IPv6Laborat rioderelay6to4

Objetivo
Tneis 6to4 realizados automaticamente, e normalmente sem conhecimento do usurio, pelos sistemas operacionais Windows XP,Vistae7,bemcomoporalguns equipamentos de rede, podem levar a uma experincia pior para os usurios, dado que os dados trafegaro por relays pblicos 6to4, normalmente fora do pas. A conexo ser menos estvel e apresentardelaysmaiores. Nesse laboratrio mostrase como ativar umrelay 6to4local,numprovedordeservios que j tenha o IPv6 habilitado, a fim de mitigar o problema descrito anteriormente, eliminando a necessidade dos pacotes de resposta viajarem longas distncias, passando por relays potencialmentenoconfiveis. Paraopresenteexerccioserutilizadoatopologiadescritanoarquivo: tecnicastransicaorelay6to4.imn.

IntroduoTe rica
O 6to4 (RFC 3056) umas das tcnicas de transio mais antigas em uso. Com ajuda de relays pilha dupla distribudos na Internet, abertos, instalados de forma colaborativa por diversas redes, qualquer rede IPv4 pode obter conectividade IPv6, atravs de tneis 6in4 automticos. O endereamento 6to4, utiliza o prefixo de endereo global 2002:wwxx:yyzz::/48, onde wwxx:yyzz o endereo IPv4 pblico do cliente convertido parahexadecimal. A figura abaixo demonstra o fluxo dos pacotes em uma rede 6to4. importante notar que noexisteanecessidadedeospacotesiremevoltarempelomesmorelay6to4.

Dentre os problemas que afetam o 6to4, podese citar problemas de qualidade com relays
IPv6.brLaboratrio6to4NIC.brhttp://ipv6.brrev.2012.03.2901

pblicos e problemas de segurana. Aliese a isso o fato de que diversos sistemas operacionais suportam tneis 6to4 de forma automtica, entre eles o Windows XP, o Windows Vista e o Windows 7. O fato dos sistemas operacionais ativarem os tneis 6to4 sem interveno ou conhecimento dos usurios traz algumas consequncias srias. Uma delas que firewalls ou outras medidas de segurana em redes corporativas podem ser inadvertidamente contornadas. Outra, que, via tnel, os pacotes podem seguir caminhos mais longos, trazendo uma experincia pior para o usurio, em comparao quela queele teria se estivesse simplesmente usando IPv4. Um agravante que no h relays pblicos 6to4 no Brasil, ocasionando a ida do pacote para localidades distantes como Amrica do NorteouEuropa,mesmoqueaorigemeodestinoestejamnopas. Provedores de contedos e servios na Internet podem sofrer com a questo, pois ao implantar o IPv6 em um servidorWeb,porexemplo,usurios queantes acessavamnobem via IPv4, podem passar a fazlo de formalentaeinstvel,viaIPv6obtidoautomaticamente pormeiodeumtnelautomtico6to4. recomendvel agir para mitigar esse problema, principalmente porque existe uma medida bastante simples e efetiva, quepodeserutilizada.Deveselembrarqueocaminhodeidado 6to4 pode ser diferente do caminho de volta. Isto permite que um relay 6to4 seja criado em um servidor Web, ou em uma rede, com o objetivo de responder as requisies recebidas via 6to4. O relay no deve ser pblico, apenas servir para responder s requisies dirigidas ao servioadvindas declientes 6to4.Aimplementaodesterelay noirreduziro tempo gasto para receber pacotes 6to4, mas garante que os pacotes 6to4 de resposta saiamdaredecomdestinoaooriginadordarequisio,jencapsulados emIPv4,eistodar a vantagem do tempo de resposta ser consideravelmente reduzido, j que no ser necessrio o pacote ir at o relay localizado no exterior. Esta reduo pode melhorar bastante a experincia de acesso de um usurio que utilize 6to4 para acessar um servio qualquer.

RoteiroExperimental
1. Parafazeralgumasverificaesduranteoexperimentotambmsernecessriaa utilizaodoprogramaWiresharkquerealizaaverificaodospacotesqueso enviadosnarede.Namquinavirtual,utilizeumTerminalpararodarocomando:
$sdpentliehr uoatgtisalwrsak

Antesdainstalaosersolicitadaasenhadousuriocore.Digitecorepara prosseguircomainstalao. 2. InicieoCOREeabraoarquivotecnicastransicaorelay6to4.imn.Aseguinte topologiainicialderededeveaparecerdeveaparecer:

IPv6.brLaboratrio6to4NIC.brhttp://ipv6.brrev.2012.03.2901

Oobjetivodessatopologiaderederepresentardeformasimplificadaoambientena Internetnecessrioparaperceberoproblemaeexperimentaratcnicademitigao proposta. AmquinapilhaDuplarepresentaumservidorqualquernaInternet.Umservidor Web,porexemplo.EsseservidorusaIPv4eIPv6.Amquinaclienterepresentaum usuriodomsticocomWindows,cujoprovedorofereceapenasIPv4.Nessa situaoumclienterealestabeleceriaumtnel6to4automtico(muitoemboraa mquinavirtualdaexperinciausenaverdadeLinux,eotneltenhasido configuradoporumscriptquandoaexperinciafoiiniciada).Osrelaysrepresentam respectivamenteumrelay6to4pbliconaSuiaeoutronoCanad,situaono muitodiferentedaquelaquepodeserencontradanaprtica,naInternet.

3. Verifiqueoestadoinicialdosnsdatopologia. a. Inicieasimulao: i. aperteoboto ou ii. utilizeomenuExperiment>Start. b. EspereatqueoCOREtermineainicializaodasimulaoeabrao terminaldocliente,atravsdoduploclique. c. Verifiqueotempototaldeidaevoltaentreoclienteeoservidorpilhadupla

IPv6.brLaboratrio6to4NIC.brhttp://ipv6.brrev.2012.03.2901

atravsdoseguintecomando:
#pnc4230132 ig0..1. #pn6022::2 igc421::61

Oresultadodeveser:

Notequedaformaquearedeestconfigurada,ospacotesdoclienteato servidorpassampelorelayCanada.Numasituaoreal,elesseriam direcionadosparaorelaymaisprximoaocliente,pormeiodoendereoanycast 192.88.99.1.Ospacotesdoservidorparaoclientepassam,porsuavez,pelo relayCanada.NaInternetrealospacotesseriamdirecionadosaorelaymais prximoaoservidor,quebuscariaquemanunciaarotapara2002::/16.Noteque, naexperincia,foramconfiguradosdelaysde75mse120msnosenlacesdo relayCanadaedorelaySuica,respectivamente,parasimularosatrasos encontradosnaInternet,causadospeladistncia. Otestedesteitemumarepresentaodadiferenadetempodeidaevolta entreclienteepilhaDuplacomparandootempogastoquandoutilizadoIPv4e IPv6via6to4.Caberessaltarqueestaexperinciasimulaclienteeservidor prximosfisicamente,porissoosdelaysIPv4sobaixos. 4. Configureorelay6to4noservidorpilhadupla. a. AbraoterminaldepilhaDuplaatravsdoduplocliqueeutilizeosseguintes comandosparaaconfigurao:
#iunladtnlt4mdit4rmtn ptnedue6ooesttl6eoea lcl128.91 oa9.89. #iikstdvtnlt4u plneeue6op
IPv6.brLaboratrio6to4NIC.brhttp://ipv6.brrev.2012.03.2901

#idrad128.912eo padd9.89./4dvl #i6add02c5:31:1eue6o pdrad20:0860:/6dvtnlt4 #iikstlp plneou

Oresultadodeveser:

Aconfiguraoacimacriaumrela 6to4noprprioservidorpilhaDupla. atribudooendereo192.88.99.1interfacedeloopbackdepilhaDuplae criadoumtnelqueutilizaoprotocolo6in4,representadoporsitnoLinux.Os pacotescujosendereosdedestinopertencema2002::/16so encapsuladosporpilhaDupla,atravsdotnelcriado.Dessemodo, eliminaseousodeumrela 6to4pblico,umavezqueopacoteIPv6j encapsuladonarededeorigemetransmitidodestaformaviaInternetIPv4. Casoestaconfiguraosejautilizadaemservidoresreais,necessrio verificarcomoprovedorupstreamsesoutilizadosfiltrosquenopermitem spoofing(e.g.,enviodepacotescujoendereodeorigemnopertencerede internadoISP).SeoclienteforumSistemaAutnomo,comblocosIPs prprios,provvelqueoupstreamnofaaessefiltro.SeusarIPsdo prprioupstream,provvelquesim. 5. Verifiqueamudanaefetuada. a. AbraoterminaldepilhaDupla,atravsdoduploclique. b. UtilizeoseguintecomandoparainiciaracapturadepacotesdepilhaDupla:
#tpupt0w/m/atr_ea6o.cp cdmiehs0tpcpuarl t4pa

Oresultadodeveser:

IPv6.brLaboratrio6to4NIC.brhttp://ipv6.brrev.2012.03.2901

c. Noterminaldecliente,utilizenovamenteoseguintecomando:
#pn6022::2 igc421::61

Oresultadodeveser:

d. NoterminaldopilhaDupla,encerreacapturadepacotesatravsda sequnciaCtrl+C. Oresultadodeveser:

Comparandootempodeidaevoltagastonestepassocomopassoanterior configurao,podemosnotarqueospacotesdoservidorparaoclientenopassam maisporumrelaypblico.Nesteexperimento,podemosverificarisso numericamentedeformasimples,porcausadareduode240ms.Issosignifica queospacotesnoestomaistrafegandopelorelaySuica,oqueaconteciaemseu caminhodevolta,doservidorpilhaDupla,atocliente. Observequenopossvelefetuarnenhumamelhoriadotempopercorridodeum pacoteoriginadodeclienteparapilhaDuplaquandoatcnica6to4utilizada.A configuraoaquiapresentadavisareduzirotempodegastoentrepilhaDuplae cliente,dadoqueousodoendereo2002::/16indicaqueoclientepossuitrnsito IPv4nativo.Contudo,numasituaorealissominimizadoporquenomodelocliente servidor,usadoporexemplonaWeb,asrequisiessopequenas,enquantoas respostascarregamumagrandequantidadedeinformao. 6. Encerreasimulao:

IPv6.brLaboratrio6to4NIC.brhttp://ipv6.brrev.2012.03.2901

a. aperteoboto ou b. utilizeomenuExperiment>Stop. 7. Paraverificarospacotescapturados,utilizaremosoprogramaWireshark.Para abrilo,inicieoprogramawireshark.Umamaneiraatravsdeumterminalna mquinavirtualcomocomando:

$wrsak iehr

Esseprogramatemcomoprincipaisfuncionalidadesacapturaeanlisedepacotes transmitidosporumainterfacederede.Atravsdeseuuso,possvelmelhor visualizarospacotesquetrafegampelarede.Verifiqueoarquivodecaptura previamenteobtido. a. Abraoarquivo/ m / a t r _ e a 6 o . c p t p c p u a r l t 4 p a comomenuFile>Open:

IPv6.brLaboratrio6to4NIC.brhttp://ipv6.brrev.2012.03.2901

b. Coloqueofiltroicmpv6paravisualizarapenasospacotesquequeremos observar:

Note que as verses mais atuais do Wireshark so inteligentes o suficiente para mostrar os pacotes como do tipo ICMPv6, mesmo eles estando encapsuladosempacotesIPv4. Analise os pacotes echo repl veja se os dados contidos nos pacotes conferem com a teoria, prestando ateno forma com queos pacotes IPv6
IPv6.brLaboratrio6to4NIC.brhttp://ipv6.brrev.2012.03.2901

foram encapsulados em pacotes IPv4, principalmente quanto ao endereo IPv4deorigem.

Camposimportantes: Type(camadaEthernet):indicaqueamensagemutilizaoprotocoloIPv4. Protocol (camada IPv4): indica que a mensagem encapsula o protocolo IPv6 (protocolonmero416in4). Destination(camadaIPv4):odestinooendereoIPv4decliente(192.0.2.2). Source (camada IPv4): a fonte o endereo an cast IPv4 de pilhaDupla (192.88.99.1). Destination(camadaIPv6):odestinooendereoIPv6decliente(2002:c000:202::). Source(camadaIPv6):afonteoendereoIPv6depilhaDupla(2012:2::6:12).

IPv6.brLaboratrio6to4NIC.brhttp://ipv6.brrev.2012.03.2901