Post on 20-Jun-2015
description
¿Ha llegado el momento… de IPv6?
Fernando GuillotIT Pro EvangelistMicrosoftfernando.guillot@microsoft.comhttp://blogs.technet.com/guillot
Agenda
¿Porqué ahora?Direccionamiento
Direcciones “Lo básico”Direcciones “Los primeros 64 bits”Direcciones “Los otros 64 bits”
Adquiriendo DireccionesTecnologías de Transición
Injustamente Repartidas
Estados Unidos: varias /8, alguna /16Europa: alguna /8, varias /16Asia: Casi todas /24
Nueva generación de Internet China (Sólo IPv6)Algunos coches ya tienen dispositivos con IPv6
Africa: Casi todas /24El incentivo económico ya está aquí
Funciones Avanzadas de IPv6Autoconfiguración de Direcciones y
configuración de RutasEnrutamiento más sencillo
Adios a las subredes
Seguridad integrada en el propio protocolo con IPSECYa no se gasta ancho de banda con BroadcastsEnrutamiento más rápido y eficiente gracias al procesamiento de los packetes IPv6 en los routersSoporte en IPv6 para movilidad
Dispositivos mantienen una dirección estática incluso si cambian de ISP durante una sesión
IPv6 en Sistemas Operativos y Apps
La mayoría de las plataformas soportan IPv6
Windows Vista y Windows Server 2008SolarisBSD distributions and Linux distributions
Cada vez más, plataformas y applicaciones intentan utilizar IPv6 por defecto
Usando IPv6 por defecto
DEMO
¿Cuanto puede escalar?
. IPv4 232=4,294,967,296
4 cm2
Buff!!
IPv6: 2128 = 340,282,366,920,938,463,374,607,431,768,211,456
Espacio Teorico por…
Teniendo la tierra 6.79 million de personas
Muchos trillones de direcciones por persona
Cada segundo de los 4.5 billones de años de la tierra
Un billón de direcciones por segundo habríamos consumido menos de un trillonesima parte del total de direcciones
Estrellas visibles del universo252 por cada una de las 70 sextillones de estrellas
Pero yo lo quiero quitar!
No es suficienteTampoco es suficiente:netsh interface ipv6 deleteinterface “<interface-name>”
La manera es creandohklm\system\currentcontrolset\services\tcpip6\parametersDisabledComponents tipo REG_DWORD 255
Valores0: habilita todo1: deshabilita ISATAP y adaptadores Teredo4: sólo deshabilita ISATAP16: deshabilita modo nativo de IPv6, y mantiene ISATAP y Teredo255: deshabilita TODO
HAY QUE REINICIAR!!
Pero yo lo quiero quitar!
Pero por favor no lo hagáis!
No romperá nada¿Y qué si ipconfig/all muestra más información?
IPv6 es el camino preferido paraResolución de nombresEnrutamientoConexión
Direcciones
“Lo básico”
Nota
La información está sacada de los últimos RFCs
Existe muchísima información en los RFCs desactualizada
Para empezar: RFC 4291
Comunicaciones IPv4
host
host
host
router
host
host
host
subnet subnet
broadcast(“grito!”)
route
¿Grito o lo enruto? (IPv4)
Las mascaras de redes informan a la IP que hacerLa notación CIDR nos dice la mascara
192.168.45.205/24
11000000 10101000 00101101 11001101
172.15.232.149/27
10101100 00001111 1010111101000 100
Comunicaciones IPv6
host
host
host
router
host
host
host
link link
neighbors route
nota: Hay un enlace individual por cada interfaz de cada host
Diferencias en IPv6
No hay NATCada sistema puede utilizar una dirección Globaly Unique Enrutable por InternetLos Hosts asignan sus propias direcciones
DHCP todavía se utilizaDirecciones IP pueden cambiar sin romper nada
No se permite la fragmentación
Direccionamiento IPv6
Utiliza notación Hexadecimal (0..F)128 bits = 32 digitos hexadecimales divididos en bloques de 4 digitosSeparados por “dos puntos” entre cada grupo de 4Cada Bloque compuesto por 16 bits
2001:4898:dc05:0015:0217:a4ff:fea7:6f06
Direccionamiento IPv6
Algunas direcciones tienen muchos 0’sFE80:0000:0000:0000:C1D7:003F:0000:6f06
Se pueden cortar los 0’s inicialesFE80:0:0:0:C1D7:3F:0:6f06
Todavía se puede cortar más. Cualquier serie de 0’s seguidos se puede convertir en ::FE80::C1D7:3F:0:6f06
Direcciones Interesantes
Localhost0:0:0:0:0:0:0:1 or ::1Podemos hacer ping ::1 en Vista/Win7 aunque deshabilitemos IPv6
“Direccion no especificada”0:0:0:0:0:0:0:0:0 or ::
Asignando direcciones IPv4
El tamaño de la mascara es el número de bits que recibes de tu ISP (más los que recibes de tu organización) este es tu “numero de red”El resto indica el Host
192.168.45.205/24
11000000 10101000 00101101 11001101
172.15.232.149/27
10101100 00001111 1010111101000 100
Asignando direcciones IPv6
Consta de 3 partesPrefijo: Asignado por el ISPLink: “subnet ID” gestionado por la organizaciónInterfaz: generado de forma automática
Organizaciones más pequeñas sólo tienen una subred
prefijo link interfaz
48 bits 16 bits 64 bits
prefijo interfaz
64 bits 64 bits
Más sobre prefijos
Adiós a los VLSM, sólo hay 3 opciones/48, /64, /128El estilo de mascaras de red de IPv4 desaparecePosiciones fijas eliminan los calculos de rutas
CIDR format used in IPv635AC:2FB8::/48“Lo que dice es que NO controlamos los 48 bits”
¿Cómo se asignan?Descrito en RFC 3177La mayoría de las organizaciones recibirán un prefijo de /48
Esto te da 1 Septrillón de direcciones65,536 links y18 quintillones de direcciones por link
Empresas pequeñas recibirán un prefijo /64
Esto te da 18 quintillones de direcciones
El rango de IPv6 es suficiente para 137 Billones de organizacionesTu coche posiblemente tenga una /64Dialup (¿Cómo?) le daremos dirección /128
Direcciones
“Los primeros 64 bits”
Tipo de DireccionesUnicast
No se comparten por máquinasPara comunicaciones 1 a 1
MulticastIndica grupos de máquinasConsigue lo que IPv4 hacía con BroadcastsPara conexiones de 1 a muchosDescubrimiento de router y vecinos
AnycastDescubrimiento de routersDe 1 a cualquiera de un grupo
4 tipos de Dir UnicastLink-local: funciona sólo dentro de un link
Similar a APIPA (RFC 3927) en ipv4
Site-local: funciona a través de links dentro de un site
Desuso RFC 3879
Unique local (o simplemente “local”)
RFC 4193 es el remplazo de Site-LocalSimilar a las ip’s privadas (RFC 1918)
Unique global (o sencillamente “global”)
Enrutable por Internet
Link-local unicast
Solamente funciona en “Este” linkDescartado por todos los routers
Siempre asignado a todos los interfacesEs una dirección auto generada por el host
Se sacaba de la MAC (Ya no)Ahora es aleatorio (RFC 3041)
FE80::/64 interfaz-ID
Unique local unicast
Prefijo conocido e ignorado por Internet
FC00::/7 Interfaz-IDlink
“1”+global ID
Global unicast
Enrutable através de InternetLos primeros 3 bits tienen que ser 001
0010=2 0011=3
Cualquier otra cosa es ignorada por los routers2nnn:nnnn:nnnn:nn
nninterfaz-IDlink
3nnn:nnnn:nnnn:nnnn
interfaz-IDlink
MulticastSe comporta cómo multicast de IPv4Casi todo el hardware ya lo entiende
IPv6 requiere que esto esté extendido
Los hosts se unen a un grupo multicast y entonces les llega la comunicaciónLos routers y switches son los encargados de mantener la tabla de miembros multicastUn host manda a un grupo y el resto de la infraestructura se encarga de enviar a el resto de los miembros
Multicast format
Well-known
Transient
“n” indica el ambito
FF0n 112-bit group-ID
FF1n 112-bit group-ID
Well-known multicast
FF01::1 – todas las dir de este interfazFF02::1 – todas las dir en este linkFF01::2 – todos los routers de este interfazFF02::2 – todos los routers de este linkFF05::2 – todos los routers de este siteFF02::1:FFnn:nnnn – “nodo solicitado”
Un host debe unirse a un grupo multicast para cada dirección configurada en cada interfaz
Resumen: 64 primeros bits
2 or 3 – unicast global (Enrutable por Internet)FE80 – unicast link-local (APIPA)FEC0 – unicast site-local (desaparece)FC00 – unicast unique local (IP privada)FF – multicast
Direcciones
“Los otros 64 bits”
Sacado de la MAC
Prefijo + link garantiza una subred únicaMAC garantiza un único host
Algoritmo Original(RFC 2464)
Primera ½ MAC +FFFE+ segunda ½ MACComplementando el universal/local bit
Penultimo bit del primer byte
Con un ejemplo se ve mejorMAC: 34-56-78-9A-BC-DEFirst byte: 00110100Complement U/L bit: 00110110 = 36Modified EUI-64: 36-56-78-FF-FE-9A-BC-DEInterface ID: 3656:78FF:FE9A:BCDE
Uuups!!Direcciones MAC son fisicasUna IP sacada de una MAC se convierte en lo mismo¿Qué cosas podemos hacer con esto?
Rastrear actividades de un host en cualquier parteDatamining de lo que hace una cierta personaNo importa la encryptaciónEn un dispositivo móvil, normalmente quiere decir IP == PersonaEs la cookie definitiva
RFC 3041: EUI-64 Aleatorio
Se genera una dirección de 64-bit aleatoria
Ponemos el 7 bit a 0 (Significa administrado localmente)
Chequeamos si vale para ser usado (DAD)Si es bueno, entonces utilizalo mientras que el interfaz esté levantado
Guardalo para luego
RFC 3041: random EUI-64
Microsoft Confidential
previous random interface-ID
previous random interface-ID
append modified EUI-64
compute MD5 hash
save as history for next time
next interface-ID
Set 7th bit to 0
Adquiriendo Direcciones
Manual—GUI (unique local o link-local) only)
Manual—linea de comandos
Microsoft Confidential
Prefijo indica que tipo de unicast es, no es necesario especificarlo
Generando Dir Link-Local
Llamadas “stateless” si no están configuradas a mano o por DHCP
Si quieres que se comporte cómo antes de RFC 3041netsh int ipv6 set glo ran=dis
FE80::/64 RFC 3041
Detección de dir duplicadas
Sólo si utilizamos si se genera de forma aleatoriaLa probablidad de colisión es de 1 in 18,446,744,073,709,551,616Empezamos a utilizar de manera inmediata las direcciones aleatorias
ipconfig indica(Tentative) durante la fase de detección, llamada optimistic DAD
Si no encuentra colisión lo convierte en (Prefered)
Generar dir unique local
Asignada manualmenteEl RFC 4193 describe un algoritmo potencial para generar esto de manera automática
Or use DHCPv6 (“stateful”)
FC00::/7 interface-IDlink
“1”+global ID
Generando Dir Unique GlobalHacemos esto después de tener una
dirección link-localMandamos 3 packetes de solicitud de routerAceptamos el primer anuncio de router
Configuración “Stateless” Incluye los primeros 64 bits del prefijo y link
Sigue el mismo RFC 3041 para el interfaz
¿Cuantas direcciones tenemos ya?
Link-local tentativeGenerada automáticamenteMientras hace el “duplicate address detection” DAD
Link-local preferredAssignada al ser satisfactoria DAD
Unique global temporaryGenerada AutomáticamenteDirección de origen del cliente
Unique global preferredAssignada o satisfactoriaDirección de destino del servidor
Tecnologías de Transición
Variedad de TecnologíasISATAP
Enruta IPv6 dentro de IPv4Prefijo es 64bits:0:5EFE:w.x.y.z
6to4Públic transport sobre IPv4(protocol 41) Uso por clientes con direcciones públicasPrefijo es 2002::/16
TeredoPublic transport sobre UDP, Tiene todos los mecanismos para hacer NAT traversalPrefijo es 2001:0::/32
PortProxyTraduce de v4 a v6 y viceversa
Orden de Uso
Si recibimos anuncio del routerUsamos IPv6 nativo
Si recibimos anuncios de un router ISATAPUsamos ISATAPDejamos de utilizar otras tecnologías
Si la máquina tiene una dirección publica IPv4
Se usa 6to4Dejamos de utilizar otras tecnologías
Si la máquina tiene una dirección IPv4 privada
Usamos Teredo
Filtrando tecnologías
Todas estas tecnologías pueden ser bloqueadas a nivel de firewall
Teredo utiliza puerto udp 3544ISATAP utiliza protocolo IP 416to4 Utiliza protocolo IP 41
Resumen
No tengamos miedo a IPv6 (está llegando)Cómo se forma una dirección IPv6
PrefijoInterfaz
Cuales son las tecnologías de transición
Contenido Relacionado
http://www.microsoft.com/ipv6http://www.rfc-editor.orghttp://www.bing.com/search?q=ipv6
http://edge.technet.com/Spainhttp://technet.microsoft.com/es-es/bb291010.aspx
© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions,
it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.