· pdf file- los siguientes 16 bits se utilizan para definir subredes dentro de la...

19
------------------------------------------------------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------------------------------------------------------ Module 8: Implementing IPv6 ------------------------------------------------------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------------------------------------------------------ /64 prefijo es igual que mascara de red IPv6: Espacio de direcciones mucho mayor: De 32 bits pasamos a 128. (33 bits tiene el doble de direcciones que 32 bits, 34 bits tienen el doble que 33 bits) Cada habitante del planeta podria tener 4.000.000.000 IoT (Internet of things). Stateless IPv6 no es imprescindible el uso de un servidor DHCP para entregar direcciones ip dinamicas a los clientes. Basta con que el router (gateway) “anuncie” en la red cual es su prefijo y los clientes se autoconfiguran siguiendo ese prefijo. En este caso hsablamos de STATELESS Podemos seguir usando servidores DHCP para IPv6 y el esquema se denominaria STATEFULL IPv6 Soporta IPSEC pero no obliga a utilizarlo IPSec es un marco de seguridad a nivel de capa 3 del modelo OSI: -Cifrado: DES, 3DES, AES, … -autenticacion mutua: SHA1, MD5, … -Intercambio de claves: IKEv2 (Internet Key Exchange). En IPv6, IPSec es nativo, aunque opcional en IPv4 debe instalarse a parte Podemos usar en IPSec en 2 modos: -AH: Authenticacion header. Solo autenticamos pero sin cifrar el contenido de los paquetes. -ESP: Encapsulation Security Payload Ciframos el contenido. End to End communications: Con la cantidad de Ips disponibles, no es necesario utilizar NAT. No es necesario contar con dispositivos que traducen direcciones. NAT interfiere negativamenete en muchos protocolos: -VoIP (Voz sobr ip): SIP, Megaco, H.323 -IPSec: Parte de la autenticacion de IPSec usa las ip de origen.

Upload: buithu

Post on 08-Feb-2018

223 views

Category:

Documents


1 download

TRANSCRIPT

Page 1: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

------------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------------

Module 8: Implementing IPv6

------------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------------

/64 prefijo es igual que mascara de red

IPv6:

Espacio de direcciones mucho mayor:

De 32 bits pasamos a 128. (33 bits tiene el doble de direcciones que 32 bits, 34 bits tienen el doble que 33 bits)

Cada habitante del planeta podria tener 4.000.000.000

IoT (Internet of things).

Stateless IPv6 no es imprescindible el uso de un servidor DHCP para entregar direcciones ip dinamicas a los clientes.

Basta con que el router (gateway) “anuncie” en la red cual es su prefijo y los clientes se autoconfiguran siguiendo ese prefijo. En

este caso hsablamos de STATELESS

Podemos seguir usando servidores DHCP para IPv6 y el esquema se denominaria STATEFULL

IPv6 Soporta IPSEC pero no obliga a utilizarlo

IPSec es un marco de seguridad a nivel de capa 3 del modelo OSI:

-Cifrado: DES, 3DES, AES, …

-autenticacion mutua: SHA1, MD5, …

-Intercambio de claves: IKEv2 (Internet Key Exchange).

En IPv6, IPSec es nativo, aunque opcional en IPv4 debe instalarse a parte

Podemos usar en IPSec en 2 modos:

-AH: Authenticacion header. Solo autenticamos pero sin cifrar el contenido de los paquetes.

-ESP: Encapsulation Security Payload Ciframos el contenido.

End to End communications:

Con la cantidad de Ips disponibles, no es necesario utilizar NAT. No es necesario contar con dispositivos que traducen

direcciones.

NAT interfiere negativamenete en muchos protocolos:

-VoIP (Voz sobr ip): SIP, Megaco, H.323

-IPSec: Parte de la autenticacion de IPSec usa las ip de origen.

Page 2: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

QoS (quality of service):

Para que paquetes de servicios supceptibles al retraso (Voz, video) tengan prioridad, se usan tecnicas QoS.

Se etiquetan los paquetes para que esten identificados.

Direcciones IPv6 Link-Local:

Para entornos con una unica subred y donde no es imprescindible el acceso a internet, tenemos con un rango de direcciones ip

equivalente a APIPA (169.254.x.x). Se denomina link-local y tiene formato: FE80:

Despues del % se indica el indice de la NIC

IPv4: ARP

IPv6: ND (Neighbor Discovery)

Page 3: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

Binario a Hexadecimal:

0: 0000

1: 0001

2: 0010

3: 0011

4: 0100

5: 0101

6: 0110

7: 0111

8: 1000

9: 1001

A (10): 1010

B (11): 1011

C (12): 1100

D (13): 1101

E (14): 1110

F (15): 1111

Convertir a hex

Se empieza por la izq coguiendo 16 bits se separan con :

1001010100101101 : 1010100101011010 : 1010101010111110 : 101010

Ahora esos 16 se dividen en trozos de 4

1001 0101 0010 1101

9 5 2 D

1010 1001 0101 1010

A 9 5 A

1010 1010 1011 1110

A A B E

IPv6

XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX

Page 4: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

Resumen de direcciones IPv6 entra en el examen

Cuando tenemos varios ceros consecutivos, podemos resumir

952D:0003:1400:FA00:0000:0000:3FB2:0001

1º eliminamos los 0’s a la izquierda en cada bloque

952D:3:1400:FA00:0:0:3FB2:1

2º Bloques de 0’s consecutivos los sustituimos por ::

952D:3:1400:FA00::3FB2:1

Sustituir bloques de 0’s consevutivos por :: solo puede hacerse en una vez en la direccion IP:

952D:0000:0000:AF2C:0000:0000:0000:3457

Incorrecto:

952D::AF2C::3457

No se puede hacer porque no sabrias en que parte entan los 0’s puede que tengas 8 0’s delante o 8 0’s detas

No sabrias cual es la ip:

952D:0000:0000:AF2C:0000:0000:0000:3457

952D:0000:AF2C:0000:0000::0000:0000:3457

952D:0000: 0000:0000:AF2C:0000:0000:3457

Correcto:

Siempre se quita el mayor numero de 0’s consecutivos

952D:0:0:AF2C::3457

Page 5: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

Localhost en IPv6

0000:0000:0000:0000:0000:0000:0000:0001

Resumida ::1

Unasigned (ipconfig /release)

0000:0000:0000:0000:0000:0000:0000:0000

Resumida ::

Una direccion IPv6 tiene una estructura jerarquica.

- Los primeros 64 bits (mas a la izq) nos indican el registrador (IANA para EEUU, RIPE para Europa, ….) , el ISP, la

empresa u organización y la subred dentro de la organización.

- Los otros 64 bits nos indican el host dentro de la subred. 2^64 unos 16 trillones de hosts por cada subred.

Direcciones IP Global Unicast: solo pueden empezar por 2 o por 3 2000::/3 o 3000::/3

Es el equivalente de las direcciones publicas de IPv4, es decir, con ellas podemos salir a internet

En IPv6, las IPs publicas siempre empiezan en sus primeros bits con 001 :

001XXXXXXXXXXXXX:XXXX……….

001000000000000 -> /3 direccion de red = 2000::/3

001111111111111 -> /3

Page 6: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

Global unicast:

- Equivalente a las direcciones ip publicas en IPv4

- Son enrutables (con ellas podemos salir a internet)

- Empiezan con 2 o 3

- En su estructura, los primeros 48 bits nos indican el registrador, el ips y la organización a la que esta asigando ese rango de IPs.

- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización.

- Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden configurar de varias formas:

- manual

- Autoconfiguracion: Stateless (sin DHCP) o Statefull (Con DHCP)

Ejemplos de IPv6 Global unicast:

2001:AFBD:1234:65FD::345F:1/64

2001:AFBD:1234:65FD::345F:2/64

Unique Local:

(Site local antiguamente – deprecated)

- Equivalentes a las direcciones ip privadas de IPv4

- Son enrutables podemos llegar a cualquiera de nuestras subredes, pero no podemos usarlas para salir a internet.

Son aquellas direcciones IPv6 que cumplen el prefijo FC00::/7

FC00::/7 -> 1111110 0::/7

FD00::/7 -> 1111110 1::/7

El 8 bit se denomina “local bit”. Si este bit es 1, la direccion es local (no es enrutable en internet). Actualmente no estan

definidas las direcciones en las que el “local bit” es 0

Actualmente solo encontraremos direcciones Unique Local que empienzan por “FD00”

Link-local:

- Son equivalentes a las APIPA.

Page 7: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

-Solo permiten la comunicación con otros host de la misma subred. No son enrutables ni en internet ni dentro de la propia

organización. No podemos usar una direccion Link-local para acceder a otra subred dentro de nuestra organización.

- basta con activar IPv6 en una interfaz para que se asigne automaticamente una direccion Link-local.

- Sustituyen a las Broadcast para varios protocolos

- Peticiones DHCP

- Peticiones Neighbor discovery

-Empiezan por FE80::/8

- Las link-local incluyen “%XX” como indice de la interfaz. La suma de IPv6 Link-local junto con su indice se conoce como Site ID o

Zone ID

Autoconfiguracion de IPv6

Stateless: el router publica su prefijo al switch (advertise) para que los clientes conectados a ese switch se autoconfiguran en la

subred del router y le apuntan a el como GW pero no le da mas datos como el DNS por ejemplo.

Practica UNIQUE LOCAL

LON-DC1

Como DNS se configura asi mismo ::1

LON-RTR para LON-DC1 VMnet2

LON-RTR para LON-SRV3 VMnet3

Page 8: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

LON-SRV3

Para conectarnos a todos los host de nuestra organizavion y tambien poder salir a internet, tenemos que usar direccione ip

global unicast

Adatum.com VMnet2: 2001:1:A:2::/64

Router: 2001:1:A:2::1/64

Lon-dc1 2001:1:A:2::A/64

Curso.adatum.com VMnet3 2001:1:A:3::/64

Router: 2001:1:A:3::1/64

Lon-srv3: 2001:1:A:3::F6/64

Configurar desde entorno grafico

Como tenemos activado las actualizaciones dinamicas se crean los nuevos registros solos

Page 9: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

Creamos un nuevo registro para el router

Si un host tiene configurado tanto IPv4 como IPv6, decimos que soporta doble stack.

Podemos tener host, servidores y dispositivos de red (routers) que soporte doble stack

Durante bastante tiempo los dispositivos que soportan IPv6 tendran que coexistir con dispositivos que solo soportan IPv4. Las

tecnologias que permiten esta coexistencia se llaman tecnologias de transicion.

Tipos de NODOS:

Page 10: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

- IPv4-only: son antiguos y solo soportan IPv4.

- IPv6-only: son nuevos, aunque raros de encontrar solo soportan IPv6

- IPv6/IPv4: Doble Stack. Desde windows vista y windows server 2008 los sistemas operativos de microsoft son doble stack.

- IPv4: esta funcionando solo con IPv4, aunque podria funcionar como IPv4/IPv6

- IPv6: esta funcionando solo con IPv6, aunque podria funcionar como IPv6/IPv4

Como hay que pasar por una red IPv4

Page 11: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

Se encapsula el paquete IPv6 en un IPv4

Ejemplo ping desde lon-dc1 a lon-srv3

Paquete ipv6

IPorigen: 2001:1:A:2::A

IPdestino: 2001:1:A:3::F6

Paquete:[datos]

Cuando llega al router mete el paquete IPv6 en un IPv4 cambiando las direcciones de destino y origen por las puertas de enlace

de los routers

Paquete ipv4

IPorigen:1.1.1.1

IPdestino:2.2.2.2

Paquete [

IPorigen: 2001:1:A:2::A

IPdestino: 2001:1:A:3::F6

Paquete:[datos]

]

El otro router desencapsula

Paquete ipv6

IPorigen: 2001:1:A:2::A

IPdestino: 2001:1:A:3::F6

Paquete:[datos]

Tecnologia de transicion

(Tunneling o encapsulado)

Permite comunicar redes IPv4 con redes IPv6

Siempre que sea posible, utilizaremos Doble stack, Pero en casos en que no pueda usarse, recurriremos a tecnologias de

transicion como:

- ISATAP (Intra-site automatic tunnelling addressing protocol). No funciona correctamente con NAT

- Teredo. Soporta NAT tecnologia de microsoft

- 6to4: tipo de tunnelling propio de Cisco No funciona correctamente con NAT.

- Port Proxy: para conectar aplicaciones (NO HOST) que solo soportan IPv4 con aplicaciones que solo soportan IPv6

ISATAP

De isla IPv6 a isla IPv4 SIN NAT

- Para trabajar con ISATAP es “obligatorio” que se pueda resolver en la red el nombre ISATAP. Lo habitual es hacerlo

con el servidor DNS:

o ISATAP -> IP_DEL_ROUTER_ISATAP

Page 12: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

El servidor DNS de microsoft tiene una lista de palabras que NO resuelve.

Por eso aunque creamos el registro ISATAP no podemos hacerle ping.

Tenemos que quitar ISATAP de la lista negra de palabras reservadas.

Eliminamos ISATAP del registro GlobalQueryBlocklist

Y reiniciamos el servidor DNS

Page 13: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

Y ya nos deja resolver el nombre ISATAP

Hacemos ip config y aparece ISATAP

Para determinar que es una ip isatap

Publica contiene 0:5EFE

Privada contiene 200:5EFE

Ademas de modificar manualmente el registro para permitir la resolucion de nombre ISATAP, hay otros metodos de

configuracion de ISATAP:

- PowerShell: Ser-NetIsatapConfiguration –Router 192.168.8.1

Page 14: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

- Netsh: netsh interface IPv6 ISATAP set router 192.168.8.1

- Directivas de grupo (GPO)

6to4:

De isla IPv6 a isla IPv6 pasando por IPv4 SIN NAT

Para activar 6to4 tenemos 2 opciones:

- Habilitar ICS (Internet Conection Sharing)

- Powershel: Set-Net6to4Configuration

TEREDO:

De isla IPv6 a isla IPv6 pasando por IPv4 CON NAT

Es el unico que permite conectar a traves de NAT.

Se necesita tener un servidor en internet de TEREDO (Microsoft dispone de su servidor TEREDO gratis)

Por defecto viene configurado en windows

PortProxy

Page 15: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

Comunica aplicaciones redirigiendo puertos

Ejercicio:

LON-DC1: 192.168.10.10/22 GW 192.168.8.1/22

LON-SRV3: 2001:1:A:3::F6 GW 201:1:A:3::1/64

Primero dejamos lon-dc1 con ipv4 solo y lon-srv3 con ipv6 solamente

Habria que habilitar la resolucion en el DNS de isatap añadiendo el registro en el DNS y quitandolo del la lista negra en el

registro.

Page 16: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

Ahora configuramos el RTR para que escuche las peticiones de ISATAP:

Set-NetIsatapConfiguration -Router 192.168.8.1

Para ver configuracion

Get-NetIsatapConfiguration

Ahora en Lon-dc1 le decimos que ya temos router ISATAP

Set-NetIsatapConfiguration -State Enabled

Si aparece esto NO esta funcionando el isatap tendria que tener una 2001:

Falta que el router anuncie su prefijo

Configuracion de stateless para que el router anuncie su prefijo

En lon-rtr

Get-NetIPAddress | Format-Table InterfaceIndex, InterfaceAlias, IPAddress

Page 17: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

Nos interesa la interfaz isatap que apunta a la 192.168.8.1

Get-NetIPInterface -InterfaceIndex 34 | Format-List

Vemos que esta desactivado el advertising y tiene que estar activado para que funcione

Indica el tiempo entre publicacion de prefijo

AdvertisedRouterLifetime : 00:30:00

Para utilizar el modo autoconfig stateless de IPv6 es necesario que la interfaz del router tenga el atributo “Advertising” en

“Enabled”. De este modo “anunciara” en la red su prefijo y los clientes se autoconfiguran con el mismo prefijo, asignandose

de forma aleatoria los 64bits de host.

Activamos el advertising

Set-NetIPInterface -InterfaceIndex 34 -Advertising Enabled

Page 18: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

Ahora le indicamos el prefijo que tiene que usar.

New-NetRoute -InterfaceIndex 34 -DestinationPrefix 2001:1:A:2::/64 -Publish Yes

Asi quedaria

Se ve que el solo se ha asigando una ip en el rango que le dimos

IPAddress : 2001:1:a:2:0:5efe:192.168.8.1

Page 19: · PDF file- Los siguientes 16 bits se utilizan para definir subredes dentro de la organización. - Los ultimos 64 bits indican el host dentro de la subred. Estos 64 bits se pueden

Despues de unos segundos o minutos en LON-DC1

Vemos que se ha asignado una ip del rango que le esta dando el Lon-rtr

Archivo donde se almacenan todos los SRV del DNS

C:\Windows\System32\config\netlogon.dns

En la reservas de ip en el dchp

DUID DHCP Unique identifier

IAID Identity Association ID