IPV6

CAT5501 – Configuración Avanzada de Routers
IPv6
Conceptos Fundamentales de asiganción de direcciones IPs
Asignación de Direcciones IP Públicas
• La ICANN (Internet Corporation for Assigned Names and
Numbers) administra el proceso de localización y asignación de
direcciones IPv4 e IPv6
• IANA (Internet Assigned Numbers Authority) ejecuta varias de
las políticas de la ICANN
• Estas organizaciones definen cuales direcciones IPv4 son
asignadas a diferentes regiones geográficas, además de
administrar la estructura DNS y los TLD (Top Level Domains),
tales como los dominios terminados en .com
• ICANN trabaja con varias organizaciones para desarrollar una
estrategia de asignación de direcciones IP eficiente:
– ICANN e IANA asignan direccions IPv4 a regiones geográficas grandes
– IANA asigna esos rangos de direcciones a los RIR (Regional Internet
Registries)
– Cada RIR subdivide el espacios de direcciones a los NIR (National
Internet Registries) o los LIR (Local Internet Registries). Los ISP son
típicamente LIR
– Finalmente, se asignan a organizaciones y usuarios finales
Nombre RIR Cobertura Geográfica Enlace
AfriNIC Continente Africano www.afrinic.net
APNIC
(Asia Pacific Network Information Región del Asia Pacífico www.apnic.net
Centre)
ARIN
Canada, Estados Unidos y varias www.arin.net
(American Registry for Internet islas del Caribe y el Atlántico Norte
Numbers)
LACNIC
América Central y del Sur y www.lacnic.net
(Latin America and Caribbean porciones del caribe
Internet Addresses Registry)
RIPE Europa, Medio Oriente y Asia

Central www.ripe.net
(Réseaux IP Européens)
• El 31 de enero de 2011, ICANN entregó los dos últimos
bloques de direcciones IPv4 para uso general
• Esto dejó solo 5 boques de direcciones utilizables, como lo
dicta la “Política Global para la Localización del Espacio de
Direcciones IPv4 Restante”. El cual dicta que en el momento
de que avecine el agotamiento de direcciones IPv4, se dejarán
5 bloques, uno para cada RIR
Conectividad Empresarial a Internet
PARTE 4. CONECTIVIDAD IPV6 A

INTERNET
Parte 4. Conectividad IPv6 a Internet
Introducción
• Por décadas las empresas se han conectado a Internet
mediante IPv4, pero el crecimiento de la popularidad de IPv6
ha provocado que deban trabajar juntos y, en algunos casos,
incluso reemplazarla
• En esta parte se revisarán los casos en los cuales la empresa
tiene una sola conexión a Internet, donde el uso de
protocolos IGP y BGP es innecesario, salvo configurar el
direccionamiento IPv6
• El segundo caso es cuando la empresa tiene más de una
conexión y además IPv6… y además BGP. Pero el clásico BGP-4
no es suficiente, debiendo implementar Multiprotocol BGP
(MP-BGP)
Conexiones IPv6 a Internet
• El creciente reemplazo de la conexión sobre IPv4 por IPv6, en
algunos casos, debido a temas de seguridad
• Los métodos existentes para asignar una dirección IPv6 a un
router cliente son varios, entre los cuales tenemos:
– Configuración manual
– Autoconfiguración de Dirección Sin Estado (SLAAC)
– DHCPv6 sin Estado
– DHCPv6 con Estado
– DHCPv6 con Delegación de Red (DHCPv6-PD)
Conexiones IPv6: Configuración Manual
• La configuración manual de un router CPE conectado a un
router ISP IPv6 involucra dos pasos:
– Configurar la dirección IPv6 en la red del proveedor ISP IPv6 en la
interface del router CPE con el comando ipv6 address
ipv6_address/prefix_length
– Configurar de manera estática una ruta por defecto que apunte a la
dirección IPv6 del router ISP como siguiente salto, usando el comando
ipv6 route ::/0 next_hop_ipv6_address
R1# conf term
R1(config)# interface fa 0/0
R1(config-if)# ipv6 address 2000:1::2/64
R1(config-if)# exit
R1(config)# ipv6 route ::/0 2000:1::1
R1(config)# end
R1# ping 2000:a::1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2000:A::1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 44/62/88 ms
Verificación en el Cliente 1
CLIENT1# ping 2000:a::1
!!!!!
Client1#
Verificación en TFTP_SERVER
TFTP_SERVER# ping 2000:a::1
!!!!!
TFTP_SERVER#
ACL IPv6
• Las ACL no son usadas exclusivamente para denegar o
permitir tráfico, sino que también pueden ser usadas para
identificar tráfico
• El IOS Cisco también soporte ACL IPv6, pero existen algunas
diferencias con las ACL IPv4
– Mientras las ACL IPv4 puede ser estándar o extendida, y numerada o
nombrada, las ACL IPv6 son siempre extendidas y nombradas
– Las ACL IPv4 tiene una instrucción deny all implícita al final, mientras
que la ACL IPv6 tiene tres instrucciones implícitas al final de todas las
ACL
permit icmp any any nd-na
permit icmp any any nd-ns
deny ipv6 any any
ACL IPv6
• El comando permit icmp any any nd-na permite Neighbor
Discovery – Neighbor Advertisements
• El comando permit icmp any any nd-ns permite Neighbor
Discovery – Neighbor Solicitations
• Estas funciones son requeridas para que IPv6 funcione bien,
ya que su propósito es semejante a ARP
• El siguiente ejemplo representa una ACL IPv6 cuya meta es
permitir las conexiones HTTP y HTTPS a Internet, mientras
bloquea otro tipo de conexiones
ACL IPv6
*** VERIFICACION EN CLIENT 1 ***
Client1# telnet 2000:a::1 80
Trying 2000:A::1, 80 ... Open *** SUCCESSFUL HTTP CONNECTION ***
exit
HTTP/1.1 400 Bad Request
Date: Tue, 10 Jun 2014 14:34:55 GMT
Server: cisco-IOS
Accept-Ranges: none
400 Bad Request
[Connection to 2000:a::1 closed by foreign host]
Client1# telnet 2000:a::1
Trying 2000:A::1 ... Open *** SUCCESSFUL TELNET CONNECTION ***
User Access Verification
Password:
WEB_SERVER> exit
Client1#
ACL IPv6
*** CONFIGURACION IPv6 ACL Y VERIFICACION EN R1 ***
R1# conf term
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)# ipv6 access-list ALLOW_WEB
R1(config-ipv6-acl)# permit tcp any any eq www
R1(config-ipv6-acl)# permit tcp any any eq 443
R1(config-ipv6-acl)# exit
R1(config)# interface fa 0/0
R1(config-if)# ipv6 traffic-filter ALLOW_WEB out
R1(config-if)# end
R1# show access-lists
IPv6 access list ALLOW_WEB
permit tcp any any eq www (23 matches) sequence 10
permit tcp any any eq 443 sequence 20
ACL IPv6
*** VERIFICACION EN CLIENT 1 ***
Client1# telnet 2000:a::1 80
Trying 2000:A::1, 80 ... Open *** SUCCESSFUL HTTP CONNECTION ***
exit
HTTP/1.1 400 Bad Request
Date: Tue, 10 Jun 2014 14:37:55 GMT
Server: cisco-IOS
Accept-Ranges: none
400 Bad Request
Client1# telnet 2000:a::1
Trying 2000:A::1 ...
% Destination unreachable; gateway or host down
*** UNSUCCESSFUL TELNET CONNECTION ***
Seguridad de la Conexión IPv6 a Internet
• El conectar una empresa a Internet usando IPv6 genera
algunos riesgos de seguridad
• Algunos ejemplos son:
– El proceso Neighbor Discovery usado por IPv6 puede ser aprovechado
por un usuario malicioso para lanzar un ataque MAN-IN-THE-MIDDLE,
similar a los ataques ARP en IPv4
– Si una red IPv4 usa NAT, la dirección privada (global Interna) puede no
ser visible a los dispositivos en Internet. Sin embargo, NAT no es usado
en las redes IPv6, las direcciones IPv6 de los dispositivos de red ya no
están ocultas
• Para mitigar estas amenazas, Cisco recomienda el uso de
Firewall con Estado. Adicionalmente, los protocolos IPv6 cuyas
funciones son innecesarias deben ser deshabilitados
Soporte BGP para IPv6
• Fundamentos de MP-BGP
– MP-BGP permite consolidar varios tipos de protocolos bajo una sola
configuración BGP
– Estos tipos de protocolos son llamados address families, e incluyen
• Unicast IPv4
• Multicast IPv4
• Unicast IPv6
• Multicast IPv6
– Existen varios otros tipos de address families, pero en este curso
solo se revisarán las IPv4 e IPv6
Soporte BGP para IPv6
• MP-BGP contiene varios nuevos elementos y características
no encontradas en BGP-4:
– Address Family Identifier (AFI): especifica el tipo de dirección usada por las
Address Family
– Subsequent Address Fanily Identifier (SAFI): permite información adicional de
las Address Family para otras Address Families
– Multiprotocol Reachable Network Layer Reachability Information
(MP_REACH_NLRI): un atributo que transporta una colección de redes
alcanzables, junto a información de siguiente salto
– Multiprotocol Unreachable Network Layer Reachability Information
(MP_UNREACH_NLRI): un atributo que tansporta una colección de redes
inalcanzables
– BGP Capatibilities Advertisement: usado por un router para indicarle a un
router vecino sus capacidades BGP, usado durante las negociaciones BGP
Enrutamiento IPv6 sobre una sesión BGP-4
• Los routers MP-BGP pueden intercambiar actualizaciones para
varias Address Families sobre una sesión BGP IPv4
• Los pasos para configurar enrutamiento IPv6 sobre una sesión
BGP IPv4 son:
– Habilitar enrutamiento IPv6 con el comando ipv6 unicast-routing
– Crear un mapa de rutas usando el comando route-map
route_map_name
– Especificar la dirección IPv6 de la interface del router conectado a un
vecino como dirección IPv6 de siguiente salto, usando el comando set
ipv6 next-hop ipv6-address, en la configuración del mapa de rutas
– Definir el sistema autónomo BGP con el comando router bgp as-
number
BGP IPv4 son:
– Definir un vecino BGP IPv4 con el comando neighbor
neighbor_ipv4_address remote-as
– Ingresar al modo de configuración ADDRESS FAMILY con el comando
address-family ipv4
– Especificar cuales interfaces participan en la address family IPv4
usando uno o más comandos network ipv4-network_address [mask
subnet_mask] en el modo de configuración de Address Family
– Salir del modo de configuración Address Family IPv4
– Ingresar al modo de configuración Address Family IPv6 con el
comando address-family ipv6
BGP IPv4 son:
– Especificar cuales interfaces participan en el address family IPv6
usando uno o mas comandos network ipv6_network_address/prefix-
length
– Activar la vecindad BGP para la address family con el comando
neighbor neighbor_ipv4_address activate
– Asociar el mapa de rutas recién configurado con el vecino usando el
comando neighbor neighbor_ipv4_address route-map
route_map_name out
• EL siguiente ejemplo ilustra la secuencia de instrucciones
CONFIGURACIÓN EN R1
ipv6 unicast-routing
! *** OUTPUT OMITTED ***
router bgp 64701
neighbor 198.51.100.2 remote-as 64702
!
address-family ipv4
network 192.0.2.0
neighbor 198.51.100.2 activate
exit-address-family
!
address-family ipv6
network 2000:1::/64
neighbor 198.51.100.2 route-map IPV6-NEXT-HOP out
exit-address-family
route-map IPV6-NEXT-HOP permit 10
set ipv6 next-hop 2000:2::1
CONFIGURACIÓN EN R2
router bgp 64702
!
address-family ipv4
network 203.0.113.0
exit-address-family
!
address-family ipv6
network 2000:3::/64
exit-address-family
*** ROUTER R1 ***
R1# show ipv6 route
IPv6 Routing Table - default - 6 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, R - RIP, H - NHRP, I1 - ISIS L1
I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP
EX - EIGRP external, ND - ND Default, NDp - ND Prefix, DCE - Destination
NDr - Redirect, O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1
OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2, l - LISP
C 2000:1::/64 [0/0]
via FastEthernet0/0, directly connected
L 2000:1::1/128 [0/0]
via FastEthernet0/0, receive
C 2000:2::/64 [0/0]
L 2000:2::1/128 [0/0]
B 2000:3::/64 [20/0]
via FE80::C801:13FF:FE74:8, FastEthernet0/1
L FF00::/8 [0/0]
via Null0, receive
*** ROUTER R2 ***
R2# show ipv6 route
B 2000:1::/64 [20/0]
via FE80::C800:13FF:FE74:6, FastEthernet0/0
C 2000:2::/64 [0/0]
L 2000:2::2/128 [0/0]
C 2000:3::/64 [0/0]
L 2000:3::1/128 [0/0]
L FF00::/8 [0/0]
via Null0, receive
Enrutamiento IPv6 sobre sesión BGP IPv6
• Se puede crear una sesión IPv6 BGP entre dos routers y que
anuncien redes IPv6 sobre dicha sesión
BGP IPv6 son:
– Habilitar enrutamiento IPv6 con el comando ipv6 unicast-routing
– Definir el sistema autónomo BGP usando el comando router bgp as-
number
– Definir una vecindad BGP IPv6 con el comando neighbor
neighbor_ipv6_address remote-as
– Ingresar al modo de configuración ADDRESS FAMILY para IPv6 con el
comando address-family ipv6
BGP IPv6 son:
– Especificar cuales interfaces participarán en la ADDRESS FAMILY IPv6
usando uno o varios comandos network
ipv6_network_address/prefix-length
– Activar la vecindad BFP para la ADDRESS FAMILY IPv6 con el comando
neighbor neighbor_ipv4_address activate
• En este caso no se requiere la configuración de un mapa de
rutas para especificar la dirección del siguiente salto IPv6, ya
que los vecinos ya tienen configurado IPv6
• Para esto, se muestra el siguiente ejemplo
CONFIGURACION DE R1
router bgp 64701
neighbor 2000:2::2 remote-as 64702
!
address-family ipv4
no neighbor 2000:2::2 activate
exit-address-family
!
address-family ipv6
network 2000:1::/64
neighbor 2000:2::2 activate
exit-address-family
CONFIGURACION DE R2
router bgp 64702
bgp log-neighbor-changes
neighbor 2000:2::1 remote-as 64701
!
address-family ipv4
no neighbor 2000:2::1 activate
exit-address-family
!
address-family ipv6
network 2000:3::/64
neighbor 2000:2::1 activate
exit-address-family
VERIFICACIÓN EN R1
R1# show ipv6 route
C 2000:1::/64 [0/0]
L 2000:1::1/128 [0/0]
C 2000:2::/64 [0/0]
L 2000:2::1/128 [0/0]
B 2000:3::/64 [20/0]
via FE80::C804:12FF:FEA8:8, FastEthernet0/1
L FF00::/8 [0/0]
via Null0, receive
VERIFICACIÓN EN R2
R2# show ipv6 route
B 2000:1::/64 [20/0]
via FE80::C803:12FF:FEA8:6, FastEthernet0/0
C 2000:2::/64 [0/0]
L 2000:2::2/128 [0/0]
C 2000:3::/64 [0/0]
L 2000:3::1/128 [0/0]
L FF00::/8 [0/0]
via Null0, receive
Filtrado de Rutas IPv6 con Listas de Prefijos
• Existen varios mecanismos para implementar filtrado de rutas
IPv6, tales como listas de prefijos o mapas de rutas, tanto
entrantes como salientes
• La siguiente lista muestra el orden en que son aplicadas estas
diferentes técnicas:
– Orden de operación para filtrado de rutas BGP IPv6 entrantes
• Mapa de rutas entrante
• Lista de filtros entrante
• Lista de prefijos entrante
– Orden de operación para filtrado de rutas BGP IPv6 salientes
• Lista de prefijos saliente
• Lista de filtros saliente
• Mapas de rutas saliente
• El siguiente esquema
muestra el uso de listas de
prefijos
CONFIGURACIÓN INICIAL DE R2
R2# show run
... OUTPUT OMITTED ...
router bgp 64702
bgp log-neighbor-changes
!
address-family ipv4
network 203.0.113.0
exit-address-family
!
address-family ipv6
network 2000:3::/64
network 2000:A::/96
network 2000:B::/96
network 2000:C::/64
network 2000:D::/64
exit-address-family
... OUTPUT OMITTED ...
TABLA DE ENRUTAMIENTO INICIAL IPv6 EN R1
R1# show ipv6 route
C 2000:1::/64 [0/0]
L 2000:1::1/128 [0/0]
C 2000:2::/64 [0/0]
L 2000:2::1/128 [0/0]
B 2000:3::/64 [20/0]
via FE80::C801:10FF:FED0:8, FastEthernet0/1
B 2000:A::/96 [20/0]
B 2000:B::/96 [20/0]
B 2000:C::/64 [20/0]
B 2000:D::/64 [20/0]
L FF00::/8 [0/0]
via Null0, receive
CONFIGURACION DE LA LISTA DE PREFIJOS EN R2
R2# conf term

R2(config)# ipv6 prefix-list SMALL_NETS seq 10 permit 2000::/16 ?
ge Minimum prefix length to be matched
le Maximum prefix length to be matched
<cr>
R2(config)# ipv6 prefix-list SMALL_NETS seq 10 permit 2000::/16 le 64
R2(config)# router bgp 64702
R2(config-router)# address-family ipv6
R2(config-router-af)# neighbor 198.51.100.1 prefix-list SMALL_NETS out
R2(config-router-af)# end
R2# clear ip bgp * soft
TABLA DE ENRUTAMIENTO IPv6 FINAL EN R1
R1# show ipv6 route

C 2000:1::/64 [0/0]
L 2000:1::1/128 [0/0]
C 2000:2::/64 [0/0]
L 2000:2::1/128 [0/0]
B 2000:3::/64 [20/0]
B 2000:C::/64 [20/0]
B 2000:D::/64 [20/0]
L FF00::/8 [0/0]
via Null0, receive
Filtrado de Rutas IPv6 con Local_Pref
• A veces se debe configurar un sistema para tener cierto
control de la selección de rutas salientes
• Esto se puede hacer, como se ha visto antes, manipulando el
parámetro Local_Preference
• Así como se hizo en IPv4, esto se puede repetir en IPv6
• El siguiente esquema ilustra la configuración de este
parámetro
VERIFICACIÓN TABLA BGP EN R1
R1# show bgp ipv6 unicast
BGP table version is 5, local router ID is 198.51.100.5
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 2000:1::/64 :: 0 32768 i
* 2000:2::/64 2000:2::2 0 0 64702 i
*> :: 0 32768 i
* 2000:3::/64 2000:3::2 0 0 64703 i
*> :: 0 32768 i
* 2000:4::/64 2000:3::2 0 0 64703 i
*> 2000:2::2 0 0 64702 i
CONFIGURACIÓN LOCAL PERFERENCE EN R1
R1# conf term
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)# route-map LP-R2
R1(config-route-map)# set local-preference 50
R1(config-route-map)# exit
R1(config)# route-map LP-R3
R1(config-route-map)# set local-preference 150
R1(config-route-map)# exit
R1(config)# router bgp 64701
R1(config-router)# address-family ipv6
R1(config-router-af)# neighbor 198.51.100.2 route-map LP-R2 in
R1(config-router-af)# neighbor 198.51.100.6 route-map LP-R3 in
R1(config-router-af)# end

IPV6

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

IPV6

Cargado por

Copyright:

Formatos disponibles

CAT5501 – Configuración Avanzada de Routers

AfriNIC Continente Africano www.afrinic.net

RIPE Europa, Medio Oriente y Asia

PARTE 4. CONECTIVIDAD IPV6 A

R2# conf term

R1# show ipv6 route

También podría gustarte