Modulo 8 - Implemeting IPv6

7/25/2019 Modulo 8 - Implemeting IPv6

1/19

Implementacin IPv6.

El espacio de direccionamiento es mucho mayor que en IPv4 porque pasamos de los 32bits a los 128 de IPv6.33 bits tiene el doble de direcciones IP que 32 bits, 34 bits tiene el doble de direcciones que 33 bits,

Es suficiente para que cada habitante del planeta pueda tener para l solo 4.000.000 direcciones IPs.

Stateless vs Stateful.

En IPv6 no es imprescindible el uso de un servidor DHCP para entregar direcciones IP dinmicas a los clientes. Basta conque el router (gateway) "anuncie" en la red cul es su prefijo y los clientes se autoconfiguran siguiendo ese prefijo. Eneste caso hablamos de STATELESSPodemos seguir usando servidores DHCP para IPv6 y el esquema se denominara STATEFUL.

IPSec.

Es un marco de seguridad a nivel de la capa 3 del modelo OSI: Cifrado: DES, 3DES, AES, Autenticacin mutua: SHA-1, MD5 (Ya no se recomienda), ... Intercambio de claves: IKEv2 (Internet Key Exchange)

En IPv6, IPSec es nativo, aunque opcional. En IPv4 debe instalarse a parte.

Podemos usar IPSec en 2 modos: AH: Authenication Header. Solo autenticamos, pero sin cifrar el contenido de paquetes. ESP: Encapsulation Security Payload. Ciframos el contenido.

End to End Communications.

Con la cantidad de IPs disponibles, no es necesario utilizar NAT. No es necesario contar con dispositivos que "traducen"direcciones.NAt interfiere negativamente en muchos protocolos:

VoIP (Voz sobre IP): SIP, Megaco, H.323... IPSec: Parte de la autenticacin de IPSec usan las IPs de origen.

QoS (Quality of Service).

Para que paquetes de servicios susceptibles al retraso (voz, video) tengan prioridad, se usan tcnicas de QoS.Se etiquetan los paquetes para que estn identificados.

Direcciones IPv6 Link-Local.

Para entornos con una nica subred y donde no es imprescindible el acceso a internet, tenemos con un rango de

direcciones IP equivalentes a APIPA en IPv4. Se denomina LINK--LOCAL tienen el formato FE80::

Antes en IPv4 se utilizaba el protocolo ARP y con IPv6 se utiliza ND (Neighbor Discovery)

Modulo 8: Implemeting IPv6viernes, 24 de octubre de 2014 9:10

Page 1 of 19OneNote Online

11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...


2/19

Binario a Hexadecimal

0: 00001: 00012: 00103: 00114: 0100

5: 01016: 01107: 01118: 10009: 1001A: 1010B: 1011C: 1100D: 1101E: 1110F: 1111

1001010100101101: 1010100101011010: 1010101010111110101010

1001 0101 0010 1101: 1010 1001 0101 10109 5 2 D A 9 5 A952D:A95A:.:.:.:.:.:. (8 Bloques de 16 bits)

Resumen de direcciones IPv6:

Cuando tenemos varios ceros consecutivos, podemos resumir: Por ejemplo, nos dan esa direccin IPv6:

952D:0003:1400:FA00:0000:0000:3FB2:0001

1.- Eliminamos los ceros a la izquierda de cada bloque: 952D:3:1400:FA00:0:0:3FB2:1

2.- Bloques de ceros consecutivos los sustituimos por "::" 952D:3:1400:FA00::3FB2:1

Sustituir bloques de ceros consecutivos por "::" solo puede hacerse una vez en la direccin IP.

952D:0000:0000:AF2C:0000:0000:0000:3457

Incorrecto: 952D::AF2C::3457--> Esto podra ser: 952D:0000:AF2C:0000:0000:0000:0000:3567 (Un conjunto de 4 ceros es un bloque)

Correcto: 952D:0:0:AF2C::3457. Sabemos que todo lo que falta en la direccin IP, son bloques de ceros entre los 2 putos.

Por ejemplo: Localhost: 0000:0000:0000:0000:0000:0000:0000:0001 =::1

Unasigned: 0000:0000:0000:0000:0000:0000:0000:0000 =::

Una direccin IPv6 tiene una estructura jerrquica. Los primeros 64 bits (mas a la izquierda) nos indica el Registrador (IANA para EEUU, RIPE para Europa, ), el ISP, la

empresa u organizacin y la subred dentro de la organizacin. Los otros 64 bits nos indican el host dentro de la subred. 2^64 host (unos 16 trillones de hosts para cada subred)

Direcciones IP Global Unicast. (el smil con IPv4 sera publicas)

Es equivalente a las direcciones pblicas en IPv4.Son enrutables, es decir, con ellas podemos salir a internet.En IPv6, las IPs publicas siempre empiezan en sus primeros bits 001:

Ejemplo:001xxxxxxxxxxxxx: xxxxxxxxxxxxxxxxxxxxx...

Esas direcciones irn desde 0010000000000000 hasta 0011111111111111 0010000000000000 --> /3 0011111111111111 --> /3

La direccin de red es: 0010000000000000000000000000000000000000000000....

En hexadecimal: 0010 0000 0000 0000




3/19

2 0 0 0 2000:000:0000:0000:0000:0000:0000:0000 2000::/3 --> Direccin que resumen todas las Global Unicast

2: --> 001 0 el cuarto bit puede ser 0 o 13: --> 001 1

Ejemplo:

2001:3F45:4567::2ABB 256F:45DD:3451::45AA 3F45:.

Las direcciones IPv6 Global Unicast slo pueden empezar con "2" o con "3"

Global Unicast.

Equivalen a las direcciones IP pblicas en IPv4. Son enrutables (con ellas podemos salir a internet) Empiezan con "2" o "3". En su estructura, los primeros 48 bits nos indican el registrador, el ISP y la organizacin a la que est asignado el

rango de IPs. Los siguientes 16 bits se utilizan para definir subredes dentro de la organizacin. Los ltimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden configurar de varias formas:

Manual Autoconfiguracin: Stateless (sin DHCP) o Stateful (con DHCP).

Ejemplos de IPv6 Global Unicast. 2001:ABFBD:1234:65FD::345F:1 /64 --> Estn en la misma subred que el de abajo pero en distinto host. 2001:ABFBD:1234:65FD::345F:2 /64 --> Distinto host pero misma subred que la de arriba. 2001:ABFBD:1234:65FE::345F:1 /64 --> Est en distinta subred que la de arriba.

Unique Local.

(Site Local --> Deprecated) Equivalente a a las direcciones IPs privadas en IPv4. Son enrutables, pero solo dentro de la organizacin.

Con ella podemos llegar a cualquiera de nuestras subredes, pero no podemos usarlas para salir a Inernet. Son aquellas direcciones IPv6 que cumplen el prefijo FC00::/7

FC --> 1111110 0 :: /7 FD --> 1111110 1 El octavo bit se denomina "local bit". Si este bit es "1", la direccin es "local" (no enrutable en Internet).

Actualmente no estn definidas las direcciones en las que el "local bit" es "0"

Actualmente solo encontraremos direcciones que empiezan por "FD00"

Link- Local.

Son equivalentes a las APIPA. slo permiten la comunicacin con otros hosts de la misma subred. No son enrutables ni en Internet ni dentro de la

propia organizacin. n podemos usar una direccin Link-Local para acceder a otra subred dentro de nuestraorganizacin.

Basta con activar IPv6 en una interfaz para que se le asigne automticamente una direccin Link-Local. Sustituye a las broadcast para varios a protocolos.

Peticiones DHCP Peticiones Neighbor Discovery.

Empiezan por FE80:: /8

Hemos activado IPv6.




4/19

Las Link-Local incluyen "%xy" como ndice de la interfaz. La suma de IPv6 Link-Local junto con su ndice, se conocecomo Site ID o Zone ID.

STATELESS

Entramos en LON-RTR, con IPv6 activado. Tenemos esta direccin IP: Link-local Ethernet0 Router: fe80::c5cc:27ac:818e:995e%12 Y desde LON-DC1 hacemos ping al router:

Ahora hacemos un ping a la Ethernet 1 del Router, tambin Link-Local fe80::251f:d36:cbda:64fe%20

Vemos que no llega porque Link-Local no puede atravesar un router.

Vamos a trabajar con Unique- Local. Adatum.com (VMNet 2) : FD00: 2:2:2::/64

Router: FD00:2:2:2::1/64 LON-DC1: FD00:2:2:2::A/64

Curso.adatum.com (VMNet 3) : FD00:3:3:3::/64 Router: FD00:3:3:3::1/64 LON-SRV3: FD00:3:3:3::F6/64

En el Router hemos puesto la IP:




5/19

Ahora vamos a LON-DC1 y ponemos la IP y la puerta de enlace

Ponemos tambin la IP a tarjeta de red del router que se va a comunicar con LON-SRV3Probamos si desde LON-DC1 llegamos a su puerta de enlace y a la otra Interfaz.

Modificamos tambin la IPv6 de LON-SRV3.




6/19

Vemos que llega a su puerta de enlace.Vamos a ver si llega a la otra interfaz

Para conectarnos con todos los hosts de nuestra organizacin y tambin poder salir a internet, tenemos que usardirecciones IP Global Unicast.

Adatum.com (VMNet2): 2001:1:A:2::/46Router: 2001:1:A:2::1/64LON-DC1: 2001:1:A:2::A/64

Curso.adatum.com (VMNet3): 2001:1:A:3::/64Router 2001:1:A:3::1/64LON-SRV3: 2001:1:A:3::F6/64

Configurarnos desde entorno grfico.

Ahora agregamos el archivo de tipo AAAA para que reconozca el nombre de la mquina.




7/19




8/19

Hacemos ping directamente al nombre de la maquina:

Si un host tiene configurado tanto Ipv4 como Ipv6, decimos que soporta Doble Stack Podemos tener hosts, servidores y dispositivos de red (routers) que soporte Doble Stack Durante bastante tiempo, los dispositivos que soportan IPv6 tendrn que coexistir con dispositivos que solo

soportan IPv4. Las tecnologas que permiten esta coexistencia se llaman Tecnologas de Transicin (tnel)(Tunnelingo Encapsulado).

Tipos de Nodos.

IPv4-only: Son antiguos y solo soportan IPv4 IPv6-only: Son nuevos, aunque raros de encontrar y solo soportan IPv6. IPv6/IPv4: Doble Stack. Desde Windows Vista, y Windows Server 2008, los sistemas operativos de Microsoft son

Doble Stack. Importante para el examen!!

IPv4: (SIN ONLY) Est funcionando solo con IPv4, aunque podra funcionar como IPv6/IPv4 IPv6: (SIN ONLY)Est funcionando solo con IPv6, aunque podra funcionar como IPv6/IPv4




9/19

Tecnologas de transicion. (tneles).

Siempre que se pueda se debe utilizar Doble Stack, pero en caso que no se pueda usar, recurriremos a tecnologas detransicin como:

ISATAP (Intra-Site Automatic Tunnelling Addressing Proocol). No funciona correctamente con NAT. Teredo. Soporta NAT. Tecnologa de Microsoft. 6to4: Tipo de Tunnelling propio de Cisco. Port Proxy: Para conectar aplicaciones (no hosts) que solo soportan IPv4 con aplicaciones que solo soportan IPv6.

Nos centramos en ISATAP y Teredo.

ISATAP

Cuando trabajamos con ISATAP es "obligatorio" que se pueda resolver en la red el nombre ISATAP. Lo habitual eshacer con el servidor DNS.

ISATAP --> IP_DEL_ROUTER_ISATAPVamos a LON-DC1 que es nuestro servidor DNS




10/19

Y no responde, si cambiamos el nombre de ISATAP por cualquier otro funciona correctamente, pero ISATAP es unnombre reservado y hay que sacarlo de la lista de nombres reservados.

Vamos a sacarlo de la lista de nombres reservados:




11/19




12/19

BORRAMOS ISATAP

Una vez borrado reiniciamos el servidor DNS

Y resuelve el nombre de ISATAP, pero todava el servidor no sabe que es eso de ISATAP

Adems de modificar manualmente el registro para permitir la resolucin del nombre ISATAP, hay otros mtodosde configuracin de ISATAP:

Powershell: Set-NetIsatapConfiguration -Router 192.168.8.1 Netsh: netsh interface IPv6 ISATAP set router 192.168.8.1 Directivas de Grupo (GPO)




13/19

6to4

Para habilitarlo hay que habilitar ICS ( Internet Connection Sharing)No funciona con NAT igual que ISATAP




14/19

Teredo.

Es el nico que puede trabajar con NAT.Necesita un servidor que se conecte a Internet pero no en nuestra red local.

PortProxy

Se utiliza para comunicar aplicaciones entre si.

Ejercicio:

-----------------------------------------------------------------------------------------------------------------------------------------Conectamos LON-DC1 con IPv4 a LON-SRV3 con IPv6 pasando por un LON-RTR (ISATAP)LON-DC1: 192.168.10.10/22LON-RTR: 192.168.8.1 /22 --- 2001:1:A:3::1/64LON-SRV3: 2001:1:A:3::F6/64

Desactivamos IPv6 en LON-DC1Desactivamos IPv4 en LON-SRVA LON-DC1 ya le hemos dicho en la practica anterior que la direccin que ISATAP es la 192.168.8.1

Configuramos el router como ISATAP: Entramos en Powershell desde LON-RTR

Le decimos que escuche a ISATAP por esa IP

Y miramos la configuracion:

Ahora tenemos que ver cual es el ndice de la interfaz ISATAP, as se ve un poco mal...




15/19

Lo mostramos como una tabla para verlo mejor.

Ahora vamos a LON-DC1 para decirle que ya tenemos habilitado el Router ISATAP

Y vemos que lo tiene habilitado




16/19

Seguimos en LON-DC1 pero no vamos a llegar porque la IPv6 tiene que empezar por 2001... no por "fe80" que sonLink-Local

En LON-RTR le decimos que queremos informacin sobre la interfaz de ISATAP

Pero como no aparecen todos los valores aadimos "Format-List"




17/19

Para que los clientes vean esa Interfaz tiene que estar habilitada. Para utilizar el modo autoconfig stateless de IPv6,es necesario que la interfaz del router tenga el atributo "Advertising" en "Enabled". De este modo "anunciar" en lared su prefijo y los clientes se autonfiguran con el mismo prefijo, asignndose de forma aleatoria los 64 bits dehost.Set-NetIPInterface -Index 16 -Advertising Enabled

Vemos el atributo de "Advertising" y est habilitado.

Vemos que todavia tiene la IP Link-Local




18/19

Hay que cambiarla y darle una IP a la interfaz de ISATAP, le podemos dar un rango y que se asigne por si sola la IP.Solo se puede hacer desde Powershell. Utilizamos la configuracin Stateless de IPv6

Ahora vamos a ver como se ha configurado:

En LON-DC1 vemos si tiene o no tiene IP, y sigue sin tenerla.




19/19

Esperamos un poco porque tiene que refrescar:

Habilitamos en LON-DC1 IPv6 y hacemos ping.

-----------------------------------------------------------------------------------------------------------------------------------------


Modulo 8 - Implemeting IPv6

Documents

Transcript of Modulo 8 - Implemeting IPv6