endereços. Atualize regras de firewall—isso é crítico e frequentemente esquecido.

4. Implantar em Servidores

Comece com serviços de baixo risco. Adicione registros AAAA no DNS. Teste minuciosamente antes de mover para serviços de produção. Monitore padrões de tráfego tanto IPv4 quanto IPv6.

5. Habilitar Conectividade de Cliente

Sistemas operacionais modernos lidam com dual-stack automaticamente. SLAAC configura endereços sem DHCP. Clientes recebem endereços tanto IPv4 (via DHCP) quanto IPv6 (via SLAAC) e escolhem apropriadamente.

Happy Eyeballs: Seleção de Protocolo#

RFC 8305 define "Happy Eyeballs", o algoritmo que sistemas modernos usam para escolher entre IPv4 e IPv6. Entender isso ajuda a depurar problemas de conectividade.

O processo:

1. Consulta DNS retorna registros tanto A (IPv4) quanto AAAA (IPv6)
2. Sistema tenta conexão IPv6 primeiro
3. Após 50-250ms (específico da implementação), inicia tentativa IPv4 em paralelo
4. Primeira conexão bem-sucedida vence
5. Resultado armazenado em cache para conexões subsequentes ao mesmo host

Isso garante que os usuários obtenham a melhor conectividade disponível sem atraso perceptível. IPv6 tem preferência, mas IPv4 permanece como fallback.

Você pode testar este comportamento com nossa ferramenta de ping IPv6. Compare tempos de resposta para destinos dual-stack.

Mecanismos de Tunelamento#

Tunelamento envolve pacotes IPv6 dentro de IPv4, permitindo conectividade IPv6 através de infraestrutura apenas IPv4. Pense nisso como uma solução temporária, não uma solução permanente.

Original: [Cabeçalho IPv6 | Dados]
Tunelado: [Cabeçalho IPv4 | Cabeçalho IPv6 | Dados]

6in4: Túneis Manuais#

O método de tunelamento mais simples. Configure dois endpoints manualmente, e pacotes IPv6 fluem através de redes IPv4 como protocolo 41 (não UDP ou TCP—protocolo IP bruto 41).

Exemplo de configuração Linux:

# Criar interface de túnel
ip tunnel add he-ipv6 mode sit remote 209.51.161.14 local 203.0.113.50 ttl 255
 
# Atribuir endereço IPv6 (do provedor de túnel)
ip addr add 2001:470:1f0a:1ab::2/64 dev he-ipv6
 
# Ativar link
ip link set he-ipv6 up
 
# Adicionar rota padrão IPv6
ip route add ::/0 dev he-ipv6
 
# Verificar
ping6 google.com

Pontos-chave:

• Protocolo 41 deve passar através de firewalls/NAT (frequentemente bloqueado)
• Endpoints do túnel precisam de endereços IPv4 estáticos
• Hurricane Electric e outros provedores de túnel fornecem endpoints gratuitos
• Adiciona latência de ~10-30ms dependendo da localização do provedor de túnel

6rd: Implantação Rápida de ISP#

6rd permite que ISPs forneçam IPv6 para clientes sobre infraestrutura IPv4 existente. O ISP executa servidores relay, e roteadores de clientes automaticamente tunelam tráfego IPv6.

Diferente do 6to4, 6rd usa prefixos específicos do ISP e relays controlados pelo ISP, tornando-o mais confiável e seguro. Você não configurará isso manualmente—é provisionado automaticamente se seu ISP o suporta.

DS-Lite: IPv4 sobre IPv6#

DS-Lite inverte o cenário típico: fornece conectividade IPv4 sobre uma rede apenas IPv6. Usado por ISPs em transição para infraestrutura apenas IPv6 enquanto mantêm serviço IPv4.

Cliente ----[IPv4-in-IPv6]----> ISP AFTR ----[IPv4]----> Internet

Equipamento do cliente (elemento B4) tunela IPv4 dentro de IPv6 para o AFTR (Address Family Transition Router) do ISP, que realiza NAT44 antes de encaminhar para a Internet IPv4.

Usuários finais tipicamente não configuram DS-Lite—é gerenciado pelo ISP.

Tecnologias de Tradução#

Tradução converte pacotes entre IPv6 e IPv4 na camada de rede. Isso habilita comunicação quando um lado é apenas IPv6 e o outro é apenas IPv4.

NAT64 com DNS64#

NAT64 traduz pacotes IPv6 para IPv4 e vice-versa. Combinado com DNS64, fornece acesso transparente a serviços apenas IPv4 de redes apenas IPv6.

Como funciona:

1. Cliente apenas IPv6 consulta DNS por ipv4only.example.com
2. Servidor DNS64 vê apenas registro A (IPv4), sem registro AAAA (IPv6)
3. DNS64 sintetiza registro AAAA usando prefixo NAT64: 64:ff9b::198.51.100.5
4. Cliente envia pacote para endereço IPv6 sintetizado
5. Gateway NAT64 traduz para IPv4 e encaminha
6. Tráfego de retorno traduzido de volta para IPv6

┌─────────────┐         ┌─────────────┐         ┌─────────────┐
│ Cliente IPv6│         │   NAT64     │         │ Servidor IPv4│
│             │─────────│   Gateway   │─────────│             │
│2001:db8::1  │  IPv6   │  + DNS64    │  IPv4   │198.51.100.5 │
└─────────────┘         └─────────────┘         └─────────────┘

Prefixo NAT64 bem conhecido: 64:ff9b::/96 (RFC 6052)

NAT64 requer tradução com estado—o gateway mantém estado de sessão como NAT44 tradicional. Isso introduz as mesmas preocupações de escalabilidade do NAT IPv4.

464XLAT: Habilitando Aplicativos IPv4#

464XLAT estende NAT64 adicionando tradução do lado do cliente (CLAT), permitindo que aplicativos apenas IPv4 funcionem em redes apenas IPv6.

┌──────────────┐      ┌──────────────┐      ┌──────────────┐
│ App IPv4     │      │              │      │ Servidor IPv4│
│              │      │ Rede apenas  │      │              │
│ 192.0.0.1    │      │ IPv6         │      │ 198.51.100.5 │
└──────┬───────┘      └──────────────┘      └──────────────┘
       │                                             │
    CLAT (dispositivo)                         PLAT (ISP)
    NAT46                                       NAT64

Redes móveis usam extensivamente 464XLAT. Seu telefone executa uma pilha apenas IPv6, mas aplicativos legados apenas IPv4 ainda funcionam de forma transparente. Android e iOS suportam CLAT nativamente.

Escolhendo Sua Estratégia#

Framework de decisão baseado em características da rede:

Tem IPv6 nativo do ISP?
   │
   ├─ SIM ──> Implantar dual-stack (recomendado)
   │          1. Habilitar IPv6 no roteador de borda
   │          2. Configurar SLAAC/DHCPv6
   │          3. Atualizar regras de firewall
   │          4. Adicionar registros AAAA ao DNS
   │
   └─ NÃO ──> Precisa de IPv6 imediatamente?
              │
              ├─ SIM ──> Usar provedor de túnel
              │          (Hurricane Electric, etc.)
              │
              └─ NÃO ──> Solicitar IPv6 do ISP
                        ou planejar cronograma de migração

Matriz de Seleção de Estratégia#

Armadilhas Comuns#

1. Configuração Incompleta de Firewall#

Tráfego IPv6 frequentemente contorna regras de firewall IPv4. Equipes de segurança configuram políticas extensivas de IPv4, mas esquecem o IPv6 completamente. Resultado: conectividade IPv6 sem filtro.

Solução: Aplique políticas de segurança equivalentes para ambos os protocolos. Se você bloquear porta 23 (telnet) no IPv4, bloqueie no IPv6. Use inspeção com estado para ambos.

2. Configurações Erradas de DNS#

Publicar registros AAAA sem conectividade IPv6 funcionando quebra o acesso para clientes habilitados para IPv6. Happy Eyeballs ajuda, mas causa atrasos e fallback para IPv4.

Solução: Publique registros AAAA apenas após verificar que a conectividade IPv6 funciona. Monitore padrões de consulta tanto A quanto AAAA. Configure DNS reverso (registros PTR) para endereços IPv6.

3. Problemas de Compatibilidade de Aplicativo#

Aplicativos que codificam suposições IPv4 falham com IPv6:

• Armazenar endereços IP em inteiros de 32 bits
• Padrões regex correspondendo apenas formato IPv4
• Não colocar colchetes em endereços IPv6 em URLs: http://[2001:db8::1]:8080/
• Vincular a 0.0.0.0 em vez de :: (wildcard IPv6)

Solução: Teste aplicativos minuciosamente com conectividade apenas IPv6. Use ambientes de teste dual-stack. Revise código para suposições IPv4.

4. Pontos Cegos de Monitoramento#

Monitoramento de rede frequentemente rastreia métricas IPv4, mas ignora IPv6. Você não notará se a conectividade IPv6 degrada ou falha completamente.

Solução:

• Monitore tráfego IPv6 e IPv4 separadamente
• Configure verificações de saúde específicas para IPv6
• Rastreie distribuição de preferência de protocolo (que porcentagem do tráfego usa IPv6)
• Alerte sobre problemas de disponibilidade IPv6

Use nossa calculadora de sub-redes IPv6 para planejar endereçamento e nossa ferramenta de ping para verificar conectividade.

Comece Simples#

Comece com dual-stack em sistemas não críticos. Um servidor de teste, ambiente de desenvolvimento ou ferramenta interna. Verifique se a conectividade IPv6 funciona. Adicione registros AAAA. Monitore tráfego.

Uma vez confortável, expanda para serviços de produção. A maioria da infraestrutura moderna suporta IPv6 com configuração mínima. A migração técnica é direta—mudança organizacional e testes minuciosos levam mais tempo.

Tunelamento serve como ponte temporária se você não puder obter IPv6 nativo imediatamente. Mas pressione seu ISP para suporte nativo. Tradução lida com casos extremos, mas não deve ser sua estratégia primária.

A adoção do IPv6 continua acelerando. Começar agora, mesmo incrementalmente, posiciona sua rede para o futuro enquanto seus concorrentes se esforçam para alcançar depois.

Artigos Relacionados#

• Habilitar IPv6 — Guia prático para habilitar IPv6 em seus dispositivos e roteadores
• IPv6 na Nuvem — Aprenda como implantar IPv6 em AWS, Azure e Google Cloud