· pdf file- los siguientes 16 bits se utilizan para definir subredes dentro de la...
TRANSCRIPT
------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------
Module 8: Implementing IPv6
------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------
/64 prefijo es igual que mascara de red
IPv6:
Espacio de direcciones mucho mayor:
De 32 bits pasamos a 128. (33 bits tiene el doble de direcciones que 32 bits, 34 bits tienen el doble que 33 bits)
Cada habitante del planeta podria tener 4.000.000.000
IoT (Internet of things).
Stateless IPv6 no es imprescindible el uso de un servidor DHCP para entregar direcciones ip dinamicas a los clientes.
Basta con que el router (gateway) “anuncie” en la red cual es su prefijo y los clientes se autoconfiguran siguiendo ese prefijo. En
este caso hsablamos de STATELESS
Podemos seguir usando servidores DHCP para IPv6 y el esquema se denominaria STATEFULL
IPv6 Soporta IPSEC pero no obliga a utilizarlo
IPSec es un marco de seguridad a nivel de capa 3 del modelo OSI:
-Cifrado: DES, 3DES, AES, …
-autenticacion mutua: SHA1, MD5, …
-Intercambio de claves: IKEv2 (Internet Key Exchange).
En IPv6, IPSec es nativo, aunque opcional en IPv4 debe instalarse a parte
Podemos usar en IPSec en 2 modos:
-AH: Authenticacion header. Solo autenticamos pero sin cifrar el contenido de los paquetes.
-ESP: Encapsulation Security Payload Ciframos el contenido.
End to End communications:
Con la cantidad de Ips disponibles, no es necesario utilizar NAT. No es necesario contar con dispositivos que traducen
direcciones.
NAT interfiere negativamenete en muchos protocolos:
-VoIP (Voz sobr ip): SIP, Megaco, H.323
-IPSec: Parte de la autenticacion de IPSec usa las ip de origen.
QoS (quality of service):
Para que paquetes de servicios supceptibles al retraso (Voz, video) tengan prioridad, se usan tecnicas QoS.
Se etiquetan los paquetes para que esten identificados.
Direcciones IPv6 Link-Local:
Para entornos con una unica subred y donde no es imprescindible el acceso a internet, tenemos con un rango de direcciones ip
equivalente a APIPA (169.254.x.x). Se denomina link-local y tiene formato: FE80:
Despues del % se indica el indice de la NIC
IPv4: ARP
IPv6: ND (Neighbor Discovery)
Binario a Hexadecimal:
0: 0000
1: 0001
2: 0010
3: 0011
4: 0100
5: 0101
6: 0110
7: 0111
8: 1000
9: 1001
A (10): 1010
B (11): 1011
C (12): 1100
D (13): 1101
E (14): 1110
F (15): 1111
Convertir a hex
Se empieza por la izq coguiendo 16 bits se separan con :
1001010100101101 : 1010100101011010 : 1010101010111110 : 101010
Ahora esos 16 se dividen en trozos de 4
1001 0101 0010 1101
9 5 2 D
1010 1001 0101 1010
A 9 5 A
1010 1010 1011 1110
A A B E
IPv6
XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX
Resumen de direcciones IPv6 entra en el examen
Cuando tenemos varios ceros consecutivos, podemos resumir
952D:0003:1400:FA00:0000:0000:3FB2:0001
1º eliminamos los 0’s a la izquierda en cada bloque
952D:3:1400:FA00:0:0:3FB2:1
2º Bloques de 0’s consecutivos los sustituimos por ::
952D:3:1400:FA00::3FB2:1
Sustituir bloques de 0’s consevutivos por :: solo puede hacerse en una vez en la direccion IP:
952D:0000:0000:AF2C:0000:0000:0000:3457
Incorrecto:
952D::AF2C::3457
No se puede hacer porque no sabrias en que parte entan los 0’s puede que tengas 8 0’s delante o 8 0’s detas
No sabrias cual es la ip:
952D:0000:0000:AF2C:0000:0000:0000:3457
952D:0000:AF2C:0000:0000::0000:0000:3457
952D:0000: 0000:0000:AF2C:0000:0000:3457
Correcto:
Siempre se quita el mayor numero de 0’s consecutivos
952D:0:0:AF2C::3457
Localhost en IPv6
0000:0000:0000:0000:0000:0000:0000:0001
Resumida ::1
Unasigned (ipconfig /release)
0000:0000:0000:0000:0000:0000:0000:0000
Resumida ::
Una direccion IPv6 tiene una estructura jerarquica.
- Los primeros 64 bits (mas a la izq) nos indican el registrador (IANA para EEUU, RIPE para Europa, ….) , el ISP, la
empresa u organización y la subred dentro de la organización.
- Los otros 64 bits nos indican el host dentro de la subred. 2^64 unos 16 trillones de hosts por cada subred.
Direcciones IP Global Unicast: solo pueden empezar por 2 o por 3 2000::/3 o 3000::/3
Es el equivalente de las direcciones publicas de IPv4, es decir, con ellas podemos salir a internet
En IPv6, las IPs publicas siempre empiezan en sus primeros bits con 001 :
001XXXXXXXXXXXXX:XXXX……….
001000000000000 -> /3 direccion de red = 2000::/3
001111111111111 -> /3
Global unicast:
- Equivalente a las direcciones ip publicas en IPv4
- Son enrutables (con ellas podemos salir a internet)
- Empiezan con 2 o 3
- En su estructura, los primeros 48 bits nos indican el registrador, el ips y la organización a la que esta asigando ese rango de IPs.
- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización.
- Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden configurar de varias formas:
- manual
- Autoconfiguracion: Stateless (sin DHCP) o Statefull (Con DHCP)
Ejemplos de IPv6 Global unicast:
2001:AFBD:1234:65FD::345F:1/64
2001:AFBD:1234:65FD::345F:2/64
Unique Local:
(Site local antiguamente – deprecated)
- Equivalentes a las direcciones ip privadas de IPv4
- Son enrutables podemos llegar a cualquiera de nuestras subredes, pero no podemos usarlas para salir a internet.
Son aquellas direcciones IPv6 que cumplen el prefijo FC00::/7
FC00::/7 -> 1111110 0::/7
FD00::/7 -> 1111110 1::/7
El 8 bit se denomina “local bit”. Si este bit es 1, la direccion es local (no es enrutable en internet). Actualmente no estan
definidas las direcciones en las que el “local bit” es 0
Actualmente solo encontraremos direcciones Unique Local que empienzan por “FD00”
Link-local:
- Son equivalentes a las APIPA.
-Solo permiten la comunicación con otros host de la misma subred. No son enrutables ni en internet ni dentro de la propia
organización. No podemos usar una direccion Link-local para acceder a otra subred dentro de nuestra organización.
- basta con activar IPv6 en una interfaz para que se asigne automaticamente una direccion Link-local.
- Sustituyen a las Broadcast para varios protocolos
- Peticiones DHCP
- Peticiones Neighbor discovery
-Empiezan por FE80::/8
- Las link-local incluyen “%XX” como indice de la interfaz. La suma de IPv6 Link-local junto con su indice se conoce como Site ID o
Zone ID
Autoconfiguracion de IPv6
Stateless: el router publica su prefijo al switch (advertise) para que los clientes conectados a ese switch se autoconfiguran en la
subred del router y le apuntan a el como GW pero no le da mas datos como el DNS por ejemplo.
Practica UNIQUE LOCAL
LON-DC1
Como DNS se configura asi mismo ::1
LON-RTR para LON-DC1 VMnet2
LON-RTR para LON-SRV3 VMnet3
LON-SRV3
Para conectarnos a todos los host de nuestra organizavion y tambien poder salir a internet, tenemos que usar direccione ip
global unicast
Adatum.com VMnet2: 2001:1:A:2::/64
Router: 2001:1:A:2::1/64
Lon-dc1 2001:1:A:2::A/64
Curso.adatum.com VMnet3 2001:1:A:3::/64
Router: 2001:1:A:3::1/64
Lon-srv3: 2001:1:A:3::F6/64
Configurar desde entorno grafico
Como tenemos activado las actualizaciones dinamicas se crean los nuevos registros solos
Creamos un nuevo registro para el router
Si un host tiene configurado tanto IPv4 como IPv6, decimos que soporta doble stack.
Podemos tener host, servidores y dispositivos de red (routers) que soporte doble stack
Durante bastante tiempo los dispositivos que soportan IPv6 tendran que coexistir con dispositivos que solo soportan IPv4. Las
tecnologias que permiten esta coexistencia se llaman tecnologias de transicion.
Tipos de NODOS:
- IPv4-only: son antiguos y solo soportan IPv4.
- IPv6-only: son nuevos, aunque raros de encontrar solo soportan IPv6
- IPv6/IPv4: Doble Stack. Desde windows vista y windows server 2008 los sistemas operativos de microsoft son doble stack.
- IPv4: esta funcionando solo con IPv4, aunque podria funcionar como IPv4/IPv6
- IPv6: esta funcionando solo con IPv6, aunque podria funcionar como IPv6/IPv4
Como hay que pasar por una red IPv4
Se encapsula el paquete IPv6 en un IPv4
Ejemplo ping desde lon-dc1 a lon-srv3
Paquete ipv6
IPorigen: 2001:1:A:2::A
IPdestino: 2001:1:A:3::F6
Paquete:[datos]
Cuando llega al router mete el paquete IPv6 en un IPv4 cambiando las direcciones de destino y origen por las puertas de enlace
de los routers
Paquete ipv4
IPorigen:1.1.1.1
IPdestino:2.2.2.2
Paquete [
IPorigen: 2001:1:A:2::A
IPdestino: 2001:1:A:3::F6
Paquete:[datos]
]
El otro router desencapsula
Paquete ipv6
IPorigen: 2001:1:A:2::A
IPdestino: 2001:1:A:3::F6
Paquete:[datos]
Tecnologia de transicion
(Tunneling o encapsulado)
Permite comunicar redes IPv4 con redes IPv6
Siempre que sea posible, utilizaremos Doble stack, Pero en casos en que no pueda usarse, recurriremos a tecnologias de
transicion como:
- ISATAP (Intra-site automatic tunnelling addressing protocol). No funciona correctamente con NAT
- Teredo. Soporta NAT tecnologia de microsoft
- 6to4: tipo de tunnelling propio de Cisco No funciona correctamente con NAT.
- Port Proxy: para conectar aplicaciones (NO HOST) que solo soportan IPv4 con aplicaciones que solo soportan IPv6
ISATAP
De isla IPv6 a isla IPv4 SIN NAT
- Para trabajar con ISATAP es “obligatorio” que se pueda resolver en la red el nombre ISATAP. Lo habitual es hacerlo
con el servidor DNS:
o ISATAP -> IP_DEL_ROUTER_ISATAP
El servidor DNS de microsoft tiene una lista de palabras que NO resuelve.
Por eso aunque creamos el registro ISATAP no podemos hacerle ping.
Tenemos que quitar ISATAP de la lista negra de palabras reservadas.
Eliminamos ISATAP del registro GlobalQueryBlocklist
Y reiniciamos el servidor DNS
Y ya nos deja resolver el nombre ISATAP
Hacemos ip config y aparece ISATAP
Para determinar que es una ip isatap
Publica contiene 0:5EFE
Privada contiene 200:5EFE
Ademas de modificar manualmente el registro para permitir la resolucion de nombre ISATAP, hay otros metodos de
configuracion de ISATAP:
- PowerShell: Ser-NetIsatapConfiguration –Router 192.168.8.1
- Netsh: netsh interface IPv6 ISATAP set router 192.168.8.1
- Directivas de grupo (GPO)
6to4:
De isla IPv6 a isla IPv6 pasando por IPv4 SIN NAT
Para activar 6to4 tenemos 2 opciones:
- Habilitar ICS (Internet Conection Sharing)
- Powershel: Set-Net6to4Configuration
TEREDO:
De isla IPv6 a isla IPv6 pasando por IPv4 CON NAT
Es el unico que permite conectar a traves de NAT.
Se necesita tener un servidor en internet de TEREDO (Microsoft dispone de su servidor TEREDO gratis)
Por defecto viene configurado en windows
PortProxy
Comunica aplicaciones redirigiendo puertos
Ejercicio:
LON-DC1: 192.168.10.10/22 GW 192.168.8.1/22
LON-SRV3: 2001:1:A:3::F6 GW 201:1:A:3::1/64
Primero dejamos lon-dc1 con ipv4 solo y lon-srv3 con ipv6 solamente
Habria que habilitar la resolucion en el DNS de isatap añadiendo el registro en el DNS y quitandolo del la lista negra en el
registro.
Ahora configuramos el RTR para que escuche las peticiones de ISATAP:
Set-NetIsatapConfiguration -Router 192.168.8.1
Para ver configuracion
Get-NetIsatapConfiguration
Ahora en Lon-dc1 le decimos que ya temos router ISATAP
Set-NetIsatapConfiguration -State Enabled
Si aparece esto NO esta funcionando el isatap tendria que tener una 2001:
Falta que el router anuncie su prefijo
Configuracion de stateless para que el router anuncie su prefijo
En lon-rtr
Get-NetIPAddress | Format-Table InterfaceIndex, InterfaceAlias, IPAddress
Nos interesa la interfaz isatap que apunta a la 192.168.8.1
Get-NetIPInterface -InterfaceIndex 34 | Format-List
Vemos que esta desactivado el advertising y tiene que estar activado para que funcione
Indica el tiempo entre publicacion de prefijo
AdvertisedRouterLifetime : 00:30:00
Para utilizar el modo autoconfig stateless de IPv6 es necesario que la interfaz del router tenga el atributo “Advertising” en
“Enabled”. De este modo “anunciara” en la red su prefijo y los clientes se autoconfiguran con el mismo prefijo, asignandose
de forma aleatoria los 64bits de host.
Activamos el advertising
Set-NetIPInterface -InterfaceIndex 34 -Advertising Enabled
Ahora le indicamos el prefijo que tiene que usar.
New-NetRoute -InterfaceIndex 34 -DestinationPrefix 2001:1:A:2::/64 -Publish Yes
Asi quedaria
Se ve que el solo se ha asigando una ip en el rango que le dimos
IPAddress : 2001:1:a:2:0:5efe:192.168.8.1
Despues de unos segundos o minutos en LON-DC1
Vemos que se ha asignado una ip del rango que le esta dando el Lon-rtr
Archivo donde se almacenan todos los SRV del DNS
C:\Windows\System32\config\netlogon.dns
En la reservas de ip en el dchp
DUID DHCP Unique identifier
IAID Identity Association ID