IPv6 para Provedores: Guia Prático de Implantação

Tecnico 23 Mar 2026 8 min de leitura
IPv6 para Provedores: Guia Prático de Implantação

IPv6: Não É Mais Opcional para Provedores

O CGNAT é um band-aid. Funciona, resolve o problema imediato de escassez de IPv4, mas adiciona complexidade, custo de hardware, latência e uma montanha de logs que você precisa guardar por força de lei. O IPv6 é a solução definitiva: 340 undecilhões de endereços — o suficiente para dar um IP público a cada grão de areia do planeta.

Em março de 2026, o Brasil tem aproximadamente 45% de adoção IPv6 nos grandes operadores (dados LACNIC). Provedores regionais estão atrás — muitos ainda nem começaram. Se você é um deles, este guia é para você.

Passo 1: Obter Seu Bloco IPv6

Se seu provedor já tem ASN e bloco IPv4 no LACNIC/NIC.br, solicitar IPv6 é simples:

  1. Acesse o portal LACNIC (milacnic.lacnic.net) com suas credenciais
  2. Solicite um bloco IPv6 — provedores recebem no mínimo um /32
  3. O processo leva de 3 a 10 dias úteis
  4. Não há custo adicional além da anuidade que você já paga

Um /32 dá 65.536 redes /48 — cada cliente pode receber um /48 (padrão RIPE/LACNIC) ou /56 (mais comum em ISP residencial). Com /56 por cliente, um /32 atende 16 milhões de assinantes.

Se você tem menos de 5.000 assinantes e ASN próprio, um /32 vai durar a vida inteira do seu provedor. Não economize — peça o /32 completo.

Passo 2: Escolher a Estratégia de Implantação

Dual-Stack (Recomendado)

Cada assinante recebe IPv4 (via CGNAT ou público) e IPv6 simultaneamente. É a abordagem mais segura:

DS-Lite (Dual-Stack Lite)

O CPE do cliente encapsula IPv4 dentro de IPv6. O CGNAT é feito centralmente no AFTR (Address Family Transition Router). Pouco usado no Brasil — exige CPE compatível e AFTR dedicado.

NAT64 + DNS64

Clientes recebem apenas IPv6. Acesso a sites IPv4 é feito via tradução NAT64. Agressivo demais para ISP residencial — muitos dispositivos IoT e apps legados quebram. Use apenas em cenários controlados (servidores, data centers).

Para 99% dos provedores brasileiros, Dual-Stack é a resposta certa.

Passo 3: Configurar IPv6 no MikroTik (PPPoE + DHCPv6-PD)

A maioria dos ISPs brasileiros usa PPPoE. No MikroTik, o IPv6 é distribuído via DHCPv6 Prefix Delegation (PD) dentro do túnel PPPoE.

3.1 Criar o Pool IPv6

/ipv6 pool
add name=pool-ipv6-clientes prefix=2001:db8::/32 prefix-length=56

(Substitua 2001:db8::/32 pelo seu bloco real alocado pelo LACNIC.)

3.2 Configurar o DHCPv6 Server

/ipv6 dhcp-server
add name=dhcpv6-clientes interface=all-ppp address-pool=pool-ipv6-clientes

3.3 Configurar o PPPoE Profile

/ppp profile
set default-encryption dhcpv6-pd-pool=pool-ipv6-clientes

Ou, se usa profiles separados por plano:

/ppp profile
set plano-100m dhcpv6-pd-pool=pool-ipv6-clientes
set plano-200m dhcpv6-pd-pool=pool-ipv6-clientes
set plano-500m dhcpv6-pd-pool=pool-ipv6-clientes

3.4 Habilitar ND (Neighbor Discovery) e Rota

# Rota para o bloco IPv6 (apontar para upstream)
/ipv6 route
add dst-address=::/0 gateway=fe80::1%ether1-upstream

# Garantir que o router aceita e envia RAs (Router Advertisements)
/ipv6 nd
set [find] advertise-dns=yes

3.5 Firewall IPv6

Não esqueça do firewall. IPv6 sem firewall expõe os clientes diretamente:

/ipv6 firewall filter
add chain=forward connection-state=established,related action=accept
add chain=forward connection-state=invalid action=drop
add chain=forward src-address=::/0 dst-address=!fe80::/10 \
    in-interface=ether1-upstream protocol=icmpv6 action=accept
add chain=forward in-interface=ether1-upstream action=drop
add chain=input connection-state=established,related action=accept
add chain=input protocol=icmpv6 action=accept
add chain=input in-interface=ether1-upstream action=drop

Atenção: nunca bloqueie ICMPv6 completamente — IPv6 depende dele para funcionar (NDP, Path MTU Discovery).

Resolva isso automaticamente com NATVault

Mesmo com IPv6, o Marco Civil exige guarda de logs de conexão. E enquanto o dual-stack usa CGNAT para IPv4, você ainda precisa dos logs NAT. NATVault cuida disso. Teste grátis por 14 dias. Sem cartão de crédito.

Começar teste grátis

Passo 4: Configurar IPv6 no RADIUS

Se seu RADIUS (FreeRADIUS, Huawei iMaster NCE, etc.) controla a autenticação PPPoE, configure os atributos IPv6:

# No raddb/users ou no banco de dados RADIUS
# Delegated prefix (DHCPv6-PD)
Framed-IPv6-Prefix := "2001:db8:abcd::/48"

# Ou, para delegar dinamicamente do pool:
Framed-IPv6-Pool := "pool-ipv6-clientes"

# DNS IPv6 para o cliente
DNS-Server-IPv6-Address := "2001:4860:4860::8888"

No FreeRADIUS, o dicionário já inclui os atributos RFC 6911. Se usa um RADIUS mais antigo, verifique se o dictionary está atualizado.

Passo 5: Configurar IPv6 no Huawei NE8000 (BRAS)

Se seu BRAS é um NE8000, a configuração de dual-stack PPPoE envolve:

# Pool IPv6
ip pool ipv6-pool-clientes bas local
 ipv6-prefix-pool pool6-pd
  prefix 2001:db8::/32 delegated-prefix-length 56

# No domínio de autenticação
aaa domain default
 ip-pool ipv4-pool
 ipv6-pool ipv6-pool-clientes

# Na interface BAS
interface Virtual-Template 1
 ipv6 enable
 ipv6 nd ra interval 30
 ipv6 dhcp server pd-delegate

# Rota IPv6
ipv6 route-static :: 0 GigabitEthernet0/0/0 fe80::upstream-gw

Consulte a documentação específica do seu firmware NE8000 — a sintaxe varia entre VRP V800R011 e versões mais recentes.

Impacto do IPv6 na Guarda de Logs

Aqui está o ponto que muitos provedores não percebem: IPv6 elimina a necessidade de logs de NAT, porque cada cliente tem IP público próprio. Sem NAT, não há tradução de porta para registrar.

Mas atenção: o Marco Civil da Internet (Lei 12.965/2014, Art. 13) ainda exige a guarda de registros de conexão por 1 ano. Mesmo com IPv6, você precisa registrar:

Esses dados vêm do RADIUS accounting (radacct) — que você já tem se usa PPPoE. A boa notícia: é infinitamente mais simples que logs de CGNAT. Um registro por sessão, não milhões de registros de tradução NAT por hora.

IPv6 não elimina a obrigação legal de guardar logs. Mas simplifica drasticamente o que você precisa guardar.

Estratégia de Rollout Gradual

Não ligue IPv6 para todos os clientes de uma vez. Siga este plano:

  1. Semana 1-2: Configure IPv6 na infraestrutura (roteadores, BRAS, RADIUS). Teste internamente.
  2. Semana 3-4: Habilite para 5-10% dos clientes (um bairro ou OLT). Monitore suporte técnico.
  3. Semana 5-8: Expanda para 50%. Ajuste firewall e DNS conforme necessário.
  4. Semana 9-12: 100% dos clientes em dual-stack.

Monitore métricas durante o rollout:

Problemas Comuns e Soluções

ProblemaCausaSolução
Cliente não recebe IPv6CPE não suporta DHCPv6-PDAtualizar firmware ou trocar CPE. Roteadores muito antigos não suportam.
IPv6 funciona mas sites IPv4 quebramMTU incorreto no túnel PPPoEConfigurar MSS clamping: /ipv6 firewall mangle add chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu
Tráfego IPv6 não sai para internetUpstream não anuncia seu bloco IPv6 via BGPConfigurar sessão BGP IPv6 com upstream e anunciar seu prefixo
DNS não resolve via IPv6Cliente recebe IPv6 mas DNS é só IPv4Configurar DNS recursivo com IPv6 (ex: 2001:4860:4860::8888) no RA ou DHCPv6

Resolva isso automaticamente com NATVault

Enquanto você migra para IPv6, o CGNAT continua ativo no dual-stack. NATVault garante compliance dos logs NAT durante toda a transição. Teste grátis por 14 dias. Sem cartão de crédito.

Começar teste grátis

Leia também

Perguntas Frequentes

Preciso de IPv6 se já tenho CGNAT funcionando?

CGNAT é uma solução temporária para a escassez de IPv4. Funciona, mas adiciona latência, custo de hardware, complexidade operacional e volume massivo de logs. O IPv6 elimina tudo isso. Além disso, grandes provedores de conteúdo priorizam IPv6 — seus clientes podem ter experiência melhor com sites como Google e Netflix via IPv6.

Meus clientes vão perceber a mudança?

Em dual-stack, não. O sistema operacional do cliente (Windows, macOS, Linux, Android, iOS) prefere IPv6 automaticamente quando disponível. Sites com IPv6 são acessados diretamente, sites sem IPv6 continuam via IPv4/CGNAT. É 100% transparente.

Quanto custa implementar IPv6?

O bloco IPv6 não tem custo adicional se você já paga anuidade LACNIC/NIC.br. O custo real é tempo de engenharia para configurar roteadores, BRAS, RADIUS e testar. Em um provedor pequeno (até 5.000 assinantes), um engenheiro dedica de 2 a 4 semanas. Não há custo de hardware adicional — os equipamentos que você já tem suportam IPv6.

Com IPv6 ainda preciso guardar logs?

Sim. O Marco Civil (Art. 13) exige guarda de registros de conexão por 1 ano, independente de IPv4 ou IPv6. A diferença é que com IPv6 você guarda apenas o registro RADIUS (qual cliente recebeu qual prefixo e quando), que é muito mais simples e leve que milhões de registros de tradução NAT por hora.

Teste NATVault gratis por 14 dias

Armazene e consulte logs CGNAT com VictoriaLogs. Compliance Marco Civil em minutos.

Solicitar Demo Gratuita
Compartilhar:
N

NATVault

Conteudo sobre compliance, logs CGNAT e operacao de provedores de internet.

← Voltar ao Blog

Artigos relacionados

Tecnico

PPPoE vs IPoE: Qual Usar no Seu Provedor

23 Mar 2026
Tecnico

Como Configurar NetFlow no MikroTik para Análise de Tráfego

23 Mar 2026
Tecnico

Como Configurar Syslog no Huawei NE8000 para Logs CGNAT

23 Mar 2026

Pronto para garantir compliance?

NATVault armazena e consulta logs CGNAT com VictoriaLogs. Setup em minutos, nao semanas.

Comecar Teste Gratuito