• No se han encontrado resultados

/64 prefijo es igual que mascara de red. IPv6:

N/A
N/A
Protected

Academic year: 2021

Share "/64 prefijo es igual que mascara de red. IPv6:"

Copied!
19
0
0

Texto completo

(1)

--- --- Module 8: Implementing IPv6

--- ---

/64 prefijo es igual que mascara de red IPv6:

Espacio de direcciones mucho mayor:

De 32 bits pasamos a 128. (33 bits tiene el doble de direcciones que 32 bits, 34 bits tienen el doble que 33 bits) Cada habitante del planeta podria tener 4.000.000.000

IoT (Internet of things).

Stateless IPv6 no es imprescindible el uso de un servidor DHCP para entregar direcciones ip dinamicas a los clientes.

Basta con que el router (gateway) “anuncie” en la red cual es su prefijo y los clientes se autoconfiguran siguiendo ese prefijo. En este caso hsablamos de STATELESS

Podemos seguir usando servidores DHCP para IPv6 y el esquema se denominaria STATEFULL

IPv6 Soporta IPSEC pero no obliga a utilizarlo

IPSec es un marco de seguridad a nivel de capa 3 del modelo OSI: -Cifrado: DES, 3DES, AES, …

-autenticacion mutua: SHA1, MD5, …

-Intercambio de claves: IKEv2 (Internet Key Exchange).

En IPv6, IPSec es nativo, aunque opcional en IPv4 debe instalarse a parte

Podemos usar en IPSec en 2 modos:

-AH: Authenticacion header. Solo autenticamos pero sin cifrar el contenido de los paquetes. -ESP: Encapsulation Security Payload Ciframos el contenido.

End to End communications:

Con la cantidad de Ips disponibles, no es necesario utilizar NAT. No es necesario contar con dispositivos que traducen direcciones.

NAT interfiere negativamenete en muchos protocolos: -VoIP (Voz sobr ip): SIP, Megaco, H.323

(2)

QoS (quality of service):

Para que paquetes de servicios supceptibles al retraso (Voz, video) tengan prioridad, se usan tecnicas QoS. Se etiquetan los paquetes para que esten identificados.

Direcciones IPv6 Link-Local:

Para entornos con una unica subred y donde no es imprescindible el acceso a internet, tenemos con un rango de direcciones ip equivalente a APIPA (169.254.x.x). Se denomina link-local y tiene formato: FE80:

Despues del % se indica el indice de la NIC

IPv4: ARP

(3)

Binario a Hexadecimal: 0: 0000 1: 0001 2: 0010 3: 0011 4: 0100 5: 0101 6: 0110 7: 0111 8: 1000 9: 1001 A (10): 1010 B (11): 1011 C (12): 1100 D (13): 1101 E (14): 1110 F (15): 1111 Convertir a hex

Se empieza por la izq coguiendo 16 bits se separan con :

1001010100101101 : 1010100101011010 : 1010101010111110 : 101010

Ahora esos 16 se dividen en trozos de 4 1001 0101 0010 1101 9 5 2 D 1010 1001 0101 1010 A 9 5 A 1010 1010 1011 1110 A A B E IPv6 XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX

(4)

Resumen de direcciones IPv6 entra en el examen

Cuando tenemos varios ceros consecutivos, podemos resumir 952D:0003:1400:FA00:0000:0000:3FB2:0001

1º eliminamos los 0’s a la izquierda en cada bloque

952D:3:1400:FA00:0:0:3FB2:1

2º Bloques de 0’s consecutivos los sustituimos por :: 952D:3:1400:FA00::3FB2:1

Sustituir bloques de 0’s consevutivos por :: solo puede hacerse en una vez en la direccion IP:

952D:0000:0000:AF2C:0000:0000:0000:3457

Incorrecto: 952D::AF2C::3457

No se puede hacer porque no sabrias en que parte entan los 0’s puede que tengas 8 0’s delante o 8 0’s detas No sabrias cual es la ip:

952D:0000:0000:AF2C:0000:0000:0000:3457 952D:0000:AF2C:0000:0000::0000:0000:3457 952D:0000: 0000:0000:AF2C:0000:0000:3457

Correcto:

Siempre se quita el mayor numero de 0’s consecutivos 952D:0:0:AF2C::3457

(5)

Localhost en IPv6

0000:0000:0000:0000:0000:0000:0000:0001 Resumida ::1

Unasigned (ipconfig /release)

0000:0000:0000:0000:0000:0000:0000:0000 Resumida ::

Una direccion IPv6 tiene una estructura jerarquica.

- Los primeros 64 bits (mas a la izq) nos indican el registrador (IANA para EEUU, RIPE para Europa, ….) , el ISP, la empresa u organización y la subred dentro de la organización.

- Los otros 64 bits nos indican el host dentro de la subred. 2^64 unos 16 trillones de hosts por cada subred.

Direcciones IP Global Unicast: solo pueden empezar por 2 o por 3 2000::/3 o 3000::/3 Es el equivalente de las direcciones publicas de IPv4, es decir, con ellas podemos salir a internet

En IPv6, las IPs publicas siempre empiezan en sus primeros bits con 001 :

001XXXXXXXXXXXXX:XXXX……….

001000000000000 -> /3 direccion de red = 2000::/3 001111111111111 -> /3

(6)

Global unicast:

- Equivalente a las direcciones ip publicas en IPv4 - Son enrutables (con ellas podemos salir a internet) - Empiezan con 2 o 3

- En su estructura, los primeros 48 bits nos indican el registrador, el ips y la organización a la que esta asigando ese rango de IPs. - Los siguientes 16 bits se utilizan para definir subredes dentro de la organización.

- Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden configurar de varias formas: - manual

- Autoconfiguracion: Stateless (sin DHCP) o Statefull (Con DHCP)

Ejemplos de IPv6 Global unicast:

2001:AFBD:1234:65FD::345F:1/64 2001:AFBD:1234:65FD::345F:2/64

Unique Local:

(Site local antiguamente – deprecated)

- Equivalentes a las direcciones ip privadas de IPv4

- Son enrutables podemos llegar a cualquiera de nuestras subredes, pero no podemos usarlas para salir a internet. Son aquellas direcciones IPv6 que cumplen el prefijo FC00::/7

FC00::/7 -> 1111110 0::/7 FD00::/7 -> 1111110 1::/7

El 8 bit se denomina “local bit”. Si este bit es 1, la direccion es local (no es enrutable en internet). Actualmente no estan definidas las direcciones en las que el “local bit” es 0

Actualmente solo encontraremos direcciones Unique Local que empienzan por “FD00”

Link-local:

(7)

-Solo permiten la comunicación con otros host de la misma subred. No son enrutables ni en internet ni dentro de la propia organización. No podemos usar una direccion Link-local para acceder a otra subred dentro de nuestra organización. - basta con activar IPv6 en una interfaz para que se asigne automaticamente una direccion Link-local.

- Sustituyen a las Broadcast para varios protocolos - Peticiones DHCP

- Peticiones Neighbor discovery

-Empiezan por FE80::/8

- Las link-local incluyen “%XX” como indice de la interfaz. La suma de IPv6 Link-local junto con su indice se conoce como Site ID o Zone ID

Autoconfiguracion de IPv6

Stateless: el router publica su prefijo al switch (advertise) para que los clientes conectados a ese switch se autoconfiguran en la subred del router y le apuntan a el como GW pero no le da mas datos como el DNS por ejemplo.

Practica UNIQUE LOCAL LON-DC1

Como DNS se configura asi mismo ::1

LON-RTR para LON-DC1 VMnet2

(8)

LON-SRV3

Para conectarnos a todos los host de nuestra organizavion y tambien poder salir a internet, tenemos que usar direccione ip global unicast

Adatum.com VMnet2: 2001:1:A:2::/64 Router: 2001:1:A:2::1/64 Lon-dc1 2001:1:A:2::A/64

Curso.adatum.com VMnet3 2001:1:A:3::/64 Router: 2001:1:A:3::1/64

Lon-srv3: 2001:1:A:3::F6/64

Configurar desde entorno grafico

(9)

Creamos un nuevo registro para el router

Si un host tiene configurado tanto IPv4 como IPv6, decimos que soporta doble stack. Podemos tener host, servidores y dispositivos de red (routers) que soporte doble stack

Durante bastante tiempo los dispositivos que soportan IPv6 tendran que coexistir con dispositivos que solo soportan IPv4. Las tecnologias que permiten esta coexistencia se llaman tecnologias de transicion.

(10)

- IPv4-only: son antiguos y solo soportan IPv4.

- IPv6-only: son nuevos, aunque raros de encontrar solo soportan IPv6

- IPv6/IPv4: Doble Stack. Desde windows vista y windows server 2008 los sistemas operativos de microsoft son doble stack. - IPv4: esta funcionando solo con IPv4, aunque podria funcionar como IPv4/IPv6

- IPv6: esta funcionando solo con IPv6, aunque podria funcionar como IPv6/IPv4

(11)

Se encapsula el paquete IPv6 en un IPv4

Ejemplo ping desde lon-dc1 a lon-srv3

Paquete ipv6

IPorigen: 2001:1:A:2::A IPdestino: 2001:1:A:3::F6 Paquete:[datos]

Cuando llega al router mete el paquete IPv6 en un IPv4 cambiando las direcciones de destino y origen por las puertas de enlace de los routers Paquete ipv4 IPorigen:1.1.1.1 IPdestino:2.2.2.2 Paquete [ IPorigen:2001:1:A:2::A IPdestino: 2001:1:A:3::F6 Paquete:[datos] ]

El otro router desencapsula

Paquete ipv6 IPorigen: 2001:1:A:2::A IPdestino: 2001:1:A:3::F6 Paquete:[datos] Tecnologia de transicion (Tunneling o encapsulado)

Permite comunicar redes IPv4 con redes IPv6

Siempre que sea posible, utilizaremos Doble stack, Pero en casos en que no pueda usarse, recurriremos a tecnologias de transicion como:

- ISATAP (Intra-site automatic tunnelling addressing protocol). No funciona correctamente con NAT

- Teredo. Soporta NAT tecnologia de microsoft

- 6to4: tipo de tunnelling propio de Cisco No funciona correctamente con NAT.

- Port Proxy: para conectar aplicaciones (NO HOST) que solo soportan IPv4 con aplicaciones que solo soportan IPv6

ISATAP

De isla IPv6 a isla IPv4 SIN NAT

- Para trabajar con ISATAP es “obligatorio” que se pueda resolver en la red el nombre ISATAP. Lo habitual es hacerlo con el servidor DNS:

(12)

El servidor DNS de microsoft tiene una lista de palabras que NO resuelve. Por eso aunque creamos el registro ISATAP no podemos hacerle ping. Tenemos que quitar ISATAP de la lista negra de palabras reservadas.

Eliminamos ISATAP del registro GlobalQueryBlocklist

(13)

Y ya nos deja resolver el nombre ISATAP

Hacemos ip config y aparece ISATAP

Para determinar que es una ip isatap Publica contiene 0:5EFE

Privada contiene 200:5EFE

Ademas de modificar manualmente el registro para permitir la resolucion de nombre ISATAP, hay otros metodos de configuracion de ISATAP:

(14)

- Netsh: netsh interface IPv6 ISATAP set router 192.168.8.1 - Directivas de grupo (GPO)

6to4:

De isla IPv6 a isla IPv6 pasando por IPv4 SIN NAT

Para activar 6to4 tenemos 2 opciones:

- Habilitar ICS (Internet Conection Sharing) - Powershel: Set-Net6to4Configuration

TEREDO:

De isla IPv6 a isla IPv6 pasando por IPv4 CON NAT

Es el unico que permite conectar a traves de NAT.

Se necesita tener un servidor en internet de TEREDO (Microsoft dispone de su servidor TEREDO gratis)

Por defecto viene configurado en windows

(15)

Comunica aplicaciones redirigiendo puertos

Ejercicio:

LON-DC1: 192.168.10.10/22 GW 192.168.8.1/22 LON-SRV3: 2001:1:A:3::F6 GW 201:1:A:3::1/64

Primero dejamos lon-dc1 con ipv4 solo y lon-srv3 con ipv6 solamente

Habria que habilitar la resolucion en el DNS de isatap añadiendo el registro en el DNS y quitandolo del la lista negra en el registro.

(16)

Ahora configuramos el RTR para que escuche las peticiones de ISATAP:

Set-NetIsatapConfiguration -Router 192.168.8.1

Para ver configuracion

Get-NetIsatapConfiguration

Ahora en Lon-dc1 le decimos que ya temos router ISATAP

Set-NetIsatapConfiguration -State Enabled

Si aparece esto NO esta funcionando el isatap tendria que tener una 2001: Falta que el router anuncie su prefijo

Configuracion de stateless para que el router anuncie su prefijo En lon-rtr

(17)

Nos interesa la interfaz isatap que apunta a la 192.168.8.1

Get-NetIPInterface -InterfaceIndex 34 | Format-List

Vemos que esta desactivado el advertising y tiene que estar activado para que funcione

Indica el tiempo entre publicacion de prefijo AdvertisedRouterLifetime : 00:30:00

Para utilizar el modo autoconfig stateless de IPv6 es necesario que la interfaz del router tenga el atributo “Advertising” en “Enabled”. De este modo “anunciara” en la red su prefijo y los clientes se autoconfiguran con el mismo prefijo, asignandose de forma aleatoria los 64bits de host.

Activamos el advertising

(18)

Ahora le indicamos el prefijo que tiene que usar.

New-NetRoute -InterfaceIndex 34 -DestinationPrefix 2001:1:A:2::/64 -Publish Yes

Asi quedaria

Se ve que el solo se ha asigando una ip en el rango que le dimos IPAddress : 2001:1:a:2:0:5efe:192.168.8.1

(19)

Despues de unos segundos o minutos en LON-DC1

Vemos que se ha asignado una ip del rango que le esta dando el Lon-rtr

Archivo donde se almacenan todos los SRV del DNS C:\Windows\System32\config\netlogon.dns En la reservas de ip en el dchp

DUID DHCP Unique identifier IAID Identity Association ID

Referencias

Documento similar

Volviendo a la jurisprudencia del Tribunal de Justicia, conviene recor- dar que, con el tiempo, este órgano se vio en la necesidad de determinar si los actos de los Estados

Este parón o bloqueo de las ventas españolas al resto de la Comunidad contrasta sin em- bargo con la evolución interior de ese mismo mercado en cuan- to a la demanda de hortalizas.

La configuración básica del router incluye la configuración de la dirección IP, el routing predeterminado, el routing estático y dinámico, la traducción de direcciones de red

1. LAS GARANTÍAS CONSTITUCIONALES.—2. C) La reforma constitucional de 1994. D) Las tres etapas del amparo argentino. F) Las vías previas al amparo. H) La acción es judicial en

La Dirección General de Ordenación Pesquera, a través de la Subdirección General de Economía Pesquera, del MAPA (Ministerio de Agricultura, Pesca y Alimentación) ha elaborado

Respecto a las enfermedades profesionales, en virtud del RD 1299/2006, de 10 de noviembre, por el que se aprueba el cuadro de enfermedades profesionales en el sistema de

Tras establecer un programa de trabajo (en el que se fijaban pre- visiones para las reuniones que se pretendían celebrar los posteriores 10 de julio —actual papel de los

En nuestra opinión, las cuentas anuales de la Entidad Pública Empresarial Red.es correspondientes al ejercicio 2010 representan en todos los aspectos significativos la imagen fiel