Académique Documents
Professionnel Documents
Culture Documents
2006
Monografia apresentada como pr-requisito de concluso do Curso de Ps-Graduao de Administrao em Redes Linux do Centro Universitrio Federal de Larvras em Lavras-MG.
2006
Monografia apresentada ao departamento de Cincia de Computao da Universidade Federal de Lavras, como parte das exigncias do curso de Ps-Graduao Lato Sensu em Administrao de Redes Lilux, para obteno do ttulo de Especialista em Redes Linux
APROVADA em 29 de Setembro de 2006. ________________________________ Prof. MSc. Denilson Vedoveto Martins ________________________________ Prof. MSc. Simone Markenson Pech
________________________ Prof. Joaquim Quinteiro Ucha Orientador LAVRAS Minas Gerais Brasil 2006
Agradeo
Dedico
minha
conquista de mais um passo na vida a minha Esposa, aos meus Pais Ambos (in memorian), especialmente a minha Me que nunca mediu seus esforos para que eu pudesse atingir meus objetivos. Wilson Miranda Jnior
Resumo
Este trabalho serve como referncia ao conhecimento do Ipv6, novo modelo de comunicao e de tramitao dos pacotes em rede TCP/IP. Com o crescimento da internet , a escassez de endereos e falta de segurana, aborda-se nessa monografia como o novo protocolo de internet IPv6 pode atender as exigncias de endereamento. Provendo o novo formato de subdivises de redes baseadas em prefixos e como seu formato permite atribuir confidencialidade, integridade e privacidade diretamente na camada de IP. Este trabalho tem como objetivo principal tratar da implementao do IPv6 integrado com o uso de software livre no qual foi configurado endereamento, resoluo de nomes e roteamento.
LISTA DE FIGURAS
Figura 2.1: Figura 4.1: Figura 4.2: Figura 4.3: Figura 4.4: Figura 4.5: Figura 4.6: Figura 4.7: Figura 4.8: Figura 4.9: Figura 4.10: Figura 4.11: Figura 4.12: Figura 4.13: Figura 4.14: Figura 4.15: Figura 4.16: Figura 6.1: Figura 6.2 Figura 6.3 Figura 7.1: Figura 7.2: Figura 8.1: Classes de endereo IP Comparao e exposio do Cabealho IPv6 x IPv4 Datagrama IPv6 com cabealhos de extenso Formao do cabealho de extenso IPv6 Hop-by-Hop Encaminhamento Fragmentao e encapsulamento do datagrama Endereamento IPv6 embutido com endereamento IPv4 Endereamento IPv4 mapeado com endereamento IPv6 Endereamento Unicast Identificao de Agregao do Prximo Nvel Diviso NLA Subnets SLA ID Endereamento de link local Endereamento do Site Local Funcionamento Multicast Distribuiapo Anycast Envio de pacotes pelo Mobile IPv4 Viso Geral IPv6 Modos de Comunicao entre CN e MN Cabealho de Autenticao Cabealho de Encapsulamento de Dados de Segurana Topologia de Implementao
08 20 23 24 25 25 27 31 31 33 34 35 36 37 38 39 40 48 51 52 66 66 71
LISTA DE TABELAS
Tabela 3.1:. Tabela dos pases integrados ao IPv6 Tabela 4.1:. Diviso dos endereos IPv6 Tabela 5.1:. Prioridades 15 30 44
Acrnimos
Classless InterDomain Routing Connection-Less Network Protocol Internet Architecture Board. Internet Assigned Numbers Authority Internet Corporation for Assigned Names and Numbers - Corporao para Atribuio de Nomes e Nmeros na Internet
Internet Engineering Task Force. Internet Protocol Internet Protocol Next Generation. Internet Protocol version 6. Next Genegeration Transition Internet Protocol Next Genegeration Transition Simple IP Plus Transmission Control Protocol Wide Area Network
Sumrio
1 - INTRODUO.....................................................................................1 2- O PROTOCOLO TCP/IP....................................................................... 3 2.1 Modelo TCP/IP.............................................................................. 4 2.1.2 - Funcionalidade do IPv4........................................................... 6 2.1.3 - Endereamento IPv4................................................................7 2.2 Comentrios Finais ....................................................................... 9 3- IPv6 - O PROTOCOLO DA NOVA GERAO................................11 3.1 Necessidades de uma nova verso do IP..................................... 11 3.2 Histrico da Evoluo do IP........................................................ 11 3.3 Instituies Ligadas ao IPv6 - IETF, NGTRANS e o 6BONE....13 3.3.1 - IETF.......................................................................................13 3.3.2 NGTrans................................................................................14 3.3.3 - 6Bone.....................................................................................14 3.4 - Principais Objetivos de Criao do IPv6..................................17 3.5 - Os Caminhos da Padronizao................................................. 18 4- CARACTERSTICAS DO IPv6...........................................................19 4.1 - Datagrama IPv6............................................................................ 21 4.1.1 - Cabealhos Simplificados..................................................... 22 4.1.2 - Cabealhos Estendidos IPv6..................................................22 4.2 - Maior Endereamento.................................................................. 29 4.2.1 Diviso de Endereos............................................................29 4.2.2 - Transio e Codificao de Endereos IPv4......................... 31 4.3 - Endereos Unicast........................................................................ 32 4.3.1 Endereos Globais Agregados (Aggregable Global Address) .......................................................................................................... 33 4.3.2 Endereamento de link local (Link-Local Address)............. 36 4.3.3 Endereamento do Site Local (Site-Local Address).............37 4.3.4 Endereamento no Especificado (Unspecified Address).... 38 4.3.5 Endereamento de Retorno (Loopback Address)................. 38 4.4 Multicast.................................................................................. 39 4.5 - Anycast......................................................................................... 40 4.6 - Nova Notao............................................................................... 40
9
4.7 - Autoconfigurao......................................................................... 41 5- SERVIOS IPv6.................................................................................. 43 5.1 - QOS............................................................................................. 43 5.1.1 Flow Label .............................................................................. 43 5.1.2 - Prioridade ............................................................................. 44 5.2 - Mapeamento de Endereos em Nomes.........................................45 6- MOBILIDADE.....................................................................................46 6.1 - Mobile IPv4.................................................................................. 46 6.2 - Mobile IPv6.................................................................................. 49 6.2.1 Funcionalidade IPv6 Mobile ................................................49 6.3 - Operao do Host Mvel..............................................................52 6.4 - Consideraes de Segurana....................................................... 56 6.5 - Futuro do MIPv6.......................................................................... 58 6.6 - Mobile IPv6 x Mobile IPv4.......................................................... 59 7- SEGURANA......................................................................................62 7.1 - IP Security Protocol (IPSec).........................................................62 7.1.1 - IPSec - Caractersticas........................................................... 63 7.1.2 - Cabealhos de Autenticao (AH)........................................ 65 7.1.3 - Cabealho de Encapsulamento de Dados de Segurana........66 7.1.4 - Mecanismos de Gesto de Chaves........................................ 67 8 IMPLEMENTAES IPv6 IPv4....................................................70 8.1 - Implementao de duas mquinas com suporte nativo IPv6........70 8.2 - Anlise e compatibilidade funcional de sistema operacional.......71 8.3 - Instalao de servidores de DNS IPv6......................................... 72 8.4 - Resoluo de problemas de endereamento................................. 74 8.5 - Definio, implementao e anlise de polticas de roteamento.. 76 8.6 - Anlise de compatibilidade e interoperacionalidade IPv4/IPv6.................................................................................... 77 9 - CONCLUSO.....................................................................................79 BIBLIOGRAFIA...................................................................................... 80
1 - INTRODUO
A motivao para o tema desta monografia, IPv6 O Protocolo da Nova Gerao, foi selecionado por ser um assunto de pesquisa inovador, que direciona o desenvolvimento acadmico, fornecendo os fundamentos necessrios compreenso do funcionamento de redes de computadores baseadas no conjunto de protocolos TCP/IP. Devido a influncia que o protocolo de comunicao IP Internet em diversos meios de comunicao, desempenha em relao a tecnologia. O objetivo deste trabalho de ps-graduao tratar de alguns aspectos histricos e tcnicos da evoluo do IP, base da pilha de protocolos TCP/IP, situao atual global para apontar indicativos mediante necessidades de melhorias. Este trabalho deve contribuir como fonte de estudo para aqueles que buscam alternativas mais seguras e estruturadas para conexes diversas, desejando obter garantia de maior desempenho para aplicaes que utilizam a Internet como meio de transmisso. Isso feito focalizando principalmente a metodologia de funcionamento e eficcia deste novo protocolo universal de comunicao, IPv6. O trabalho tambm permite a compreenso do comportamento tecnolgico perante as novas tendncias para o mundo da Internet, em que o protocolo IP tem o papel principal de intermediar toda essa interao entre o homem, a mquina, e a rede Internet. O software livre adotado no trabalho tem como fundamental papel de prover subsdios necessrios para apoio na implementao do IPv6. Com isso, foi possvel atribuir uma estrutura para base de novas pesquisa em relao ao protocolo de comunicao entre redes TCP/IP junto ao Linux, explorando novos desafios entre endereamento, roteamento,
1
resoluo de nomes, integrao entre duas verses diferentes dos protocolos IPv4 e IPv6. Para apresentao deste trabalho, adotou-se a estrutura apresentada a seguir. Nos capitulos 1 e 2 exposto a existncia do protocolo IPv4 apresentando fudamentao teorica e o protocolo TCP/IP como sua arquitetura, modelo, fucionalidade e endereamento. O capitulo 3 trata da necessidade de existncia do protocolo de nova gerao atribuindo um histrico de sua existncia e informando o poder de atribuio aos seus servios agregados. Em continuidade, no captulo 4, faz-se uma comparao entre os protocolos IPv4 e IPv6, mencionando as caracteristicas do IPv6 entre arquitetura, modelo e funcionalidade. Os captulos 5, 6 e 7 esto voltados aos servios de principais necessidades de melhorias no IPv4, tais como qualidade de servio, mobilidade e segurana. Finalizando com o captulo 8 apresentado o software livre (Linux) como base das atriibuies e implementaes de endereamento do IPv6, juno ao IPv4, roteamento IPv6 e resoluo de nomes em IPv6. Trata-se de um modelo pratico no qual representa toda fundamentao de pesquisa desenvolvida para realizao dessa monografia.
2- O PROTOCOLO TCP/IP
A plataforma TCP/IP surgiu atravs dos trabalhos do DARPA (Defense Advanced Research Projects Agency) dos Estados Unidos, em meados da dcada de 1970, constituindo a ARPAnet, que mais tarde se desmembrou em ARPAnet, para pesquisa, e MILNET, para instituies militares (ROBERTO, 1999). Para encorajar os pesquisadores universitrios a adotar o TCP/IP, o DARPA fez uma implementao de baixo custo, integrando-o ao UNIX da Universidade de Berkeley (BSD), j em uso em todas as universidades americanas. Alm disso, teve-se o cuidado de definir aplicaes de rede similares s j conhecidas em Unix, como rusers e rcp. Mais tarde a NSF (National Science Foundation) estimulou o seu crescimento criando a NSFnet, que ligava centros de supercomputao espalhados por todo o pas, numa rede de longa distncia, tambm com os protocolos TCP/IP. H aproximadamente 30 anos, nascia o protocolo IP e, com ele, nascia tambm o embrio da Internet. O IP verso 4 a que est em uso atualmente. O sucesso desse protocolo de comunicao indiscutvel. Basta ver o ritmo de crescimento da Internet nos ltimos anos. No incio de 1994 uma estimativa dizia que a Internet era composta por cerca de 40 mil redes. Em 1996 j eram 100 mil redes e a taxa de crescimento parecia duplicar o nmero de redes a cada ano (ou ainda em menos tempo). Em 1998, o crescimento da Internet no dependia mais das Universidades ou dos Centros de Pesquisas (ROBERTO, 1999).
acessem os recursos de rede. O TCP/IP combina todas as camadas OSI 5, 6 e 7 na camada de aplicao. Qualquer usurio pode criar suas aplicaes, pois TCP/IP uma arquitetura aberta. HTTP, SMTP, POP3, SNMP, DHCP e DNS so alguns exemplos de aplicaes, alm de outras. Camada de Transporte - Fornece servios de entrega de dados ponto a ponto. Essa camada responsvel por garantir a integridade das mensagens enviadas pela camada de aplicao. Segundo Comer (1998), para que se fornea um transporte confivel, e seja assegurado que os dados cheguem sem erros e em sequncia, o protocolo de transporte faz com que sejam enviadas informaes do lado receptor e retransmissao de pacotes perdidos, por parte do transmissor. Similar manipulao de frames pela camada de rede, esta camada agrega pequenas mensagens em um nico pacote, e quebra mensagens grandes em vrios pacotes, visando otimizar a performance na rede. So dois os protocolos dessa camada: o TCP (Transmission Control Protocol), que orientado a conexo e garante a entrega dos dados, na ordem correta; e UDP (User Datagram Protocol), que opera no modo sem conexo e fornece um servio datagrama nao-confiavel (SOARES et al. 1995). Camada de Rede - Nessa camada reside o protocolo IP. Essa camada responsvel pelas tarefas de endereamento de mensagens, converso de endereos e nomes lgicos em fsicos, determinao do caminho entre o computador origem e destino baseados nas condies da rede, prioridade do servio, administrao de problemas de trfegos tais como roteamento e controle de nmero de pacotes na rede. Essa camada agrega frames pequenos, e reestrutura frames grandes em frames menores, antes de envilos rede. No lado destino, este frames so restaurados para sua estrutura original.
5
Camada de Interface de Rede - Consiste de rotinas de acesso rede fsica. A camada de Interface de Rede interage com o hardware, permitindo que as demais camadas sejam independentes do hardware utilizado (COMER, 1998; SOARES et al. 1995). Essa camada define como o cabo est conectado placa de rede, como por exemplo o tipo de conector e quais pinos sero utilizados. Ela tambm define qual tcnica de transmisso ser utilizada para enviar os dados para o cabo da rede. Essa camada corrresponde s camadas OSI 1 e 2.
A camada IP tem que reconstruir o frame a partir dos fragmentos que recebe, assegurar-se de que no falta nenhum e verificar se eles esto na ordem correta. A camada IP tambm tem que tratar uma variedade de formatos de endereamento que so utilizados entre sistemas TCP/IP. Segundo Soares et al.(1995), a funo do protocolo IP a transmisso dos pacotes de dados entre dois hosts. Estes dados so recebidos das camadas superiores, como o TCP, e podem trafegar por diversas redes antes de atingir o seu destino final. O protocolo IP prov ainda um mecanismo de controle de fragmentao dos pacotes de dados, quando so transmitidos para hosts onde a janela de recepo menor que o tamanho do pacote de dados. No envio de um pacote de dados via IP, ocorre primeiro um processo de multiplexao, onde os dados provenientes da camada de transporte TCP so concatenados atravs do protocolo IP, que utiliza um cabealho prprio e os
envia para camadas de enlace e posteriormente para a camada fsica. Quando este pacote de dados chega ao seu destino, ocorre o processo de demultiplexao, onde o protocolo IP recebe os pacotes de dados provenientes das camadas fsica e enlace, e atravs da leitura do cabealho IP, identifica se o pacote de dados deve ser enviado para a camada de transporte TCP.
O endereo IP composto por um campo de 32 bits, numerados de 0 a 31. No campo de endereo IP, esto contidas duas importantes informaes: identificao do host e identificao da rede qual o host est conectado. Na implantao inicial do protocolo IP o campo de endereo era de 32 bits, sendo 8 bits designado para identificao da rede, e 24 bits para identificao dos hosts. Isso foi modificado nas verses mais recentes, como ser visto a seguir. Segundo Almeida (1999), cada mquina de uma rede TCP/IP possui um endereo IP, tal como 200.252.155.9. O endereo IP, s vezes chamado de dotted quad, composto por quatro nmeros separados por ponto, cada qual na faixa de 0 a 255. Quando uma LAN inteira se liga Internet, comum atribuir endereos IP s mquinas da LAN que so facilmente distinguidas dos endereos IP do restante da Internet. Os grupos de endereos relacionados so chamados de endereos Classe A, B ou C conforme mostra a figura 2.1.
Classe
1 Octeto
Formato
Exemplo
1-126
R.H.H.H
120.2.1.0
128-191
16.382
65.534
R.R.H.H
132.23.1.0
192-223
2.097.150
254
R.R.R.H
220.0.1.1
Um endereo Classe C aquele que pode possuir at 254 endereos IP, cada um deles tendo os mesmos valores nos trs primeiros componentes. O ltimo componente diferente em cada mquina da LAN. Uma rede de Classe B pode comportar at cerca de 60.000 endereos IP, cada um com os mesmos valores nos dois primeiros componentes. Os dois ltimos componentes podem variar. Geralmente, os proprietrios de endereos Classe B tm muito menos que 60.000 mquinas em suas redes internas, mas esse nmero maior que 254. J a Classe A capaz de suportar cerca de 15 milhes de endereos IP, todos tendo como primeiro componente o mesmo valor e trs componentes diferentes no final. Somente uma quantidade limitada dessas classes est disponvel. Por exemplo, os primeiros componentes com valores entre 1 e 126 so reservados para os endereos Classe A. Na prtica menos de 50 endereos Classe A foram atribudos, basicamente para os criadores da Internet, como as foras armadas e empresas de telecomunicao americanas. Os primeiros componentes entre 128
8
e 191 so para os endereos Classe B, e os que esto entre 192 e 223 so para os endereos Classe C. Os primeiros componentes a partir de 224 so endereos reservados para classes D e E (ALMEIDA, 1999). Para garantir na Internet que cada host tenha um endereo IP que seja nico, existe um rgo regulamentador responsvel por designar endereos IP para todas as empresas, organizaes pblicas e educacionais, que iro se conectar Internet. Esse rgo cede um endereo IP contendo a poro de rede, cabendo ao administrador da rede fazer o projeto de endereamento do nmero de hosts desejados, utilizando-se do endereo fornecido. Muitas empresas constrem sua Intranet, definindo internamente os endereos IP para seus hosts. importante lembrar que no momento em que se desejar conectar Intranet Internet, ser necessrio solicitar ao rgo competente um endereo IP que possa ser utilizado na Internet, o que certamente implicar em alterar todos os endereos IP previamente definidos. Se for planejado ligar sua Intranet Internet, antes de definir inteiramente o projeto de endereamento IP a ser utilizado, deve ser solicitado um endereo IP aos provedores de acesso (ALMEIDA, 1999).
IP (IPv4) esto se tornando um recurso escasso. J se estimava que, em um ano atrs, eles estariam esgotados (SILVA, 1998). De acordo com Silva (1998), os protocolos TCP/IP mostram um importante desafio arquitetnico com a contnua e fenomenal expanso da Internet. Com o crescimento anual de 100% no nmero de redes ligadas Internet coloca-se em xeque o sistema de roteamento. As classes B esto paulatinamente sendo esgotadas e o uso das tcnicas de CIDR1 usa mscaras de comprimento varivel para alocar endereos IP em subredes de acordo com as necessidades individuais representam uma soluo paliativa a este problema. Uma nova verso do IP faz-se necessria para suportar um endereamento muito maior e prover suporte ao problema de escalabilidade. Ao mesmo tempo, novas e bastante ambiciosas aplicaes j sugerem que a Internet precisa suportar pacotes de voz e vdeo em propores cada vez maiores. Segurana tambm um dos fatores mais importantes, especialmente com a expanso de redes aplicadas ao mundo dos negcios. Procurar uma maneira uniforme de suportar a Internet e ainda lidar com a variedade de tecnologias pelo mundo, algumas das quais sujeitas a restries de exportao, um desafio de enormes propores.
b)
de trabalho Routing and Addressing (ROAD) no encontro de Santa F com o objetivo de encontrar uma soluo para a exausto do espao de endereamento IPv4. c) 1992 - A Internet Association Board (IAB) apresenta o documento IP version 7 paralelamente aos esforos do grupo de trabalho ROAD, em que recomenda IETF a preparao de um plano detalhado para o sucessor do protocolo IP. A IETF rejeita esta sugesto e apresenta pedido de propostas recomendadas pelo grupo ROAD. Como resposta a este pedido surgiram algumas propostas:
IP Encaps Nimrod Simple CLNP 1992 (finais) - Surgem mais trs propostas: The P Internet Protocol (PIP) The Simple Internet Protocol (SIP) TP/IX 1993 Phil Gross Internet Engineering Steering Group onde
d)
e)
anuncia a criao de uma rea temporria para o IPng. CLNP e IP Encaps evoluem, dando origem respectivamente a TCP and UDP with Bigger Addresses, TUBA e IPAE. f) 1993 (finais) - SIP evoluiu, abrangendo caractersticas do IPAE (IP Address Encapsulation). O IPAE foi adotado como estratgia de transio para o SIP (Simple IP), proposto por Steve Deering em Novembro de 1992. O SIP aumentava o endereo IP para 64 bits, tornava a fragmentao de pacotes opcional e eliminava vrios aspectos obsoletos do IP.
12
g)
propostas, SIP e PIP, deram origem proposta The Simple Internet Protocol Plus (SIPP) e publicou sua recomendao sugerindo o SIPP como a base para o novo protocolo IP, mas com mudanas em algumas caractersticas chaves da especificao original. Particularmente, o novo protocolo teria 128 bits e se chamaria IPv6. Ocorreu ento a aprovao do documento The Recommendation for the IP Next Generation Protocol como norma oficial de desenvolvimento do IPng (Rosa, 1999). A primeira conexo foi estabelecida em maro de 1998 com a Cysco System, nos EUA. Em outubro do mesmo ano foi estabelecida a conexo com a Nippon Telephone and Telegraph, no Japo.
3.3.1 - IETF
A IETF uma sociedade aberta da qual participam pesquisadores, projetistas, operadores de telecomunicaes e de provedores de servios Internet, bem como fabricantes de equipamentos. Todos so voluntrios e esto, direta ou indiretamente, relacionados com a arquitetura da Internet, com a especificao e o desenvolvimento de protocolos de comunicao e aplicaes, ou com a operao, a segurana e o gerenciamento desta rede.
13
3.3.2 NGTrans
O NGTrans3 um grupo de trabalho da IETF que visa estudar e definir os mecanismos e procedimentos para suportar a transio da Internet do IPv4 para o IPv6. Sua estratgia se baseia em:
Produzir um documento detalhando a infra-estrutura, como ser e o que ser necessrio para a transio; Definir e especificar os mecanismos obrigatrios e opcionais a serem implementados pelos fabricantes nos hosts, roteadores e outros equipamentos de rede, a fim de suportar o perodo de transio;
Articular um plano operacional concreto a ser executado pelos ISPs (Internet Service Providers) quando da transio entre o IPv4 e o IPv6.
3.3.3 - 6Bone
O 6Bone um projeto colaborativo informal, empreendido pelo NGtrans (grupo de trabalho do IETF) que consiste no desenvolvimento do backbone IPv6 experimental para pr prova as funcionalidades deste novo protocolo IPng e desenvolver os mecanismos para a transio do uso do IPv4 para o IPv6. O Brasil est participando destas pesquisas atravs do projeto Br 6Bone, empreendido pelo LCT4 - Laboratrio de Configurao e Testes da RNP. O 6Bone um teste de campo para auxiliar na evoluo, no desenvolvimento e no aperfeioamento do protocolo IPng. Atualmente integra
3 NGTrans Next Generation Transition 4 LCT Laboratrio de Configurao e Testes 14
aproximadamente 39 pases, apresentados na Tabela 3.1, dentre os quais tambm o Brasil desde janeiro do 2002.
AT BE BR CH CN DE ES FR GR HU IT KR LT NL PL RO SE SI
ustria Blgium Brazil Switzerland China Germany Spain France Greece Hungary Italy Korea Lithuania Netherlands Poland Romnia Sweden Slovenia
AU BG CA CM CZ DK FI GB HK IE JP KZ MX NO PT RU SG
Austrlia Bulgaria Canada Cameroon Czech Republic Denmark Finland Great Britain Hong Kong Ireland Japan Kazakhstan Mxico Norway Portugal Russian Federation Singapore
Operacional desde junho de 1996, este backbone implementado atravs de uma rede virtual sobre a rede fsica IPv4 da atual Internet. A rede virtual composta de redes locais IPv6 ligadas entre si por tneis ponto-a-ponto IPv6 sobre IPv4. Os tneis so realizados por roteadores com pilha dupla (IPv6 e IPv4) com suporte para roteamento esttico e dinmico (RIPng e BGP4+), e as redes locais IPv6 so compostas por estaes com sistemas operacionais com suporte a IPv6 ou com pilha dupla (IPv4 e v6).
15
No entanto, a rede 6bone independente da IETF, sendo um projeto que rene voluntariamente diversas instituies do mundo inteiro. O projeto 6bone tem sofrido a seguinte evoluo: a) b) c) 1995 - Concepo do projeto 6bone. 1996 (Maro) - Formalizao do projeto 6bone em Maro, no 1996 (Junho) - Incio da rede 6bone, atravs da criao de dois
encontro IETF em Los Angeles. tneis: um entre a Universidade de Lisboa (UL/PT), o Navy Research Laboratory (NRL/US) e a CISCO (CISCO/US) e o outro entre a UNI-C (UNIC/DK), o grupo G6 do instituto de pesquisa IMAG (G6/FR) e o grupo WIDE, do Japo (WIDE/JP). d) e) 1996 (Dezembro) - Formao do grupo de trabalho 6bone 1997 (Agosto) - No encontro do grupo de trabalho ngtrans(atualmente NGtrans). 6bone que teve lugar em Munique, referiu-se que existiam mais de 150 sites IPv6 em 28 pases participantes na 6bone. O protocolo de encaminhamento do backbone da 6bone passou a ser o BGP4+. Foi criado o domnio 6bone.net, atravs do qual se pode aceder s pginas e base de dados 6bone. f) g) 1997 (Dezembro) - No encontro de Washington, a 6bone 1998 (Maro) - No encontro de Los Angeles, a 6bone apresentava j 206 sites em 30 pases participantes. apresentava 240 sites IPv6 em 32 pases. Neste encontro, foi acordado que os pTLA usariam entre si o protocolo de encaminhamento BGP4+ (HINDEN, 1994).
16
j) Dar maior ateno ao tipo de servio trafegado, particularmente para dados de Tempo Real.. k) Permitir o escopo do alcance de um pacote (Multicasting). l) Fazer o possvel para que um host tenha mobilidade sem mudar seu endereo. m) Permitir que o protocolo evolua no futuro. n) Permitir que protocolos antigos e novos coexistam por anos.
18
4- CARACTERSTICAS DO IPv6
Conforme Sofia (1998) o IPv6 aumentou o endereamento de IP de 32 bits para 128 bits. O IPv6 mantm as principais caractersticas que fizeram do IPv4 um sucesso mundial. Assim como o IPv4, um protocolo sem conexo cada datagrama contm um endereo de destino e roteado de forma independente. O IPv6 tambm possui um nmero mximo de roteadores por onde pode passar (Hop Limit). Com objetivo de simplificar a principal funo do IP, rotear pacotes, sete campos no IPv6 foram suprimidos: IHL, identification, flags, fragment offset, header checksum, options e Padding. Quatro foram renomeados e em alguns casos, modificados: Total length, protocol type, time to live (TTL), type of service. Trs foram mantidos: Version, Source Address, Destination Address. E um criado: Flow Label. Na Figura 4.1 apresentada a seguir so mostradas as diferenas entre os cabealhos IPv4 e IPv6.
19
I H L
Identificao de Fluxo (Flow Label) Prxim o Cabe. (NextH Limites Saltos (Hop Limit)
)
Identificao (Identification) Flag s Fragment Offset
Protocol
Header Checksum
Opes (Options)
- Campos mantidos IPv4 to IPv6 - Campos no mantidos IPv6 - Nomes e posies trocados no IPv6 - Novos campos no IPv6
Figura 4.1 Comparao e exposio do Cabealho IPv6 x IPv4
20
As caractersticas que definem o protocolo IPv6 so: a) expanso da capacidade de endereamento e encaminhamento; b) capacidade de qualidade de servio; c) capacidade de providenciar autenticao e privacidade; d) simplificao dos cabealhos.
equipamentos, decremento de 1 a 1 cada n que segue o pacote. g) Endereo de Origem (Source Address) 128-bit endereo de origem do pacote. h) Endereo de Destino (Destination Address) 128-bit endereo da inteno do destino do pacote (possibilidade de no ser o destino final, depende da existncia do cabealho de roteamento).
22
Este esquema fornece ao IPv6 flexibilidade para transportar informao relevante para encaminhamento e aplicaes, bem como fornecer mecanismos de segurana, fragmentao, qualidade de servio e gesto de rede, com escalabilidade ilimitada. Na medida em que estes mdulos so opcionais, este esquema ajuda ainda a reduzir o custo de processamento de pacotes IPv6. Os cabealhos de extenso so colocados entre o cabealho IPv6 e o cabealho do protocolo de transporte, estando ligados entre si pelo campo
23
Vers Classe Trafico Identificao de Fluxo o (Traffic Class) (Flow Label) (Versi on) Comprimento do Campo de Prximo Cabe. Limites Saltos Informao (NextHead) (Hop Limit) (Payload length) Endereo de Origem (128 bits) (Source Address) Endereo de Destino (128 bits) (Destination Address)
Exceto quando os cabealhos de extenso no so processados ou examinados por nenhum nodo no caminho da entrega do pacote at que o pacote atinja o nodo do endereo de destino do cabealho IPv6. encontram-se j definidos os seguintes cabealhos de extenso: Atualmente,
24
b) Opes de Destino IPv6 (Destination Options Header). Usado para transportar informao opcional a ser analisada apenas no destino do pacote. c) Encaminhamento (Routing Header). Usado por uma fonte IPv6 para listar um ou mais nodos intermedirios que devem ser visitados at o pacote chegar ao destino. O IPv6 mantm a habilidade da origem especificar a rota, porm para isso h um cabealho extendido opcional, semelhante s opes Loose Source e Record Route do IPv4. Este cabealho contm entre outras informaes uma lista de endereos de roteadores intermedirios por onde o datagrama precisa passar, conforme Figura 4.5.
Prximo Cabealho (Next Header) Cabealho de Extenso Tamanho Tipo Encaminhamento Prox. Segmento
Tipoespecfico dados
Figura 4.5 Encaminhamento
d) Fragmentao (Fragmentation Header). Usado para enviar mdulos de dados maiores do que a Maximum Transmit Unit (MTU) de um caminho. O IPv6, assim como o IPv4, deixa a cargo do destino final a ao de reconstruir o datagrama caso tenha sido fragmentado. Porm, no IPv6 a fragmentao fima-fim, isto , antes de enviar um datagrama a origem utiliza-se da tcnica MTU Discovery para descobrir qual o menor MTU
25
ao longo do caminho a ser percorrido. Antes de enviar o datagrama, a prpria origem sabe a quantidade de fragmentos necessria para esta transmisso. A fragmentao fim-a-fim permite que cada roteador manipule mais datagramas por unidade de tempo. Um roteador tradicional fragmenta boa parte dos datagramas que recebe, portando a carga de sua CPU freqentemente alcana valores prximos do 100%. Porm a fragmentao fim-a-fim tem uma importante conseqncia: muda fundamentalmente uma das prerrogativas da Internet. Hoje em dia, a flexibilidade do IPv4 permite que rotas sejam mudadas a qualquer momento. Se roteadores intermedirios falharem, o trfego pode seguir novo caminho sem que os extremos, origem e destino, tomem conhecimento dessa mudana e, teoricamente, sem interromper o servio oferecido. No IPv6 a rota no pode ser mudada com tanta facilidade porque a mudana pode tambm resultar na mudana do caminho do Path MTU. Se o Path MTU ao longo da nova rota menor que o Path MTU ao longo da rota original, ou um roteador intermedirio precisa fragmentar ou a fonte de datagramas precisa ser informada. Para resolver o problema de mudana que possa afetar o Path MTU, o IPv6 permite que roteadores intermedirios utilizem-se de um recurso chamado tunelamento de IPv6 atravs de IPv6. Quando precisam fragmentar os roteadores IPv6 intermedirios criam um datagrama inteiramente novo que encapsula o datagrama original como dado deste, da maneira que mostra a Figura 4.6 (SILVA, 1998).
26
P1
Cabealho de Base
P2
(a)
|
Dados
P3
P1
P2
P3
e) Autenticao IPv6.
(Authentication
Header).
Usado
para
providenciarautenticao e garantia de integridade aos pacotes f) Cifra(IPv6 Encryption Header). Usado para providenciar confidencialidade e integridade atravs da cifra de dados. g) Opes de Destino IPv6 (End-to-End Option Header). Usado para o transporte de informao opcional que apenas necessita de ser examinada pelo nodo destino de um pacote. Este cabealho pode surgir duas vezes no mesmo datagrama. h) Encapsulating Security Payload. Um dos principais objetivos
27
da prxima verso do IP oferecer um mecanismo que garanta a privacidade na comunicao sem ter que depender de implementaes da camada de aplicao. Ambos cabealhos visam prover um tipo de segurana a quem enviou a mensagem. O primeiro, Authentication, tem por objetivo garantir a autenticao e integridade (sem confidencialidade). Foi proposto o uso de chaves MD5 (Message Digest 5, um tipo de checksum) para garantir a interoperabilidade. A incluso deste mecanismo permite eliminar ataques do tipo IP spoof que hoje em dia precisam ser configurados nos firewalls. O IP spoof consiste em forjar os pacotes de origem: caso a mquina B confie na mquina A, qualquer pacote que tiver o endereo IP da mquina A ser confivel. Um dos motivos da escolha do MD5 que o mesmo pode ser exportado pelos EUA e por outros pases que possuem as mesmas restries de exportao de algoritmos de criptografia. O segundo cabealho extendido opcional relacionado a segurana o Encapsulating Security Payload. Este mecanismo prov integridade e confidencialidade para os datagramas. Ele mais simples que alguns protocolos de segurana similares e possui flexibilidade e independncia. O algoritmo padro o DES-CBC (Data Encription Standard). Este cabealho extendido opcional contm
informaes
sobre
associao
que
vai
ser
estabelecida. So definidos dois modos: Na Criptografia fim-a-fim a carga e os cabealhos estendidos so criptografados.
entre sistemas e gateways seguros ou entre dois gateways seguros, o datagrama IP completo criptografado e encapsulado por um novo datagrama no-criptografado. Esta a alternativa do IPv6 quando as VPN (Virtual Private Networks). Um exemplo da comunicao de um gateway seguro e o sistema final o caso do acesso discado onde utiliza-se uma linha telefnica comum ou comunicao sem fio. So baseadas em um backbone pblico no seguro (Silva,1998).
Tabela 4.1- Diviso dos endereos Ipv6 (Construda a partir de dados disponveis na RFC 2373)
Alocao
Reservado Compatibilidade IPv4 No atribuido Reservado para Alocao NSAP Reservado para Alocao IPX No atribuido No atribuido No atribuido No atribuido Endereos Unicast Baseado em Provedor No atribuido Endereos Unicast Reservados para Bases Geogrficas No atribuido No atribuido No atribuido No atribuido No atribuido No atribuido No atribuido Endereo Usados Link Local Endereo Usados Site Local Endereos Multicast
Prefixo (Binrio)
0000 0000 0000 0001 0000 001 0000 010 0000 011 0000 1 0001 001 010
011 100
1/8 1/8
101 110 1110 1111 0 1111 10 1111 110 1111 1110 0 1111 1110 10 1111 1110 11 1111 1111
1/8 1/8 1/16 1/32 1/64 1/128 1/512 1/1024 1/1024 1/256
30
Para melhor exemplificar o projeto de endereamento do IPv6, pode-se considerar a Tabela 4.7 a linha de endereos unicast baseada em provedor cujo prefixo 010 e que contm 12,5% (ou 1/8) dos endereos. Um endereo deste tipo deve ser ainda dividido nos campos provedor ID, subscritor ID, sub-rede ID e n ID. Recomenda-se que este ltimo tenha pelo menos 48 bits para que possa armazenar o endereo MAC IEEE802.3 (Ethernet), O prefixo de identificao do provedor portanto os bits 010 seguidos do provedor ID. O prefixo de identificao do subscritor formado pelo prefixo de identificao do provedor seguido do subscritor ID. Finalmente, o prefixo de identificao da sub-rede formado pelo prefixo de identificao do subscritor mais a informao referente sub-rede.
80 Bits 0000...0000
16 Bits FFFF
A codificao ser necessria por dois motivos principais: a) Um computador pode escolher fazer o upgrade do IPv4 para IPv6 antes de ter um endereo IPv6 vlido atribudo a ele. b) Um computador IPv6 pode precisar se comunicar com um computador que roda apenas IPv4. Porm, permitir esta codificao ainda no resolve o problema de comunicao entre as duas verses, preciso tambm um tradutor. Para usar o tradutor o computador com IPv6 gera um datagrama IPv6 que contm um endereo destino IPv4. O computador IPv6 envia o datagrama para o tradutor que usa IPv4 para se comunicar com o destino. Quando o tradutor recebe a resposta do destino, ele transforma o datagrama IPv4 para IPv6 e envia-o de volta para a fonte IPv6. Uma das maiores preocupaes do IPng da IETF foi procurar uma maneira de fazer a transio entre o atual protocolo Internet (IPv4) para o novo protocolo (IPv6).
32
001 2000::/ 3
<--Topologia Pblica---> <-------------> Topologia Site <------Identificador de Interface ----->
Figura 4.9 - Endereamento Unicast (Conforme RFC 2373)
Segue-se a identificao dos campos do endereamento Unicast: a) b) c) d) FP TLA ID RES NLA ID Formato do Prefixo (001) Identificao do Alto Nivel Agregado (TopLevel Aggregation) Reservado para o Uso Futuro Identificao do Prximo Nivel Agregado (Next-Level Aggregation)
33
e) f)
SLA ID (Site-
Level Aggregation) ID Interface - Identificao da Interface A Identificao do alto nvel agregado (TLA ID) o mais alto nivel
na hierarquia de roteamento. Todas as TLA's so ligados numa zona livre e todos os roteadores existentes nessa zona devem possuir uma tabela de roteamento livre contemplando todas as identificaes dessas mesmas TLA's. Os endereos reservados para o futuro (RES) devem ser atribuidos com o valor zero. Os campos reservados para o futuro permitira o crescimento dos campos TLA`s e NLA`s apropriadamente. Identificao do prximo nvel agregado (NLA) so usados pelas organizaes para assinalar a TLA ID, criando hierarquia de endereamento e identificao local. A organizao pode assinalar o mais alto nvel da NLA ID de modo a criar o endereamento hierrquico apropriado para a sua rede. Isso pode apontar os bits dos campos de identificao local onde se pretende servir. Como mostra a Figura 4.10. | n | 24-n bits | 16 | 64 bits | +------+-------------------+-----------+-----------------+ |NLA1| Site ID | SLA ID | Interface ID | +------+-------------------+-----------+-----------------+
Figura 4.10 - Identificao do Prximo Nvel Agregado
Cada organizao com a sua TLA ID recebe 24 bits da NLA ID. O espao da NLA ID permitir que cada organizao de prover servios aproximadamente ao total de organizaes que o IPv4 pode suportar. Organizaes assinaladas com a TLA ID`s tambm podem suportar NLA ID`s no seu prprio espao local ID. Isso permite que as organizaes TLA ID prover servios para as organizaes de servios de transito pblico e para as
34
que no provem servios de transito pblico. Nesse caso as organizaes recebem NLA ID e podem escolher o espao do seu local ID para suportar outras NLA ID`s . Como apresentado na Figura 4.11. n | 24-n bits | 16 | 64 bits | +------+----------------+--------------+---------------+ | NLA1 | Site ID | SLA ID | Interface ID | +------+-------------------+------------+------------------+ | m | 24-n-m | 16 | 64 bits | +-------+----------------+----------+-----------------+ |NLA2 | Site ID | SLA ID | Interface ID | +-------+----------------+----------+-----------------+ | o |24-n-m-o| 16 | 64 bits | +--------+------------+----------+-----------------+ |NLA3 | Site ID | SLA ID | Interface ID | +--------+------------+-----------+----------------+ Figura 4.11 Diviso NLA O modelo dos bits apresentado no espaamento NLA ID para uma especfica TLA ID, derivado em responsabilidade das organizaes para essa TLA ID. De outro modo o modelo dos bits do prximo nvel da NLA ID de responsabilidade do nivel antecessor da NLA ID. O campo SLA ID (Identificao do Nvel Local Agregado) usado pela organizao para criar sua prpria hierarquia de endereamento local para identificar subnets, isso , inferente as subnets no IPv4 na expectativa de que cada organizao tenha um nmero maior de subnets. O campo de 16 bits da SLA ID suporta 65.535 subnets individuais o equivalente a 256 classes de 256 endereos no IPv4..
35
As organizaes devem escolher roteamento direto na SLA ID ou criar duas ou mais nveis hierrquicos (resulta um nmero de tabela de roteamento) no campo SLA ID como mostrado na figura 4.12. n | 16-n | 64 bits | +-------+-------------+--------------------------------+ |SLA1 | Subnet | Interface ID | +-------+-------------+--------------------------------+ | m |16-n-m | 64 bits | +------+-----------+------------------------------+ |SLA2|Subnet | Interface ID | +------+-----------+------------------------------+
Figura 4.12 Subnets SLA ID
de responsabilidade de cada organizao de formar a estrutura na sua SLA ID. O nmero de subnets que pode ser composta em seu formato de endereamento devem ser o suficiente para cobrir at mesmo as maiores organizaes existentes. As Interfaces ID so usadas para identificar interfaces nos links. So requiridas para serem nicas no segmento (link). Elas podem ser nicas at mesmo em todo formato. Em alguns casos as Interfaces ID, sero os mesmos ou sero baseadas no endereamento de interface da camada de link. Identificadores de Interfaces so usados nos endereos globais agregados unicast em que so requeridos a serem 64 bits e serem construdos dentro do IEEE EUI-64
36
Segundo Hinden & Deering6 (1998), o endereamento de link local pode ser automaticamente configurado em qualquer interface pela conjugao do seu prefixo FE80::/10 (1111111010) conforme Figura 4.13, e a identificao da interface no formato EUI-64. Estes endereos so utilizados nos processos de configurao dinmica automtica e no processo de descoberta de elementos na hierarquia de roteamento (Neighbour Discovery). Este endereamento permite tambm a comunicao entre ns pertencentes ao mesmo link local. Equipamentos de roteamentos no devem enviar pacotes que contenham este tipo de endereamento como origem ou destino.
domnio sem ligao Internet. Este tipo de endereamento no pode ser anunciado externamente por roteadores. | 3 | 13 | 8 | 24 | 16 | 64 bits | +--+------+----+---------+--------+--------------------------------+ |FP| TLA |RES| NLA | SLA | ID Interface | | | ID | | ID | ID | | +--+-----+------+--------+--------+--------------------------------+
1111111011 FEC0::/10 Subnet ID
O endereamento no especificado representado por 0:0:0:0:0:0:0:0 ou "::", indica a ausncia de um endereo e nunca dever ser utilizado em nenhum n. Este endereo apenas poder ser utilizado como "source address" de mquinas/ns que no tenham obtido os seu prprio endereamento.
38
4.4 Multicast
Identicamente ao endereo anycast este endereo corresponde a um
128 bits conjunto de computadores, possivelmente em muitos locais em diferentes ns. A
entrada e sada deste grupo pode ser alterada a qualquer momento. Quando um datagrama multicast enviado, o IPv6 entrega uma cpia do datagrama para cada interface do grupo. O broadcast emulado'' atravs do multicast. O segundo octeto que se segue ao prefixo define o tempo de vida (lifetime) e o contexto do endereo multicast. Um endereo multicast permanente tem um parmetro de tempo de vida igual a "0" enquanto um endereo temporrio tem o mesmo parmetro igual a "1". O contexto para este tipo de endereo apresenta os valores de 1,2,5,8 ou "E" para identificar um n, link, site, organizao ou um contexto global, respectivamente conforme apresentado na Figura 4.15 a seguir. +--+------+----+---------+--------+--------------------------------+ |FP| TLA |RES| NLA | SLA | ID Interface | | | ID | | ID | ID | | +--+-----+------+--------+--------+--------------------------------+
1111 1111 F F Lifetime Scope
Lifetime
16 bits Scope
4.5 - Anycast
Conforme a RFC 2373 Hinden & Deering (1998) assim como o multicast, o destino um grupo de interfaces, mas em vez de ficar tentando entregar o pacote a todas, o IPv6 tenta entregar a apenas uma interface, especificamente enviado para interface mais prxima, de acordo com o protocolo de roteamento. Por exemplo, ao constatar um grupo de servidores de arquivos cooperativos, um cliente pode usar o anycast para alcanar o mais prximo, sem ter que saber qual . O anycast utiliza-se de endereos regulares unicast, como mostra a Figura 4.16 no possvel distinguir sintaticamente qual um ou qual o outro, ficando a cargo do sistema de roteamento a escolha do n que receber o pacote. Para cada endereo anycast atribudo, existe um prefixo mais longo desse mesmo endereo que identifica a regio ao qual todas as interfaces pertencem.
128 bits
Prefixos
00000000000000...
4.6 - Nova Notao Os 128 bits ou 16 bytes de um endereo IPv6 pode ser descrito por oito grupos de 4 dgitos hexadecimais (base 16: de 0 a F), com o smbolo de dois pontos : separando cada grupo conforme apresentado no exemplo a seguir:
40
9000 : 0000 : 0000 : 0000 : 0123 : 4567 : 89AB : CDEF Para facilitar a escrita, um ou mais grupo de 0000 pode ser substitudo por : somente uma vez, assim como um zero esquerda pode ser suprimido, conforme exemplo: 9000 :: 0123 : 4567 : 89AB : CDEF
4.7 - Autoconfigurao Esta caracterstica de autoconfigurao denominada stateless configuration est presente no IPv6. Dessa maneira no necessrio configurar cada estao da rede manualmente como ocorre hoje. Existe no IPv6 um conjunto de diversos mecanismos de controle conhecidos como protocolo ND (Neighbor Discovery protocol) que transportado por ICMPv6 (Internet Control Message Protocolo version 6). O ND faz com que os ns conectados a um link descobrirem os roteadores ativos atravs de mensagens enviadas para endereos multicast. O DHCPv6 (Dynamic Host Configuration Protocolo version 6), tambm conhecido como stateful configuration, fornece mecanismos para configurao automtica de endereos IPv6 e registros automticos e dinmicos dos nomes dos ns no DNS (Domain Name System). O DHCP utiliza-se do tradicional modelo cliente servidor. O IPv6 apresenta mecanismos de autoconfigurao que visam liberar o usurio da tarefa de configurao, tornando-a automtica e transparente. Esperase, por exemplo, que ao comprar um computador o usurio possa simplesmente conect-lo a uma rede e acess-la, sem necessidade de lidar com a configurao de interfaces, protocolos, endereos, etc. Outro objetivo da autoconfigurao permitir a mobilidade, ou seja, a utilizao de um mesmo computador em vrios locais e em redes distintas.
41
Segue-se um exemplo ilustrativo na computao mvel: um executivo poderia estar utilizando seu computador porttil conectado por cabos rede local da empresa. Ao desconectar os cabos, o computador deveria utilizar a rede de infravermelho disponvel, ainda dentro da empresa, e ao sair do alcance desta, utilizar a rede de radio freqncia disponvel na cidade. A autoconfigurao dever permitir o ajuste automtico e transparente para o usurio a todas estas situaes. O princpio bsico para que os exemplos acima possam se tornar realidade consiste na utilizao do endereo Ethernet (48 bits) das placas de rede, que a principio so nicos para cada placa, na constituio do endereo IPv6. Este endereo ter ento a forma: FE80:0:0:0:0:XXXX:XXXX:XXXX, onde XXXX:XXXX:XXXX simboliza o endereo Ethernet de 48 bits. Deste modo, a alocao de endereo altamente facilitada (SILVA 1998).
42
5- SERVIOS IPv6
Os diversos e diferenciados tipos de servios tais como trfego de vdeo, voz, imagens, multimdia entre outros hoje em uso na Internet e com tendencias de crescimento a cada dia, faz com que o IPv4 com seus 8 bits para atender os tipos de servios, sejam tratados de outra forma. No IPv6 o campo Priority em conjunto com o Flow label que identifica um fluxo contnuo de dados tem como funcionalidade de negociar a Qualidade de Servio (QoS). O tipo de manipulao necessria pode ser indicada diretamente para o roteador atravs do RSVP (ReSource reserVation Protocol) ou por informaes no cabealho estendido opcional Hop-by-Hop. (SILVA 1998).
5.1 - QOS
Os campos de Flow Label e Priority no cabealho so usados para identificar aqueles pacotes que necessitam de "cuidados especiais". So pacotes originados de aplicaes multimdia ou de tempo real (SILVA 1998).
43
orientado aquele que demanda muitos pacotes, e fluxo no-orientado aquele que no demanda muitos pacotes, muito trfego. A Tabela 5.1 apresenta alguns exemplos de aplicaes para esses tipos de fluxo.
Tabela 5.1 Prioridades
TRFEGO ORIENTADO TRFEGO NO-ORIENTADO FTP DNS Telnet SMTP HTTP NTP Multimdia POP SNMP
O uso deste campo no explicitamente definido, mas imagina-se que um fluxo orientado necessita uma ateno maior que um fluxo no orientado. Caberia aos roteadores negociarem quais so as medidas a serem tomadas. Dentro de cada categoria (orientada ou no) haveria um identificador de fluxo que sugeriria o tratamento daquele caso. Quando os roteadores recebessem um pacote com determinado identificador de fluxo, consultariam uma tabela onde recuperariam o tipo de tratamento (TANEMBAUM, 1996).
5.1.2 - Prioridade
Este campo determina a prioridade do datagrama em relao a outros datagramas na mensagem de origem. Todos os pacotes de determinado fluxo devem ter a mesma prioridade, portanto estes so dois campos usados em
44
conjunto. Espera-se que esse campo identifique e prioritize aplicaes iterativas, como sesso remota. O uso efetivo se d quando o pacote enfrenta um trfego congestionado. Valores de 0 a 7 nesse campo lidam com transmisses (geralmente TCP) que podem ser retardadas no caso de um congestionamento. Valores de 8 a 15 se referem a aplicaes cujo trfego constante e um atraso implicaria em perda de informao, como vdeo e udio.
45
6- MOBILIDADE
A utilizao de dispositivos mveis ligados em rede tem vindo a aumentar, resultando principalmente da exploso de adeses Internet. Novas tecnologias (redes sem fios, ligao atravs de micro-ondas) esto a se tornar comuns rapidamente. O IPv4 no previu a utilizao crescente deste tipo de dispositivos. Na medida em que um host se movimente de uma rede para outra, seu endereo IP ir sendo alterado. Isto, a princpio, geraria o problema de nunca se saber o endereo atual deste host, inviabilizando a comunicao com o mesmo. No entanto, o IPv6 implementa um mtodo que permite esta mobilidade. Este mtodo consiste basicamente em todo host mvel possuir um endereo fixo em sua rede local original, conhecido como home address. Ao se autoconfigurar em uma rede qualquer, o host mvel envia uma mensagem a sua rede local avisando seu novo endereo na rede na qual visitante. Deste modo, todos os pacotes destinados ao seu endereo original sero roteados para o seu endereo visitante, permitindo assim a recepo de pacotes de forma transparente.
conectado. O modo como pacotes so entregues ao host de destino no permite que o mesmo saia de sua rede sem que seja necessrio alterar o endereo do mesmo, ou, alternativamente, avisar a todos roteadores a nova localizao do host mvel. Esta ltima alternativa impraticvel, portanto a soluo oferecida no deve contar com esta possibilidade. Em 1996 foi publicada a RFC 2002 (IP Mobility Support), o primeiro documento tratando da implementao do suporte a mobilidade no IP. Vrios documentos se seguiram a este, aprimorando o protocolo que ser descrito brevemente neste tpico. Conforme RFC 2002 (PERKINS, 1996), os usurios com MH (Host Mvel) possuem uma rede local base, e podem se locomover entre diferentes reas, onde uma rea tipicamente uma rede remota em que o usurio ou uma clula wireless se conecta. Cada uma dessas reas possui um ou mais FA 7 , que so responsveis por gerenciar a permanncia de MHs na sua respectiva rea. Alm disso, cada rea tem um HA8 , responsvel pelos MHs de suas bases originais, mas que esto visitando outras reas. Sempre que um MH adentra uma rea, ele deve se registrar com o FA responsvel por esta rea. O FA periodicamente faz um broadcast de seu endereo, anunciando sua presena para os novos MHs, que, caso no queriam esperar pelo broadcast do FA, tambm podem fazer um broadcast perguntando quem o FA responsvel. O host mvel se registra com o FA, dando o endereo do seu home agent e informaes de segurana. O FA, por sua vez, entra em contato com o HA, fornecendo as informaes de segurana recebidas do MH, e anunciando a presena do mesmo na rea. Satisfeito com as informaes, o HA diz ao FA
7 FA (Foreing Agent) ou agente remoto 8 HA (Home Agent), ou agente local 47
para prosseguir com o registro, e este ltimo avisa ento ao MH que ele est registrado. A partir deste ponto, sempre que um host tentar contatar o MH, o pacote direcionado ao mesmo ser interceptado pelo HA, na rede local base do MH, pois a princpio o remetente no sabe se o MH est na sua rea permanente ou em uma outra rea. Aps interceptar o pacote, o HA faz o seguinte: 1. Encapsula este pacote no campo de dados de um novo pacote, e direciona este novo pacote para o FA responsvel pela rea onde o MH se encontra. tunelamento. 2. Avisa ao remetente do pacote original para enviar os prximos pacotes destinados ao MH diretamente para o FA, usando a mesma tcnica de tunneling. Desta forma, os pacotes subsequentes no precisam passar pelo HA. A figura 6.1 ilustra o processo: Este procedimento chamado de tunneling, ou,
FA
HA
MH
Host remetente
Figura 6.1 Envio de pacotes pelo Mobile IPv4 48
Na Figura 6.1, tem-se: a) endereo. b) c) d) O HA sabe que o MH no est na rea, e ento intercepta o O FA recebe o pacote, desencapsula o pacote original e envia Pacotes subseqentes so enviados diretamente para o FA. pacote, encapsula o mesmo em um novo pacote e envia para o FA. este para o MH. Um host deseja contactar o MH, e envia um pacote para seu
qualquer lugar, que os pacotes sero roteados corretamente para ele atravs de mecanismos apropriados. O movimento , desta forma, transparente para a camada de transporte e para aplicaes que usam o protocolo TCP/IP e Mobile IPv6. O home address constitudo de um prefixo vlido no link de sua rede original (home network). atravs deste endereo que um n correspondente ir se comunicar com o n mvel, independente de onde este estiver. Quando o n mvel muda de rede, ele mantm o home address e recebe outro endereo, o care-of address (COA), constitudo de um prefixo vlido em uma rede estrangeira. Este endereo conseguido de forma stateless ou stateful, (sem ou com servidor de endereos, respectivamente). Desta forma, o MN ter um home address e um ou mais care-of address quando est se movendo entre redes. Para que seja possvel saber onde o n mvel se encontra, uma associao entre home address e care-of address deve ser realizada (binding). Esta associao do care-of address feita pelo n mvel, no home agent (HA). Esta associao realizada atravs de um binding registration, onde o MN envia mensagens chamadas Binding Updates (BU) para o HA, que responde com uma mensagem Binding Acknowledgement (BA). Os ns correspondentes (CNs) no MIPv6 possuem "inteligncia" para a otimizao de rota, ou seja, eles podem armazenar bindings entre home address e care-of address de ns mveis. Sendo assim, um n mvel pode fornecer informaes sobre sua localizao para CNs, atravs do correspondent binding procedure. Neste procedimento, um mecanismo de autorizao de estabelecimento de binding realizado, chamado de return routability procedure. A figura 6.2 mostra um cenrio de mobilidade IPv6 com elementos bsicos:
50
Figura 6.2 Viso Geral Ipv6 (Fonte: Rede Nacional de Ensino e Pesquisa)
Nota-se que o Foreign agent (FA), presente no MIPv4, no existe mais. A comunicao entre MN e CN pode acontecer de dois modos:
ao MIPv6 e que o MN tenha se registrado com o CN. Os pacotes so roteados do CN para o HA e do HA tunelado para o MN. Depois, o MN responde para o HA por tnel que, por sua vez, responde para o CN. Cada pacote interceptado tunelado para o care-of address do MN;
("inteligncia" para binding) e o MN deve se registrar com o CN. Neste caso, o CN, antes de enviar o pacote, busca em uma cache uma associao entre home address e care-of address do MN. Se existir associao, o pacote ser roteado para o care-of address do n mvel diretamente. Isto elimina congestionamento no home link e no HA. A figura 6.3 ilustra os dois modos:
51
Figura 6.3 Modos de comunicao entre CNe MN (Fonte: Rede Nacional de Ensino e Pesquisa)
52
Para alguns tipos curtos de comunicao, particularmente as operaes em que novas tentativas podem ser efetuadas com facilidade (ex.: DNS), o host mvel pode utilizar diretamente um de seus care-of-address no campo de origem do pacote, eliminando assim o processamento extra de utilizar a opo home-address. Para isso, no entanto, necessrio que a aplicao saiba tratar este tipo de comunicao, caso contrrio recomenda-se utilizar o mtodo mencionado anteriormente. importante reafirmar que pacotes enviados quando o host mvel est na sua rede local no precisam sofrer nenhuma alterao, sendo processados da mesma forma que pacotes gerados em hosts estacionrios. Da mesma forma, pacotes enviados pelo host mvel de uma rede remota utilizando um IP da rede remota no so alterados. Um problema visto nesta forma de trabalhar que hosts correspondentes que fazem algum tipo de verificao baseada no homeaddress do host mvel no iro reconhec-lo, uma ver que o endereo de origem no o home-address, e sim o endereo utilizado na rede remota. Um host mvel, quando em rede remota, vai receber pacotes destinados ao seu home-address de uma das seguintes trs maneiras: 1. Pacotes enviados por um correspondente que no tem uma entrada para o host mvel em seu binding-cache sero interceptados pelo HA na rede local do host mvel e tunelados para o COA do host mvel. 2. Pacotes enviados por um correspondente que tem uma entrada para o host mvel em seu binding-cache faro uso do cabealho de roteamento, e enviados diretamente para o COA do host mvel, recuperado do cache. 3. Pacotes enviados por um correspondente que tem uma entrada invlida para o host mvel em seu binding-cache sero enviados como no item 2.
53
O pacote, ao chegar na rede onde o COA utilizado reside, ser descartado, pois o host mvel no se encontra mais nesta rede. Porm, se o host mvel tiver enviado um binding-update para o FA desta rede, o pacote ser interceptado por este ltimo, sendo tunelado para o novo COA do host mvel, que receber o pacote com sucesso. Para os casos 1 e 3 descritos acima, recomendado que o host mvel envie um binding-update para o remetente do pacote, a fim de criar ou atualizar a sua entrada no binding-cache do correspondente. O host mvel, visando descobrir a rede em que est, utiliza as facilidades implementadas pelo IPv6 Neighbor Discovery, alm de ouvir os anncios feitos pelos FAs locais. Baseado nestes mtodos, o host mvel mantm uma lista com FAs e redes considerados ativos, alm dos COAs disponveis para seu uso, escolhendo uma das opes para ser o padro, ou ainda, COA primrio. Ao detectar que o FA em uso no est ativo, o host mvel deve escolher um novo de sua lista, e, devido alterao do COA, fazer um binding-update com seu HA. Esta lista tambm utilizada quando o host mvel passa a utlizar outro COA; todos os FAs recebem um binding-update, para que possam tunelar pacotes enviados para o COA antigo. Ao selecionar um novo COA primrio, o host mvel obrigado a enviar um binding-update para seu HA com os seguintes requisitos:
bit H (home registration) deve estar ligado; bit A (acknowledge) deve estar ligado; pacote tem que ter a opo de home-address preenchida; endereo de origem do pacote deve ser o COA a ser registrado, a menos que a sub- opo de COA alternativo esteja sendo utilizada;
54
recomendado que o tempo de vida informado para este binding seja menor ou igual ao tempo de vida do COA. Caso o host mvel tenha mais de um home-address, um binding-update dever ser feito para cada um deles, obviamente em pacotes separados. Em algumas situaes o host mvel pode no saber o endereo de um host em sua rede local que pode servir de home-agent para ele. Neste caso o host mvel pode tentar descobrir o endereo de um host, como foi mencionado no tpico Operao do Home Agent. obrigatrio que o host mvel tente o binding-update antes com o HA que ele j vinha utilizando, caso exista. O host mvel pode mandar binding-updates tambm para correspondentes, para que estes atualizem seu cache, evitando assim o overhead de tunelamento por parte do FA. O COA utilizado nesta operao pode ser escolhido livremente dentre os disponveis para o host mvel; se o endereo utilizado for o home-address, o correspondente deve remover do cache a entrada correspondente ao host mvel. interessante notar que caso o host mvel no queira divulgar sua localizao atual para um correspondente, basta no enviar binding-updates para este correspondente. Neste caso os pacotes sero tunelados pelo HA. Para ativar o encaminhamento de pacotes por parte do FA, mencionado anteriormente, o host mvel deve mandar um binding-update para qualquer FA da rede remota onde ele estava anteriormente, utilizando como endereo de origem o COA utilizado nesta rede remota anterior e passando seu novo COA como o endereo a ser inserido no cache. importante que o bit H (home registration) esteja ligado nesta mensagem, significando que o FA deve atuar temporariamente como HA do host mvel naquela rede. Um aspecto interessante que este FA no sabe necessariamente o home-address do host
55
mvel, e nem precisa saber, pois tudo que ele tem que fazer tunelar pacotes destinados ao COA antigo para o novo COA. Correspondentes desejando saber o COA do host mvel podem enviar um binding-request para o mesmo. Ao receber este pedido o host mvel pode escolher entre responder ou no o pedido. Como mencionado anteriormente, o host mvel pode responder com um COA que o seu prprio home-address, indicando que ele recebeu o pedido mas no quer divulgar sua localizao. O host mvel pode tambm, claro, processar o pedido normalmente, enviando um binding-update com seu COA atual. A multiplicidade de COAs no host mvel auxilia o processo de smooth handovers, no sentido que ao se deslocar por clulas sobrepostas, o host mvel pode receber pacotes destinados a qualquer um dos COAs disponveis. Assim, mesmo trocando de COA primrio, o host mvel pode manter o COA primrio anterior na lista de COAs disponveis para uso. Outro benefcio na disponibilidade de vrios COA a possibilidade do host mvel escolher como COA primrio o que pertence rede com melhor nvel de comunicao, aumentando assim a eficincia de transmisso. Ao retornar para sua rede local, o host mvel deve enviar um bindingupdate para seu HA, pedindo para que este deixe de interceptar e tunelar os pacotes destinados a ele. Uma situao que requer cuidado pode ocorrer neste ponto: caso o host mvel no saiba o endereo de camada link do home-agent, ele deve solicitar este endereo utilizando unicast e endereo de origem no especificado para evitar problemas com o algoritmo de deteco de endereos duplicados.
56
O uso de binding-updates no autenticados tido como problema de segurana conhecido pela comunidade. Como este recurso permite que pacotes destinados a um host mvel sejam enviados para um endereo remoto (COA), o uso no autenticado do mesmo poderia acarretar em updates maliciosos que levariam um correspondente a enviar pacotes destinados ao host mvel para um terceiro host. Assim como o binding-update, as confirmaes destes updates tambm devem ser autenticados. Algum mal-intencionado poderia enganar o host mvel, fazendo este acreditar em um resultado falso de um update com seu HA, por exemplo. Ao contrrio do binding-update e sua confirmao, o binding-request no oferece nenhum risco de segurana, pois seu uso no implica em mudana de estados no host mvel ou no correspondente. Os nmeros de seqncia utilizados nos binding-updates e suas confirmaes tambm devem ser renegociados para evitar ataques de repetio de pacotes. A autenticao dos pacotes de binding-update feita atravs da verificao do campo BSA (binding security association), existente conceitualmente em um campo do binding-cache. O processo para estabelecer tal associao no est definido no Draft IETF Mobile IPv6, e portanto est em aberto. Um assunto j pendente no IPv4 que no foi resolvido no IPv6 a questo do ARP gratuito, ou Neighbor Advertisement no IPv6, que tem como efeito associar um endereo IP a um determinado endereo de camada link. Um usurio malicioso conectado rede local pode emitir um destes pacotes, anulando assim a proteo que o uso de hubs
57
chaveados traz.
explicado aqui, e est amplamente coberta em outros textos. Alm dessas questes, devemos considerar que o ambiente de computao mvel bastante diferente do ordinrio, estando as estaes muitas vezes conectadas atravs de dispositivos sem fio (wireless). Tais conexes so muito vulnerveis a interceptao passiva dos dados, alm de outros ataques ativos, como enviar pacotes especialmente preparados para causar algum tipo de confuso. Alguns deste problemas podem ser evitados utilizando-se criptografia. Estaes mveis so ainda mais fceis de serem roubadas, e neste caso, as chaves de autenticao ou de criptografia, bem como outras informaes sero comprometidas. Usurios preocupados em manter secreta a localidade do host mvel, podem usar uma tcnica que consiste em tunelar para o HA os pacotes a serem enviados. Desta forma, os pacotes vo parecer estar saindo da rede onde o home-agent reside, mantendo assim o local verdadeiro de transmisso secreto.
58
O MIPv6 define meios de gerenciar mobilidade global, mas no enfoca o gerenciamento de mobilidade local separadamente. Ele utiliza-se do mesmo mecanismo em ambos os casos, o que causa uma ineficincia na utilizao de recursos no caso de mobilidade local. O HMIPv6 adiciona um novo nvel, baseado em MIPv6, que separa mobilidade local de global. No HMIPv6, a mobilidade global gerenciada pelos protocolos do MIPv6, enquanto handoffs locais so gerenciados localmente. O novo n em HMIPv6 chamado de MAP (Mobility Anchor Point). O MAP, que substitui o foreign agent do MIPv4, ao contrrio do mesmo, no exige estar presente em cada subnet. O MAP tambm ajuda a diminuir a latncia referente aos handoffs devido ao fato de ele poder se atualizar mais rapidamente que o remoto home agent.
59
O problema das regras de firewall que impediam o MH de usar o seu home-address como source dos pacotes foi resolvido permitindo que os MHs usem o COA para enviar os pacotes. O home address enviado opcionalmente no pacote, e a habilidade de processar este campo quesito obrigatrio em qualquer implementao do IPv6. Enquanto que no IPv4 pacotes UDP eram utilizados para enviar mensagens de controle, no IPv6 estas mensagens podem ir nos pacotes j existentes, fazendo o que conhecido como piggybacking. A possibilidade de utilizar o COA para enviar pacotes permite simplificar o roteamento de pacotes multicast. No IPv4, estes pacotes tinham que ser enviados ao HA atravs de tunneling, para que o MH pudesse utilizar seu home address. No mais necessrio o uso de roteadores especiais para atuar como FA; todos os roteadores IPv6 vo ter esta funcionalidade. O mecanismo de deteco de movimento no IPv6 permite que, ao perder o link com o antigo FA, o mobile host passe a utilizar um novo FA e um novo COA. O novo formato do pacote do IP permite que os pacotes para o MH no precisem ser encapsulados. Ao invs disso, utilizado o cabealho de roteamento, reduzindo assim o overhead da transmisso. A implementao do Neighbor Discovery permite tambm que o processo de interceptao dos pacotes destinados ao MH por parte do HA no dependa da camada inferior (data link), simplificando o protocolo e aumentando sua robustez. Limitaes na definio do ICMP no IPv4 exigiam processamento especial para mensagens ICMP, atravs do tunnel soft state. Esta limitao for eliminada na nova definio do ICMP. A busca automtica do HA por parte do MH agora feita utilizando o anycast. Desta forma, o MH s receber a reposta de um HA, ao invs de
60
respostas de todos os HA da sua rea permanente. Os binding updates, no IPv4 feitos pelo HA e FA, agora so feitos pelo prprio host mvel, permitindo que ele decida se vai ou no divulgar seu COA. permitido ao MH ter mais de um COA, ajudando assim a implementar o que chamado de Smooth Handover, onde o MH no perde as conexes estabelecidas ao trocar de rea.
61
7- SEGURANA
A especificao do protocolo IPv6 inclui segurana na camada de rede atravs de uma arquitetura criada para tal, a IPSec. Esta arquitetura bastante flexvel, de modo a evitar problemas relacionados com restries de exportao de criptografia e no impede a utilizao de outros mecanismos de segurana por parte das aplicaes. Tendo em conta que a utilizao generalizada do IPv6 no um processo imediato, a IPSec foi concebida de modo a poder ser utilizada com o protocolo IPv4. Existem j implementaes de sistemas Unix que englobam a arquitetura de segurana para o protocolo IP.
62
e) Ser parte integrante do protocolo IPv6 e poder ser aplicvel ao IPv4. Atravs dos seus componentes, a IPSec usa este conceito para permitir a implementao de redes virtuais privadas e seguras atravs de redes pblicas tais como a Internet.
c) Algoritmo, modo e transformada de cifra utilizados no cabealho de encapsulamento de dados de segurana, ESP; d) Chaves usadas no algoritmo de cifra do cabealho de encapsulamento de dados; e) Chaves de autenticao usadas com o algoritmo que faz parte da transformada ESP; f) Tempo de vida da chave; g) Tempo de vida da associao de segurana; h) Endereo(s) fonte da associao de segurana; i) Nvel de sensibilidade dos dados protegidos.
Na prtica, uma associao de segurana representada por um ndice de parmetros de segurana - Security Parameter Index (SPI) - com um endereo IP destino. O SPI um campo que surge nos cabealhos de segurana IPv6 (AH e ESP), que no cifrado na transmisso, j que a sua informao essencial para decifrar a informao transmitida. Quando uma entidade quiser estabelecer uma associao de segurana, utiliza um SPI e um endereo destino (pertencente entidade com que deseja estabelecer comunicao segura) e envia essa informao entidade com que quer estabelecer o canal seguro. Assim, para cada sesso de comunicao autenticada entre dois nodos , so necessrios dois SPI - um para cada sentido, dado que cada associao de segurana unidirecional. O IPSec apresenta uma estrutura bastante flexvel, que no obriga utilizao de algoritmos de autenticao ou cifra especficos. Assim, o IPSec pode interagir com as normas mais recentes. No entanto, dada a necessidade de segurana, a IETF definiu como algoritmos a usar:
64
a) HMAC-MD5 e HMAC-SHA-1 para autenticao (quer no cabealho AH, quer no ESP); b) DES-CBC, para a cifra usada no cabealho ESP. O IPSec integra gesto manual de chaves. A gesto da responsabilidade de protocolos criados para este fim, tais como o SKIP, da Sun Microssystems, ou o Photuris, (acrnimo em latim para desenvolvido por Phil Karn), ou ainda o protocolo Internet Key Exchange, IKE. Na medida em que estes cabealhos so cabealhos de extenso que iro ser adicionados a um cabealho IP, os encaminhadores podem interpret-los como fazendo parte integrante dos dados, o que permite a compatibilidade destes mecanismos com equipamento que compreende o protocolo IP mas no o IPSec. Os componentes da IPSec so: a) Cabealho de Autenticao (AH) b) Cabealho de Encapsulamento de Dados de Segurana (ESP) c) Mecanismos de Gesto de Chaves (SOFIA, 1998).
65
Prximo Cabealho Tamanho do Mdulo Reservado ndice de Parmetros de Segurana (SPI) Nmero de seqncia Dados de Autenticao Figura 7.1 - Cabealho de Autenticao
Na medida em que alguns dos campos do datagrama IP so alterados durante a transmisso e dado que o cabealho de autenticao adicionado na fonte do datagrama. Este cabealho por si s no fornece proteo contra ataques de anlise de trfego ou confidencialidade, sendo para tal usado normalmente em conjunto com o cabealho de encapsulamento de dados (SILVA, 2003).
extremo a extremo entre dois nodos, por exemplo, um cliente e um servidor. Este modo cifra informao do protocolo da camada de transporte, adicionando-lhe em seguida um novo cabealho IP no-cifrado, pelo que se torna vantajoso em redes relativamente pequenas, nas quais o(s) servidor(es) e nodo implementam a IPSec ; b) Modo de Tnel (tunnel-mode). Providencia proteo ao pacote IP. Para tal, aps a adio dos campos ESP ao pacote IP, todo o pacote tratado como o mdulo de dados de um novo pacote IP. Assim, pode ser usado para enviar dados cifrados atravs de um tnel, o que permite enviar dados independentemente da infra-estrutura utilizada. Um exemplo o envio de pacotes IP atravs de canais virtuais criados numa rede IP pblica, como a Internet. Atravs deste modo, pode ser fornecida segurana a um grupo de nodos que no implementem o IPSec.
67
a) ISAKMP - Internet Security Association and Key Management Protocol. Protocolo que descreve uma infra-estrutura para a gesto de associaes de segurana; b) Oakley - protocolo que define material de chaves para cifra, hashing e autenticao e compatvel com a gesto de associaes de segurana ISAKMP; c) Internet Domain Of Interpretation - define parmetros ISAKMP para as associaes de segurana IPSec no domnio Internet; d) Resoluo ISAKMP/Oakley - define o perfil do protocolo hbrido ISAKMP/Oakley, escolhido como norma de gesto de chaves criptogrficas pela Internet Engineering Task Force; e) IKE - Internet Key Exchange. O IKE usa a porta 500 do protocolo UDP e interage com os restantes mecanismos de segurana IPSec atravs de associaes de segurana. Assim, o IKE proporciona a possibilidade de estabelecer associaes de segurana para diversos protocolos e aplicaes de segurana, tendo assim um mtodo transparente e aberto de associar diferentes mecanismos de segurana, sem envolver as entidades participantes na comunicao. O IKE agrupa funcionalidades dos protocolos ISAKMP e Oakley:
Mensagens ISAKMP. Mensagens pr-definidas e compostas de mdulos. So usadas para trocar informao nas trocas de chaves; Modos Oakley. O protocolo Oakley define trocas de chaves a que chama modos e que utilizam mensagens ISAKMP.
68
Quando uma entidade pretende estabelecer comunicao segura, passa pelas fases IKE: Fase 1: esta fase ocorre num meio inseguro. Tem o objetivo de estabelecer um canal seguro que ir proteger as trocas da Fase 2. executada uma vez para vrias fases 2; Fase 2: esta fase ocorre no canal seguro criado na fase 1. As suas negociaes tm o objetivo de estabelecer as associaes de segurana que iro proteger a comunicao. Aps estas duas fases, encontra-se estabelecido um canal seguro atravs do qual se pode efetuar comunicao segura (SOFIA, 1998).
69
70
Cliente IPv6
Switch Central
Internet
FW NAT IP-Vlido
71
DNS Roteamento
72
15M 1W 1D IN Ipv6ipv4 IN NS
; ; ;
ipv6ipv4.ipv6.proj.
AAAA 3ffe:2b00:100:f102::1
Mquina Servidor
nameserver 192.168.1.1 nameserver [3ffe:2b00:100:f102::1]
Para verificao do funcionamento DNS foi utilizado o comando ping para as duas estaes Cliente e Servidor:
ping ipv6ipv4.ipv6.proj
73
74
IPV6_AUTOCONFIG=no IPV6ADDR=3ffe:2b00:100:f102::1/64
Cliente
DEVICE=ETH0 ONBOOT=yes IPADDR=192.168.1.2 NETMASK=255.255.255.0 NETWORK=192.168.1.0 BROADCAST=192.168.0.255 IPV6INIT=yes IPV6_AUTOCONFIG=no IPV6ADDR=3ffe:2b00:100:f101::1/64
Para verificao do funcionamento foi utilizado o comando ifconfig e ping nas duas estaes, Cliente e Servidor: Com ifconfig pode-se verificar a configurao atribuda nas placas de redes, ateno para o escopo global e escopo de link. O escopo global apresenta-se como o endereamento atribudo na placa e o escopo de link uma atribuio gerada automaticamente identificando o link.
ifconfig (Servidor) Eth1 Eth0 Endereo inet6: fe80::202:44ff:fe19:6d9f/64 Escopo: Link Endereo inet6: 3ffe:2b00:101:f101::1/64 Escopo Global Endereo inet6: fe80::202:44ff:fe19:6d89/64 Escopo: Link Endereo inet6: 3ffe:2b00:100:f102::1/64 Escopo Global ifconfig (Cliente) 75
Eth0
Endereo inet6: fe80::250:bfff:fed2:2bdd /64 Escopo: Link Endereo inet6: 3ffe:2b00:100:f101::1/64 Escopo Global
ping 3ffe:2b00:100:f101::1 ping 3ffe:2b00:101:f101::1 ping 3ffe:2b00:100:f102::1 ping 192.168.1.1 ping 192.168.1.2 ping 10.5.0.201 ping 10.5.0.200 ping 200.252.155.21
76
touch /var/lock/subsys/local
encaminhamento de endereos Ipv6). Foi adicionado manualmente a rota e o gateway para acesso fora da Eltronorte.
route add net 0.0.0.0 netmask 0.0.0.0 dev eth1 route add default gw 10.5.0.1
Foi atribudo uma NAT para conectar fora da rede Eletronorte pelo endereo IP vlido 200.252.155.9.
pde-se verificar que o IPv4 e IPv6 trabalham em conjunto e so compativeis em relao ao endereamento, roteamento e DNS , e o IPv6 apresenta completa integrao com sistema baseado em software livre quando esse vem atribuido com suporte nativo ao protocolo IPv6, bastando compreender o funcionamento e sua configurao.
78
9 - CONCLUSO
A flexibilidade do protocolo IP e sua natureza aberta o tornaram sucesso mundial. Atualmente, mesmo aps anos de existncia, percebe-se que o mesmo est apto s novas exigncias. A IETF e mais especificamente o grupo de trabalho IPng tem hoje a oportunidade de oferecer ao mundo uma soluo para vrias restries do IP atual (Ipv4). De acordo pesquisas realizadas no desenvolvimento dessa monografia identifcou-se que o IPv6 surgiu para resolver problemas a mdio e longo prazo na falta de endereos IP. Alm disso, apresenta suporte nativo segurana e ao multicast, assim como a possibilidade de oferecer tratamento diferenciado para diferentes tipos de servios. Foi implementado nesse trabalho a instalao do software livre com IPv6, configurado o endereamento, resoluo de nomes, roteamento e caractersticas especficas de integrao do IPv4 com o IPv6, onde apresentou normal funcionalidades diante dos testes executados. Atinge-se uma nova era, onde tudo e todos passam a obter um ponto em comum de comunicao e esse trabalho de monografia indica que temos formas de dar continuidade ao crescimento e integrao no protocolo IP.
79
BIBLIOGRAFIA
ALMEIDA, Rubens Queiroz de. Protocolo Ipv6. [on-line]. Disponvel na Internet via www. url: http://www.dicasl.unicamp.br/Treinamentos/tcpip. Arquivo capturado em 18 de Maro de 2005. ANTON, Eric Ricardo. Arquitetura TCP/IP. [on-line]. Disponvel na Internet via www. url: http://www.gta.ufrj.br/grad/99_2/eric/index.htm#IPv6. Arquivo capturado em 18 de Novembro de 2005. ARTOLA, Esmilda Saens. PROTOCOLOS IP, TCP E UDP.[on-line]. Disponvel na Internet via www. url: http://penta.ufrgs.br/hometcp.html Arquivo capturado em 19 de Maro de 2005. BRADNER, Scott O., et al. RFC 1752 IPNG, Internet Protocol Next Generation, Addison- Wesley Publishing Company, 1996. 6BONE. Testes para o desenvolvimento do Ipv6. [on-line]. Disponvel na Internet via www. url: http://www.6bone.net/ Arquivo capturado em 18 de Maro de 2005. COMER, Douglas E. Interligacao em rede com TCP/IP volume 1 Principios, protocolos e arquitetura. Rio de Janeiro: Campus, 1998. DEERING, S. & HINDEN, R. RFC 1883 - Internet Protocol, Version 6 (IPv6) Specification. [on-line]. Disponvel na Internet via www. url: http://www.faqs.org/rfcs/rfc1883.html . Arquivo capturado em 18 de setembro de 2005. FCCN - Fundao para Computao Cientfica Nacional. Piloto IPv6.[on-line]. Disponvel na Internet via www. url: http://www.fccn.pt/rccn/projectos/ipv6. Arquivo capturado em 15 de Novembro de 2005.
80
HINDEN, Robert. Informaes sobre o IPng. [on-line]. Disponvel na Internet via www. url: http://playground.sun.com/pub/ipng/html/ipng-main.html. Arquivo capturado em 20 de setembro de 2005. HINDEN, R. et al. RFC 2373 - IP Version 6 Addressing Architecture. [on-line]. Disponvel na Internet via www. url: http://www.ietf.org/rfc/rfc2373.txt Arquivo capturado em 18 de setembro de 2005. HINDEN, R. et al. RFC 1884 - IP Version 6 Addressing Architecture. [on-line]. Disponvel na Internet via www. url: http://rfc.net/rfc1884.html Arquivo capturado em 18 de setembro de 2005. HINDEN, R. & POSTEN, J. RFC 1897 - IPv6 Testing Address Allocation. [online]. Disponvel na Internet via www. url: http://rfc.net/rfc1897.html. Arquivo capturado em 18 de setembro de 2005. HUITEMA, Christian. IPv6: The New Internet Protocol, 2/e.: Prentice Hall PTR, 1997. ICANN, Internet Corporation for Assigned Names and Numbers. 2005 . Disponvel em http://www.icann.org.br/general. Arquivo capturado em 15 de abril de 2006. IETF - Internet Engineering Task Force. Informaes oficiais relacionadas ao Ipng. [on-line]. Disponvel na Internet via www. url: http://www.ietf.org/ids.by.wg/ipngwg.html . Arquivo capturado em 20 de outubro de 2005. KARN, P. ; METZGER, P. ; SIMPSON, W. RFC 1829 - The ESP-DES CBC Transform.[on-line]. Disponvel na Internet via www. url: http://rfc.net/rfc1829.html . Arquivo capturado em 11 de junho de 2005. NACAO, Joao Paulo Gonsiro. IPng a.k.a. IPv6. UFRJ - Universidade Federal do Rio de Janeiro - Coordenao dos Programas de Ps-Graduao em Engenharia, 1994. PERKINS, C. RFC 2002 - IP Mobility Support. [on-line]. Disponvel na Internet via www. url: http://www.ietf.org/rfc/rfc2002.txt. Arquivo capturado em 15 de novembro de 2005.
81
PORTUGAL IPV6 TASK FORCE. Como Ativar o Protocolo Ipv6 em Linux [on-line]. Disponvel na Internet via www. url: http://www.ipv6tf.com.pt/home.htm . Arquivo capturado em 20 de Maio de 2006. REIS, Rui; SOFIA, Helena R. E. C. Internet Protocol Next Generation. [online]. Disponvel na Internet via www. url:. http://planeta.clix.pt/rute/apts/ipv695/index.htm. Arquivo capturado em 18 de Abril de 2005. REKHTER, Y. et al. RFC 2073 - DNS Extensions to support IP version 6 [online]. Disponvel na Internet via www. url: http://www.ietf.org/rfc/rfc2073.txt . Arquivo capturado em 18 de Abril de 2005. RNP - REDE NACIONAL DE ENSINO E PESQUISA.A Nova Gerao de Protocolos IP [on-line]. Disponvel na Internet via www. url: http://www.rnp.br/newsgen/9811/intr-ipv6.html. Arquivo capturado em 18 de setembro de 2005. ROBERTO, Paulo. O Protocolo TCP/IP. [on-line]. Disponvel na Internet via www. url: http://www.dicas-l.unicamp.br/Treinamentos/tcpip/02.html Arquivo capturado em 18 de julho de 2005. ROSA, Miguel. IPv6 - IP Next Generation - Estudos sobre o protocolo IP de Nova Gerao. [on-line]. Disponvel na Internet via www. url: http://www.ip6.fc.ul.pt/ . Arquivo capturado em 03 de abril de 2005. SILVA, Eduardo S. Machado da. A Gerao Futura de Internet: IPng e IPv6. [on-line]. Disponvel na Internet via www. url: http://www.lcmi.ufsc.br/~esms/redes/ipv6/ . Arquivo capturado em 04 de abril de 2005. SILVA , Lino Sarlo da Virtual Private Network (VPN). So Paulo: ED. Novatec, 2003. SOARES, Luiz Fernando G.;LEMOS, Guido;COLCHER, Srgio. Redes de Computadores: das LANs, MANs e WANs. Rio de Janeiro: Campus, 1995.
82
SOFIA, Helena R. E. C. Piloto IPv6 na RCCN. [on-line]. Disponvel na Internet via www. url: http://planeta.clix.pt/rute/apts/ipv698/index.htm Arquivo capturado em 05 de maio de 2005. SOFIA, Helena R. E. C. Piloto IPv6. [on-line]. Disponvel na Internet via www. url: http://planeta.clix.pt/rute/apts/ipv699/index.htm . Arquivo capturado em 05 de maio de 2005. SOFIA, Helena R. E. C. Estudo do Protocolo ISAKMP/Oakley como Norma de Gesto de Chaves da Arquitectura de Segurana IPSec. [on-line]. Disponvel na Internet via www. url: http://planeta.clix.pt/rute/apts/tese/index.htm . Arquivo capturado em 05 de maio de 2005. SOFIA, Helena R. E. C. IPSec. [on-line]. Disponvel na Internet via www. url: http://planeta.clix.pt/rute/apts/ipsecjan/index.htm . Arquivo capturado em 08 de junho de 2005. TANENBAUM, A. S. Sistemas Operacionais Modernos. Rio de Janeiro: Prentice-Hall do Brasil, 1995. TANENBAUM, A. S. Computer Network 3 Edio. Rio de Janeiro: PrenticeHall do Brasil, 1996. THOMSON, S.& HUITEMA, C. RFC 1886 - DNS Extensions to support IP version 6 [on-line]. Disponvel na Internet via www. url: http://www.rnp.br/ipv6/rfc1886.txt . Arquivo capturado em 18 de Abril de 2005. THOMSON, S. & NARTEN, T. RFC 2462 - IPv6 Stateless Address Auto configuration.. [on-line]. Disponvel na Internet via www. url: http://www.faqs.org/rfcs/rfc2462.html . Arquivo capturado em 19 de Abril de 2005.
83