The Cable GuyTráfego IPv6 em conexões VPN

Joseph Davies

Ao avaliar o papel do IPv6 (a versão 6 do protocolo de Internet) na intranet e começar a planejar sua implantação, é bom que você compreenda como o suporte ao tráfego do IPv6 funciona nas conexões VPN (rede virtual privada) no Windows. Com as conexões VPN, é possível estender a rede para incluir links em redes públicas

como a Internet. As conexões VPN são protegidas por fortes protocolos de autenticação, que validam as credenciais do usuário conectado, e métodos de criptografia, que fornecem a confidencialidade de dados.

O Windows® XP e o Windows Server® 2003 incluem uma pilha de protocolo sIPv6, mas muitos serviços essenciais e componentes de sistema de rede não oferecem suporte ao IPv6. O Windows Vista™ e o Windows Server 2008, anteriormente chamado "Longhorn", possuem suporte total para o IPv6, que é instalado e habilitado por padrão. Na verdade, quase todos os aplicativos e serviços de sistema de rede incluídos no Windows Vista e no Windows Server 2008 oferecem suporte ao IPv6. Este mês, examinarei o suporte no Windows Vista, Windows Server 2008, Windows XP e Windows Server 2003 para o tráfego IPv6 enviado em conexões VPN estabelecidas nas Internets IPv4 e IPv6.

Conexões VPN na Internet IPv4

Para a maioria das intranets atuais, as conexões VPN são criadas na Internet IPv4. A Figura 1 mostra os componentes baseados no Windows para conexões VPN desse tipo. Esses componentes consistem no seguinte:

Figura 1** Componentes baseados no Windows para conexões VPN na Internet IPv4 **(Clique na imagem para aumentar a exibição)

Cliente VPN É um computador que inicia uma conexão VPN de acesso remoto com um servidor VPN e se comunica com recursos de intranet. A conexão VPN de acesso remoto permite que o cliente VPN aja como se estivesse diretamente conectado à intranet. O cliente VPN pode executar as versões cliente ou servidor do Windows.

Servidor VPN Esse computador ouve as tentativas da conexão VPN remota, impõe os requisitos de autenticação e conexão e roteia os pacotes entre os clientes VPN e os recursos da intranet. O servidor VPN normalmente executa uma versão servidor do Windows com o serviço de Roteamento e Acesso Remoto.

Roteador VPN O roteador VPN é um computador que inicia ou ouve as tentativas de conexão VPN de site para site. A conexão VPN de site para site é aquela que conecta duas partes de uma intranet. O roteador VPN executa uma versão servidor do Windows e o serviço de Roteamento e Acesso Remoto.

Conexão VPN A conexão VPN é o vínculo lógico entre o cliente e o servidor VPN, ou entre roteadores VPN, conforme definido pelo encapsulamento de um protocolo VPN.

Intranet habilitada para IPv6 Essa intranet pode encaminhar tráfego IPv6, tanto de forma nativa quanto encapsulada, como pacotes IPv4.

Host IPv6/IPv4 Esse nó de intranet envia e recebe tráfego IPv6, tanto de forma nativa quanto encapsulada, como pacotes IPv4.

Os clientes, servidores e roteadores VPN baseados no Windows podem usar os seguintes protocolos VPN para encapsular os pacotes enviados na conexão VPN: PPTP, L2TP sobre IPsec e SSTP. O SSTP só tem suporte no Windows Vista com Service Pack 1 (SP1, versão beta em fase teste) e no Windows Server 2008.

Para as conexões VPN na Internet IPv4, há dois métodos que são usados ao enviar IPv6: pacotes IPv6 encapsulados como pacotes IPv4, que chamarei de tráfego IPv6 via IPv4, e tráfego IPv6 nativo.

Nesta coluna, o suporte ao tráfego IPv6 em conexões VPN é mencionado em termos de protocolos VPN e versões do Windows. Para conexões VPN de acesso remoto, uma determinada combinação de protocolo VPN e versão do Windows implicam no suporte dos componentes cliente e servidor de acesso remoto do Windows.

Tráfego IPv6 via IPv4

Nesse método, um cliente de acesso remoto ou um host IPv6/IPv4 na intranet encapsula pacotes IPv6 com um cabeçalho IPv6 e envia o resultado como um pacote IPv4. Para intranets, a tecnologia de transição ISATAP (RFC 4214) IPv6 permite que nós IPv6/IPv4 troquem tráfego IPv6 em uma intranet somente IPv4. Com o ISATAP, é possível habilitar a conectividade IPv6 na intranet somente IPv4 sem ter de configurar ou atualizar os roteadores existentes para oferecerem suporte nativo a endereçamento e encaminhamento IPv6. Para obter mais informações sobre ISATAP, consulte "Tecnologias de transição IPv6" em microsoft.com/technet/network/ipv6/ipv6coexist.mspx.

A Figura 2 mostra a estrutura de pacotes geral para tráfego VPN ao enviar um pacote IPv4 usando uma conexão VPN na Internet IPv4. O pacote IPv4 é encapsulado pelo protocolo VPN com um cabeçalho e, dependendo do protocolo VPN, com as informações finais. O resultado é encapsulado com um cabeçalho IPv4, que permite encaminhamento na Internet IPv4.

Figura 2** Pacotes IPv4 usando uma conexão VPN na Internet IPv4 **

Para tráfego IPv6 via IPv4, a carga do pacote IPv4 enviado na conexão VPN é um pacote IPv6. A Figura 3 mostra a estrutura de pacotes geral para tráfego VPN ao enviar um pacote IPv6 via IPv4 usando uma conexão VPN na Internet IPv4.

Figura 3** Pacotes IPv6 via IPv4 usando uma conexão VPN na Internet IPv4 **

Para conexões VPN de acesso remoto, o tráfego IPv6 via IPv4 na Internet IPv4 possui suporte dos protocolos PPTP e L2TP/IPsec no Windows Vista, no Windows Server 2008, no Windows XP SP1 (ou superior) e no Windows Server 2003, e do protocolo SSTP no Windows Vista SP1 e no Windows Server 2008. Para conexões VPN de site para site, o tráfego IPv6 via IPv4 na Internet IPv4 possui suporte dos protocolos PPTP e L2TP/IPsec no Windows Server 2008 e no Windows Server 2003.

Tráfego IPv6 nativo

Para tráfego IPv6 nativo, o cliente, o servidor ou o roteador VPN envia pacotes IPv6 na conexão VPN sem o encapsulamento IPv4 inicial. Isso funciona para intranets que possuem conectividade IPv6 nativa e exigem que os clientes, servidores e roteadores VPN ofereçam suporte ao protocolo IPV6CP, RFC 2472, o que define a forma como os nós IPv6 negociam as opções de configuração IPv6 para conexões baseadas no protocolo PPP. O Windows Vista e o Windows Server 2008 oferecem suporte ao protocolo IPV6CP, enquanto o Windows XP e o Windows Server 2003 não oferecem. A Figura 4 mostra a estrutura geral de pacotes para tráfego VPN ao enviar um pacote IPv6 nativo usando uma conexão VPN na Internet IPv4.

Figura 4** Pacotes IPv6 nativos usando uma conexão VPN na Internet IPv4 **

Para conexões VPN de acesso remoto, o tráfego IPv6 nativo na Internet IPv4 possui suporte dos protocolos PPTP e L2TP/IPsec no Windows Vista e no Windows Server 2008, e do protocolo SSTP no Windows Vista SP1 e no Windows Server 2008. Para conexões VPN de site para site, o tráfego IPv6 nativo que viaja pela Internet IPv4 possui suporte dos protocolos PPTP e L2TP/IPsec no Windows Server 2008.

Conexões VPN na Internet IPv6

Também é possível estabelecer conexões VPN na Internet IPv6. Essas conexões VPN atualmente não são comuns, mas ganharão mais prestígio conforme os provedores de serviço da Internet oferecerem mais IPv6 aos seus clientes e mais organizações incluírem a conectividade da Internet IPv6 em suas redes de borda intranet.

Para oferecer suporte a conexões VPN na Internet IPv6, os protocolos VPN usados devem oferecer suporte a conexões em IPv6. No Windows Vista e no Windows Server 2008, os protocolos L2TP/IPsec e VPN SSTP oferecem suporte a conexões VPN de acesso remoto em IPv6. No Windows Server 2008, o protocolo L2TP/IPsec oferece suporte a conexões de site para site em IPv6. As conexões VPN na Internet IPv6 usam o mesmo conjunto de componentes usados na Internet IPv4 para conexões VPN de acesso remoto e de site para site.

Também existem duas maneiras de enviar pacotes IPv6 pela Internet IPv6: tráfego IPv6 via IPv4 e tráfego IPv6 nativo. A Figura 5 mostra a estrutura geral de pacotes IPv6 via IPv4 quando enviados por uma conexão VPN na Internet IPv6.

Figura 5** Pacotes IPv6 via IPv4 usando uma conexão VPN na Internet IPv6 **

Para conexões VPN de acesso remoto, o tráfego IPv6 via IPv4 na Internet IPv6 possui suporte do protocolo L2TP/IPsec no Windows Vista e no Windows Server 2008, e do protocolo SSTP no Windows Vista SP1 e no Windows Server 2008. Para conexões VPN de site para site, o tráfego IPv6 via IPv4 na Internet IPv6 possui suporte do protocolo L2TP/IPsec no Windows Server 2008. Assim como na Internet IPv4, o tráfego IPv6 via IPv4 na Internet IPv6 requer a implantação de uma tecnologia de transição IPv6, como ISATAP, na intranet.

A Figura 6 mostra a estrutura geral de pacotes IPv6 nativos quando enviados por uma conexão VPN na Internet IPv6. Assim como na Internet IPv4, o tráfego IPv6 nativo na Internet IPv6 requer suporte ao protocolo IPv6CP e à implantação da conectividade IPv6 nativa na intranet.

Figura 6** Pacotes IPv6 nativos usando uma conexão VPN na Internet IPv6 **

Para conexões VPN de acesso remoto, o tráfego IPv6 nativo na Internet IPv6 possui suporte do protocolo L2TP/IPsec no Windows Vista e no Windows Server 2008, e do protocolo SSTP no Windows Vista SP1 e no Windows Server 2008. Para conexões VPN de site para site, o tráfego IPv6 nativo na Internet IPv6 possui suporte do protocolo L2TP/IPsec no Windows Server 2008.

Conclusão

A Figura 7 mostra os quatro métodos de envio de tráfego IPv6 em conexões VPN e o suporte no Windows para os dois tipos diferentes de conexões VPN. Em resumo, se você estiver usando uma tecnologia de transição IPv6 como ISATAP na sua intranet, poderá enviar tráfego IPv6 via IPv4 em conexões VPN nas Internets IPv4 e IPv6. Se a sua intranet oferecer suporte à conectividade IPv6 nativa, você poderá enviar tráfego IPv6 nativo em conexões VPN nas Internets IPv4 e IPv6 com o Windows Vista e o Windows Server 2008.

Figure 7 Suporte para tráfego IPv6 em conexões VPN no Windows

Joseph Davies é redator técnico da Microsoft e vem ensinando e escrevendo sobre assuntos relacionados a sistemas de rede do Windows desde 1992. Ele escreveu cinco livros para a Microsoft Press e é autor da coluna mensal online Cable Guy da TechNet.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..