Modulo 8 - Implemeting IPv6

OneNote Online
Page 1 of 19
Modulo 8: Implemeting IPv6

viernes, 24 de octubre de 2014 9:10
Implementacin IPv6.
El espacio de direccionamiento es mucho mayor que en IPv4 porque pasamos de los 32bits a los 128 de IPv6.
33 bits tiene el doble de direcciones IP que 32 bits, 34 bits tiene el doble de direcciones que 33 bits,
Es suficiente para que cada habitante del planeta pueda tener para l solo 4.000.000 direcciones IPs.
Stateless vs Stateful.
En IPv6 no es imprescindible el uso de un servidor DHCP para entregar direcciones IP dinmicas a los clientes. Basta con
que el router (gateway) "anuncie" en la red cul es su prefijo y los clientes se autoconfiguran siguiendo ese prefijo. En
este caso hablamos de STATELESS
Podemos seguir usando servidores DHCP para IPv6 y el esquema se denominara STATEFUL.
IPSec.
Es un marco de seguridad a nivel de la capa 3 del modelo OSI:

Cifrado: DES, 3DES, AES,
Autenticacin mutua: SHA-1, MD5 (Ya no se recomienda), ...
Intercambio de claves: IKEv2 (Internet Key Exchange)
En IPv6, IPSec es nativo, aunque opcional. En IPv4 debe instalarse a parte.
Podemos usar IPSec en 2 modos:

AH: Authenication Header. Solo autenticamos, pero sin cifrar el contenido de paquetes.
ESP: Encapsulation Security Payload. Ciframos el contenido.
End to End Communications.
Con la cantidad de IPs disponibles, no es necesario utilizar NAT. No es necesario contar con dispositivos que "traducen"
direcciones.
NAt interfiere negativamente en muchos protocolos:
VoIP (Voz sobre IP): SIP, Megaco, H.323...
IPSec: Parte de la autenticacin de IPSec usan las IPs de origen.
QoS (Quality of Service).
Para que paquetes de servicios susceptibles al retraso (voz, video) tengan prioridad, se usan tcnicas de QoS.
Se etiquetan los paquetes para que estn identificados.
Direcciones IPv6 Link-Local.
Para entornos con una nica subred y donde no es imprescindible el acceso a internet, tenemos con un rango de
direcciones IP equivalentes a APIPA en IPv4. Se denomina LINK--LOCAL tienen el formato FE80::
Antes en IPv4 se utilizaba el protocolo ARP y con IPv6 se utiliza ND (Neighbor Discovery)
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 11/01/2016
OneNote Online
Page 2 of 19
Binario a Hexadecimal
0: 0000
1: 0001
2: 0010
3: 0011
4: 0100
5: 0101
6: 0110
7: 0111
8: 1000
9: 1001
A: 1010
B: 1011
C: 1100
D: 1101
E: 1110
F: 1111
1001010100101101: 1010100101011010: 1010101010111110101010

1001 0101 0010 1101:
1010 1001 0101 1010
9
5
2
D
A
9
5
A
952D:A95A:.:.:.:.:.:. (8 Bloques de 16 bits)
Resumen de direcciones IPv6:
Cuando tenemos varios ceros consecutivos, podemos resumir: Por ejemplo, nos dan esa direccin IPv6:
952D:0003:1400:FA00:0000:0000:3FB2:0001
1.- Eliminamos los ceros a la izquierda de cada bloque:

952D:3:1400:FA00:0:0:3FB2:1
2.- Bloques de ceros consecutivos los sustituimos por "::"
952D:3:1400:FA00::3FB2:1
Sustituir bloques de ceros consecutivos por "::" solo puede hacerse una vez en la direccin IP.
952D:0000:0000:AF2C:0000:0000:0000:3457
Incorrecto: 952D::AF2C::3457
--> Esto podra ser: 952D:0000:AF2C:0000:0000:0000:0000:3567 (Un conjunto de 4 ceros es un bloque)
Correcto: 952D:0:0:AF2C::3457. Sabemos que todo lo que falta en la direccin IP, son bloques de ceros entre los 2 putos.
Por ejemplo:
Localhost: 0000:0000:0000:0000:0000:0000:0000:0001 = ::1
Unasigned: 0000:0000:0000:0000:0000:0000:0000:0000 = ::
Una direccin IPv6 tiene una estructura jerrquica.

Los primeros 64 bits (mas a la izquierda) nos indica el Registrador (IANA para EEUU, RIPE para Europa, ), el ISP, la
empresa u organizacin y la subred dentro de la organizacin.
Los otros 64 bits nos indican el host dentro de la subred. 2^64 host (unos 16 trillones de hosts para cada subred)
Direcciones IP Global Unicast. (el smil con IPv4 sera publicas)
Es equivalente a las direcciones pblicas en IPv4.

Son enrutables, es decir, con ellas podemos salir a internet.
En IPv6, las IPs publicas siempre empiezan en sus primeros bits 001:
Ejemplo:
001xxxxxxxxxxxxx: xxxxxxxxxxxxxxxxxxxxx...
Esas direcciones irn desde 0010000000000000 hasta 0011111111111111
0010000000000000 --> /3
0011111111111111 --> /3
La direccin de red es:
0010000000000000000000000000000000000000000000....
En hexadecimal:
0010 0000 0000 0000
OneNote Online
Page 3 of 19
2
0
0
0
2000:000:0000:0000:0000:0000:0000:0000
2000::/3 --> Direccin que resumen todas las Global Unicast
2: --> 001 0 el cuarto bit puede ser 0 o 1

3: --> 001 1
Ejemplo:
2001:3F45:4567::2ABB
256F:45DD:3451::45AA
3F45:.
Las direcciones IPv6 Global Unicast slo pueden empezar con "2" o con "3"
Global Unicast.
Equivalen a las direcciones IP pblicas en IPv4.

Son enrutables (con ellas podemos salir a internet)
Empiezan con "2" o "3".
En su estructura, los primeros 48 bits nos indican el registrador, el ISP y la organizacin a la que est asignado el
rango de IPs.
Los siguientes 16 bits se utilizan para definir subredes dentro de la organizacin.
Los ltimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden configurar de varias formas:
Manual
Autoconfiguracin: Stateless (sin DHCP) o Stateful (con DHCP).
Ejemplos de IPv6 Global Unicast.
2001:ABFBD:1234:65FD::345F:1 /64 --> Estn en la misma subred que el de abajo pero en distinto host.
2001:ABFBD:1234:65FD::345F:2 /64 --> Distinto host pero misma subred que la de arriba.
2001:ABFBD:1234:65FE::345F:1 /64 --> Est en distinta subred que la de arriba.
Unique Local.
(Site Local --> Deprecated)

Equivalente a a las direcciones IPs privadas en IPv4.
Son enrutables, pero solo dentro de la organizacin.
Con ella podemos llegar a cualquiera de nuestras subredes, pero no podemos usarlas para salir a Inernet.
Son aquellas direcciones IPv6 que cumplen el prefijo FC00::/7
FC --> 1111110 0 :: /7
FD --> 1111110 1
El octavo bit se denomina "local bit". Si este bit es "1", la direccin es "local" (no enrutable en Internet).
Actualmente no estn definidas las direcciones en las que el "local bit" es "0"
Actualmente solo encontraremos direcciones que empiezan por "FD00"
Link- Local.
Son equivalentes a las APIPA.

slo permiten la comunicacin con otros hosts de la misma subred. No son enrutables ni en Internet ni dentro de la
propia organizacin. n podemos usar una direccin Link-Local para acceder a otra subred dentro de nuestra
organizacin.
Basta con activar IPv6 en una interfaz para que se le asigne automticamente una direccin Link-Local.
Sustituye a las broadcast para varios a protocolos.
Peticiones DHCP
Peticiones Neighbor Discovery.
Empiezan por FE80:: /8
Hemos activado IPv6.
OneNote Online
Page 4 of 19
Las Link-Local incluyen "%xy" como ndice de la interfaz. La suma de IPv6 Link-Local junto con su ndice, se conoce
como Site ID o Zone ID.
STATELESS
Entramos en LON-RTR, con IPv6 activado.

Tenemos esta direccin IP: Link-local Ethernet0 Router: fe80::c5cc:27ac:818e:995e%12
Y desde LON-DC1 hacemos ping al router:
Ahora hacemos un ping a la Ethernet 1 del Router, tambin Link-Local fe80::251f:d36:cbda:64fe%20
Vemos que no llega porque Link-Local no puede atravesar un router.
Vamos a trabajar con Unique- Local.

Adatum.com (VMNet 2) : FD00: 2:2:2::/64
Router: FD00:2:2:2::1/64
LON-DC1: FD00:2:2:2::A/64
Curso.adatum.com (VMNet 3) : FD00:3:3:3::/64
Router: FD00:3:3:3::1/64
LON-SRV3: FD00:3:3:3::F6/64
En el Router hemos puesto la IP:
OneNote Online
Page 5 of 19
Ahora vamos a LON-DC1 y ponemos la IP y la puerta de enlace
Ponemos tambin la IP a tarjeta de red del router que se va a comunicar con LON-SRV3
Probamos si desde LON-DC1 llegamos a su puerta de enlace y a la otra Interfaz.
Modificamos tambin la IPv6 de LON-SRV3.
OneNote Online
Page 6 of 19
Vemos que llega a su puerta de enlace.

Vamos a ver si llega a la otra interfaz
Para conectarnos con todos los hosts de nuestra organizacin y tambin poder salir a internet, tenemos que usar
direcciones IP Global Unicast.
Adatum.com (VMNet2): 2001:1:A:2::/46
Router: 2001:1:A:2::1/64
LON-DC1: 2001:1:A:2::A/64
Curso.adatum.com (VMNet3): 2001:1:A:3::/64
Router 2001:1:A:3::1/64
LON-SRV3: 2001:1:A:3::F6/64
Configurarnos desde entorno grfico.
Ahora agregamos el archivo de tipo AAAA para que reconozca el nombre de la mquina.
OneNote Online
Page 7 of 19
OneNote Online
Page 8 of 19
Hacemos ping directamente al nombre de la maquina:
Si un host tiene configurado tanto Ipv4 como Ipv6, decimos que soporta Doble Stack
Podemos tener hosts, servidores y dispositivos de red (routers) que soporte Doble Stack
Durante bastante tiempo, los dispositivos que soportan IPv6 tendrn que coexistir con dispositivos que solo
soportan IPv4. Las tecnologas que permiten esta coexistencia se llaman Tecnologas de Transicin (tnel)(Tunneling
o Encapsulado).
Tipos de Nodos.
IPv4-only: Son antiguos y solo soportan IPv4
IPv6-only: Son nuevos, aunque raros de encontrar y solo soportan IPv6.
IPv6/IPv4: Doble Stack. Desde Windows Vista, y Windows Server 2008, los sistemas operativos de Microsoft son
Doble Stack.
Importante para el examen!!
IPv4: (SIN ONLY) Est funcionando solo con IPv4, aunque podra funcionar como IPv6/IPv4
IPv6: (SIN ONLY)Est funcionando solo con IPv6, aunque podra funcionar como IPv6/IPv4
OneNote Online
Page 9 of 19
Tecnologas de transicion. (tneles).
Siempre que se pueda se debe utilizar Doble Stack, pero en caso que no se pueda usar, recurriremos a tecnologas de
transicin como:
ISATAP (Intra-Site Automatic Tunnelling Addressing Proocol). No funciona correctamente con NAT.
Teredo. Soporta NAT. Tecnologa de Microsoft.
6to4: Tipo de Tunnelling propio de Cisco.
Port Proxy: Para conectar aplicaciones (no hosts) que solo soportan IPv4 con aplicaciones que solo soportan IPv6.
Nos centramos en ISATAP y Teredo.
ISATAP
Cuando trabajamos con ISATAP es "obligatorio" que se pueda resolver en la red el nombre ISATAP. Lo habitual es
hacer con el servidor DNS.
ISATAP --> IP_DEL_ROUTER_ISATAP
Vamos a LON-DC1 que es nuestro servidor DNS
OneNote Online
Page 10 of 19
Y no responde, si cambiamos el nombre de ISATAP por cualquier otro funciona correctamente, pero ISATAP es un
nombre reservado y hay que sacarlo de la lista de nombres reservados.
Vamos a sacarlo de la lista de nombres reservados:
OneNote Online
Page 11 of 19
OneNote Online
Page 12 of 19
BORRAMOS ISATAP
Una vez borrado reiniciamos el servidor DNS
Y resuelve el nombre de ISATAP, pero todava el servidor no sabe que es eso de ISATAP
Adems de modificar manualmente el registro para permitir la resolucin del nombre ISATAP, hay otros mtodos
de configuracin de ISATAP:
Powershell: Set-NetIsatapConfiguration -Router 192.168.8.1
Netsh: netsh interface IPv6 ISATAP set router 192.168.8.1
Directivas de Grupo (GPO)
OneNote Online
Page 13 of 19
6to4
Para habilitarlo hay que habilitar ICS ( Internet Connection Sharing)

No funciona con NAT igual que ISATAP
OneNote Online
Page 14 of 19
Teredo.
Es el nico que puede trabajar con NAT.

Necesita un servidor que se conecte a Internet pero no en nuestra red local.
PortProxy
Se utiliza para comunicar aplicaciones entre si.
Ejercicio:
----------------------------------------------------------------------------------------------------------------------------------------Conectamos LON-DC1 con IPv4 a LON-SRV3 con IPv6 pasando por un LON-RTR (ISATAP)
LON-DC1: 192.168.10.10/22
LON-RTR: 192.168.8.1 /22 --- 2001:1:A:3::1/64
LON-SRV3: 2001:1:A:3::F6/64
Desactivamos IPv6 en LON-DC1
Desactivamos IPv4 en LON-SRV
A LON-DC1 ya le hemos dicho en la practica anterior que la direccin que ISATAP es la 192.168.8.1
Configuramos el router como ISATAP:
Entramos en Powershell desde LON-RTR
Le decimos que escuche a ISATAP por esa IP
Y miramos la configuracion:
Ahora tenemos que ver cual es el ndice de la interfaz ISATAP, as se ve un poco mal...
OneNote Online
Page 15 of 19
Lo mostramos como una tabla para verlo mejor.
Ahora vamos a LON-DC1 para decirle que ya tenemos habilitado el Router ISATAP
Y vemos que lo tiene habilitado
OneNote Online
Page 16 of 19
Seguimos en LON-DC1 pero no vamos a llegar porque la IPv6 tiene que empezar por 2001... no por "fe80" que son
Link-Local
En LON-RTR le decimos que queremos informacin sobre la interfaz de ISATAP
Pero como no aparecen todos los valores aadimos "Format-List"
OneNote Online
Page 17 of 19
Para que los clientes vean esa Interfaz tiene que estar habilitada. Para utilizar el modo autoconfig stateless de IPv6,
es necesario que la interfaz del router tenga el atributo "Advertising" en "Enabled". De este modo "anunciar" en la
red su prefijo y los clientes se autonfiguran con el mismo prefijo, asignndose de forma aleatoria los 64 bits de
host.
Set-NetIPInterface -Index 16 -Advertising Enabled
Vemos el atributo de "Advertising" y est habilitado.
Vemos que todavia tiene la IP Link-Local
OneNote Online
Page 18 of 19
Hay que cambiarla y darle una IP a la interfaz de ISATAP, le podemos dar un rango y que se asigne por si sola la IP.
Solo se puede hacer desde Powershell. Utilizamos la configuracin Stateless de IPv6
Ahora vamos a ver como se ha configurado:
En LON-DC1 vemos si tiene o no tiene IP, y sigue sin tenerla.
OneNote Online
Page 19 of 19
Esperamos un poco porque tiene que refrescar:
Habilitamos en LON-DC1 IPv6 y hacemos ping.
-----------------------------------------------------------------------------------------------------------------------------------------

Modulo 8 - Implemeting IPv6

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modulo 8 - Implemeting IPv6

Cargado por

Copyright:

Formatos disponibles

OneNote Online

Modulo 8: Implemeting IPv6

Es un marco de seguridad a nivel de la capa 3 del modelo OSI:

En IPv6, IPSec es nativo, aunque opcional. En IPv4 debe instalarse a parte.

Podemos usar IPSec en 2 modos:

1001010100101101: 1010100101011010: 1010101010111110101010

1.- Eliminamos los ceros a la izquierda de cada bloque:

Una direccin IPv6 tiene una estructura jerrquica.

Es equivalente a las direcciones pblicas en IPv4.

2: --> 001 0 el cuarto bit puede ser 0 o 1

Equivalen a las direcciones IP pblicas en IPv4.

(Site Local --> Deprecated)

Actualmente solo encontraremos direcciones que empiezan por "FD00"

Son equivalentes a las APIPA.

Hemos activado IPv6.

Entramos en LON-RTR, con IPv6 activado.

Ahora hacemos un ping a la Ethernet 1 del Router, tambin Link-Local fe80::251f:d36:cbda:64fe%20

Vemos que no llega porque Link-Local no puede atravesar un router.

Vamos a trabajar con Unique- Local.

Ahora vamos a LON-DC1 y ponemos la IP y la puerta de enlace

Modificamos tambin la IPv6 de LON-SRV3.

Vemos que llega a su puerta de enlace.

Configurarnos desde entorno grfico.

Hacemos ping directamente al nombre de la maquina:

Tecnologas de transicion. (tneles).

Vamos a sacarlo de la lista de nombres reservados:

Una vez borrado reiniciamos el servidor DNS

Para habilitarlo hay que habilitar ICS ( Internet Connection Sharing)

Es el nico que puede trabajar con NAT.

Se utiliza para comunicar aplicaciones entre si.

Le decimos que escuche a ISATAP por esa IP

Lo mostramos como una tabla para verlo mejor.

Y vemos que lo tiene habilitado

En LON-RTR le decimos que queremos informacin sobre la interfaz de ISATAP

Pero como no aparecen todos los valores aadimos "Format-List"

Vemos el atributo de "Advertising" y est habilitado.

Vemos que todavia tiene la IP Link-Local

Ahora vamos a ver como se ha configurado:

En LON-DC1 vemos si tiene o no tiene IP, y sigue sin tenerla.

Esperamos un poco porque tiene que refrescar:

Habilitamos en LON-DC1 IPv6 y hacemos ping.

También podría gustarte