Data Center IPv6-only com SIIT-DC e Jool

De Wiki BPF
Revisão de 11h04min de 12 de janeiro de 2023 por Henri.godoy (discussão | contribs)
Ir para navegação Ir para pesquisar

Introdução

Esse breve artigo prático pretende demonstrar o uso do mecanismo SIIT-DC proposto na RFC 7755, desabilitando o IPv4 nas configurações dos serviços e aplicações de um Data Center, simplificando a gerência e a resolução de problemas na rede, sem deixar de atender os clientes externos que ainda estão em IPv4 e necessitam consumir os serviços oferecidos pelo seu portal Web, por exemplo, somente com IPv6 configurado. Será utilizado o software de código aberto Jool, desenvolvido pela equipe de analistas do NIC México. Este estudo faz parte de um trabalho realizado na Universidade Estadual de Campinas (UNICAMP) para promover o uso do IPv6-only na rede do Data Center.

Além disso esse artigo é um convite a todos parar facilitarem a administração dos serviços providos num Data Center rumo ao IPv6-only. Há anos, digo desde a década de 90, trabalhar somente com o IPv4 em uma rede é o que estávamos acostumados até o aparecimento do IPv6. Atualmente temos a necessidade de conviver com duas versões no modelo chamado pilha dupla (dual-stack) nessa fase de transição de versões IPv4 para IPv6 que estamos vivendo e esperamos que em breve será concluído. Porém a modalidade dual-stack tem suas desvantagens e não devemos nos acostumar com ela ou não avançar para o modelo de um único protocolo IP na rede, no caso o IPv6. Você terá que realizar tudo em dobro, uma dupla configuração de regras (ACLs), duplo gerenciamento e monitoramento, duas tabelas de roteamento, o que aumenta a atenção e o trabalho diário.

A ferramenta Jool

A ferramenta Jool, de código aberto, pode ser instalada em qualquer distribuição Linux moderna. É uma ferramenta que possui uma comunidade ativa, atualizações e correções de problemas frequentes e é principalmente mantida pela equipe de desenvolvedores do NIC México. É uma ferramenta estável, simples, fácil de usar, possui um bom desempenho e não exige muita CPU e Memória RAM. Outro detalhe que chama atenção é com relação aos logs de tradução gerado com detalhes, importante hoje em dia durante uma análise de incidentes de segurança. A documentação completa e detalhada pode ser acessada no site do Jool.

O que é o SIIT-DC?

O uso da tradução SIIT (Stateless IP/ICMP Translation Algorithm) em ambiente de Data Center (DC) é uma maneira fácil de avançar com os projetos de transição para uma rede somente IPv6 e que não requer mudanças de infraestrutura ou alterações do núcleo (core) da rede, retirando simplesmente do ambiente ou "desligando" o protocolo IPv4 dos serviços e aplicativos. Clientes com IPv6 em suas máquinas não passam por essa tradução e acessam os serviços de um Data Center diretamente, restaurando a conexão fim a fim. Clientes que ainda estão em IPv4 passam por um mecanismo de tradução em um novo elemento adicionado na topologia da rede chamado Border Relay (BR). Podemos compreender melhor o funcionamento do SIIT-DC com a ilustração da Figura 1.

Configurando o Border Relay

Conclusão

Não temos como escapar, o IPv6 já está circulando na sua rede e pode ser que você não tenha percebido e isso. Além disso, já está na hora de começarmos a pensar sobre a retirada do IPv4 da rede. Essa é a proposta e o desafio deste artigo simples e prático. Com o uso do mecanismo SIIT-DC, podemos finalmente avançar um pouco mais na transição para um mundo IPv6-only, reduzindo a quantidade de endereços IPv4 no Data Center, podendo ser remanejado para outras operações onde ainda tenham dispositivos legados ou quem sabe até devolvendo o bloco para o seu RIR.

Podemos citar como vantagens:

  • Não se perde o endereço IPv4 de origem (auditoria). Controle de acesso e firewalls sem alterações.
  • Alto desempenho (kernel). Atrasos desprezíveis no Border Relay.
  • Simplicidade no gerenciamento e configuração do Data Center.
  • Evita a complexidade no uso de duas versões do protocolo IP em Aplicações e Servidores.
  • Tendência mundial (Facebook, AWS, Google, Microsoft, …)

E quando o IPv4 morrer de vez e não for mais necessário, apenas remova o registro IN A no DNS e desligue o seu SIIT-DC (Border Relay). Bye bye IPv4.

Espero com esse tutorial, no qual manterei sempre atualizado, ter auxiliado e incentivado a adoção do IPv6-only nos serviços de um Data Center, com ajuda da ferramenta Jool como um software simples de configurar na prática. Qualquer dúvida, sugestões, críticas, estou a disposição. Linkedin

Autor: Henri A. Godoy