CloudFace WhatsApp
Blog
IPv6RoteamentoISP

5 min de leitura · 09 de junho de 2026

IPv6 no provedor: por onde começar a migração

A pergunta não é mais "se", é "quando". O IPv4 acabou: o esgotamento global se consolidou há anos e o LACNIC já só distribui blocos pequenos vindos de pools de recuperação. No Brasil, manter o crescimento da base de assinantes em IPv4 puro significa empilhar CGNAT, comprar blocos no mercado secundário a preço de dólar e conviver com chamados que nem o próprio suporte consegue diagnosticar. IPv6 não é projeto de inovação: é redução de custo operacional e de dívida técnica. O problema é que a maioria dos provedores trava antes de começar, por falta de plano de endereçamento e por receio de mexer no core. Este artigo é o roteiro mínimo para sair do papel sem quebrar a rede.

Primeiro entenda: dual-stack, não substituição

Migrar para IPv6 não significa desligar IPv4. O modelo correto, e o único viável hoje, é dual-stack: cada elemento de rede e cada assinante recebem endereços IPv4 e IPv6 simultaneamente. O cliente resolve via DNS e o Happy Eyeballs (RFC 8305) no dispositivo escolhe automaticamente o caminho mais rápido — na prática, prefere IPv6 quando disponível. Você ganha alívio imediato no CGNAT (boa parte do tráfego — Google, Netflix, Cloudflare, Meta — já fala IPv6 nativo e some das tabelas de tradução) sem cortar nada de quem ainda depende de IPv4.

Esqueça NAT64/DNS64 e IPv6-only como ponto de partida. São destinos maduros, não a primeira etapa. Comece dual-stack; depois de a rede estar estável e instrumentada, avalie reduzir a dependência de IPv4.

Pegue o bloco certo no registro.br

Se você já tem ASN no registro.br, a alocação de IPv6 é direta e barata em relação ao IPv4. O bloco típico para um provedor é um /32 — e isso é muito mais espaço do que a intuição de quem vem do IPv4 sugere. Não economize prefixo: IPv6 foi desenhado para você ser generoso.

A regra de ouro do plano de endereçamento:

  • /64 é a menor sub-rede possível. Nunca use prefixo mais longo que /64 em segmento de assinante — o SLAAC simplesmente para de funcionar. Não existe "/120 para economizar".
  • Delegue /56 por assinante residencial (256 redes /64 para o cliente). Use /48 para clientes corporativos. Delegar só um /64 ao CPE é um erro clássico: impede o cliente de ter VLANs e segmentos internos e força você a renumerar depois.
  • Reserve hierarquicamente por POP/região. Quebre o /32 em blocos por agregação (por exemplo, um /36 por POP, /40 por OLT), deixando espaço contíguo para crescer. Endereçamento plano vira pesadelo de sumarização no BGP.
  • Separe loopbacks, links ponto a ponto e pools de delegação em ranges distintos e documentados.

Esse desenho precisa existir antes de configurar o primeiro roteador. Plano de endereçamento improvisado é a dívida que mais dói depois.

A ordem de implantação que não quebra nada

Migre de fora para dentro, do controlado para o massivo:

  1. Core e borda (BGP). Suba IPv6 nos uplinks e peerings. Anuncie seu /32 aos trânsitos e, principalmente, no IX.br — o PIX da sua região provavelmente já tem volume relevante de tráfego IPv6 que você está empurrando para o trânsito pago à toa. Configure o ROA de RPKI para o prefixo IPv6 também, não só para o IPv4.
  2. Roteamento interno. OSPFv3 ou IS-IS para IPv6, ou dual-stack no IGP que você já roda.
  3. DNS. Publique registros AAAA dos seus serviços e garanta que o resolver recursivo do provedor responde por IPv6. Sem AAAA, o assinante nunca usa o caminho v6 mesmo com tudo pronto.
  4. Agregação e OLTs. Habilite IPv6 no caminho até a borda de acesso.
  5. BNG e assinante por último. No BNG (MikroTik, Cisco ASR, Huawei, Juniper), configure DHCPv6-PD para entregar o prefixo delegado ao CPE via PPPoE/IPoE. Faça rollout gradual: uma OLT, um bairro, um lote de clientes — valide e depois escale.

O erro mais comum aqui é tentar ligar tudo de uma vez. O acesso é onde o CPE do cliente é a variável caótica: firmware antigo que não pede prefixo, roteador de varejo que ignora RA. Lote pequeno primeiro.

Os erros que travam a adoção

  • Filtrar ICMPv6 como se fosse o ICMP do IPv4. Em IPv6, o ICMPv6 é estrutural: Neighbor Discovery, RA e PMTUD dependem dele. Bloqueá-lo de forma ampla quebra a conectividade de maneira intermitente e difícil de diagnosticar. Filtre por tipo, não por atacado.
  • Esquecer o MTU e o Path MTU Discovery. O IPv6 não fragmenta em trânsito. Se o PMTUD estiver quebrado (por ICMPv6 filtrado), o cliente vê site que carrega pela metade e travamentos de HTTPS.
  • Tratar firewall e segurança como detalhe. Em dual-stack você dobra a superfície: cada regra de IPv4 precisa de equivalente em IPv6. Política só em v4 deixa o assinante exposto pelo v6.
  • Não ter inventário do que já foi migrado. Sem saber qual OLT, qual BNG e qual range já estão em produção, o rollout vira adivinhação e o suporte não consegue diagnosticar o cliente.
  • Não testar de verdade. Valide com ferramentas externas (test-ipv6 e similares), confira a delegação chegando ao CPE e o tráfego saindo pelo IX.

Documentação não é opcional

IPv6 multiplica a quantidade de informação que sua operação precisa rastrear: o plano hierárquico do /32, qual /56 foi delegado a qual cliente, quais POPs e BNGs já estão em dual-stack, o estado do ROA. Manter isso em planilha solta é a receita para o projeto azedar. É exatamente o tipo de problema de IPAM e DCIM que o NetPulse — nossa plataforma de NOC multi-tenant — foi feito para resolver: inventário de rede, gestão de endereçamento, monitoramento SNMP dos elementos migrados e documentação viva, em um lugar só. Quando o plano de endereçamento mora junto do monitoramento, o rollout deixa de ser fé e vira processo.

Por onde começar, na prática

Tenha o ASN e o /32 no registro.br, desenhe o plano de endereçamento hierárquico no papel, ative IPv6 na borda e no IX.br, ajuste o DNS e só então avance para o acesso em lotes pequenos com DHCPv6-PD. Dual-stack do começo ao fim, ICMPv6 respeitado, firewall espelhado e tudo documentado.

A CloudFace trabalha com isso no dia a dia: consultoria de roteamento e BGP, operação de NOC 24/7 e o NetPulse para inventário, IPAM e monitoramento da migração. Se o seu IPv6 está parado por falta de plano — ou já começou e travou no acesso —, fale com a gente no WhatsApp para um diagnóstico inicial gratuito da sua rede. Sem compromisso, direto ao ponto.

Sua rede precisa de engenharia?

Fale com um engenheiro do nosso NOC. Diagnóstico inicial gratuito, sem compromisso.

Falar no WhatsApp