La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Jornadas Técnicas RedIRIS 2003 Palma de Mallorca Guía de IPv6 Grupo de Coordinación iris-ipv6.

Presentaciones similares


Presentación del tema: "Jornadas Técnicas RedIRIS 2003 Palma de Mallorca Guía de IPv6 Grupo de Coordinación iris-ipv6."— Transcripción de la presentación:

1 Jornadas Técnicas RedIRIS 2003 Palma de Mallorca Guía de IPv6 Grupo de Coordinación iris-ipv6

2 JT iris-ipv6 2 Agenda z¿por qué IPv6? zCabecera IPv6 zDireccionamiento zAutoconfiguración zDNS zConfiguración de routers zRouting zMecanismos de transición zMigración de una red zSeguridad

3 JT iris-ipv6 3 Por qué IPv6 zPara tener más direcciones. Es la razón principal zSi yo no necesito más direcciones… yIPv6 está de moda -> muchos proyectos yLa gente va añadiendo soporte, será necesario soportar IPv6 para no quedarse atrás yFacilita las conexiones end-to-end zTécnicamente: ySeguridad en capa de red yIPsec es un añadido para IPv4 yAutoconfiguración yRouting más eficiente, jerárquico yAprender de los errores-delegación de dir. sin optimización ni agregación yCabecera más sencilla

4 JT iris-ipv6 4 Por qué IPv6 zY cada vez hay más dispositivos conectados a una red de datos zAhora… zAntes…

5 JT iris-ipv6 5 Por qué IPv6 zEn los países con carencia (teórica) de direccionamiento, la implantación de IPv6 es mayor zEn el resto, la demanda surgirá a medida que aumente el número de cacharros conectados a Internet zEmpresas comerciales como Sony o Microsoft incluirán IPv6 en sus productos zAsí será necesario soportar IPv6 para no estar desconectado de una parte de la red. zDe todas formas…posiblemente IPv4 no desaparecerá nunca

6 JT iris-ipv6 6 Un vistazo a la cabecera zLa cabecera es más sencilla

7 JT iris-ipv6 7 Campos de la cabecera zClass es el type of service de IPv4, que se ha cambiado de nombre zHop limit es el time to live de IPv4 zFlow label, utilizado en QoS zPayload length es la longitud de los datos zNext header, la siguiente cabecera ySe simplifica la cabecera, y si hay más cosas, se ponen en cabeceras contiguas zNo hay checksum zNo hay fragmentación, sólo extremo a extremo yMTU discovery

8 JT iris-ipv6 8 Extensiones de cabecera e ICMP zTipos de extensiones de cabecera: yRouting yFragmentación yOpciones Hop-by-Hop yOpciones de destino yAutenticación zICMP yCompletamente nuevo yIncluye IGMP

9 JT iris-ipv6 9 Direccionamiento zHay unicast, anycast y multicast (pero de 128 bits): muchas yDNS básico (como es hexadecimal, hay truquitos…) zNo hay broadcast (mcast hace su papel) yP.ej.:todo 0s y todo 1s son direcciones válidas zSintaxis: yaaaa:bbbb:cccc:dddd:eeee:ffff:0000:1111 yPueden suprimirse un bloque de ceros por :: yNo hay máscaras, sino /número bits (notación CIDR)

10 JT iris-ipv6 10 Direccionamiento zEste es el formato de una dirección: zLas direcciones unicast «globales» empiezan por 001 ytodo lo que se ve ahora en la tabla de rutas es 2001::… o 3ffe::… zA cada centro se asigna un /48 yGlobal routing prefix zUna red es un /64 (o sea, el equivalente a una clase C, más o menos…) yID Interfaz z¡Tengo 16 bits para direccionar mi centro! yID Subred ID interfazprefijo global routingID subred

11 JT iris-ipv6 11 Distribución de mis direcciones zEn RedIRIS me han dado 2001:720:cafe::/48 y¿Qué hago? zSe puede dejar asignado todo el direccionamiento de un tirón, y despreocuparnos zLo primero, tener en cuenta que, por ejemplo y2001:720:cafe:f000::/55 nos obliga a crear dos ficheros en la configuración del DNS, para un mismo prefijo (nibble bit): y2001:720:cafe:f000/56 y2001:720:cafe:f100/56 yMejor evitar molestias innecesarias zPensar en reservar zNo pensar en desperdiciar (como hay tanto...)

12 JT iris-ipv6 12 Asignación de direccionamiento zTened en cuenta: yA redes finales un /64 ySe recomienda un /64 para interfaces de routers yNosotros usamos un /126 (4 direcciones) yGÉANT también yEn otras redes un /127, /117, … zEntonces, podemos asignar un /56 a cada facultad/edificio/sede/lo-que-sea yTenemos para 256 (56-48=8 bits, 2^8=256) yY cada uno de ellos tiene para 256 redes (64-56=8 bits, 2^8=256)

13 JT iris-ipv6 13 Asignación de direccionamiento zDe ese rango, un trozo inicial se puede usar para direccionamiento del core, direccionamiento para proyectos, etc... zPor ejemplo, reservo los 32 primeros /56 para estas cosas: yDe 2001:720:cafe:0000/56 yA 2001:720:cafe:1f00/56 son míííos, ¡mi tesssoro! zPor sencillez, elegimos 2001:720:cafe:0000/56 para las interfaces del core (lo primero es lo primero) zLas interfaces de los routers de cada centro, se eligen del rango específico yBuscad la agregación

14 JT iris-ipv6 14 Asignación de direccionamiento zEntonces, si reservamos un /56 por cada asignación que hagamos, quedaría como sigue: y2001:720:cafe:2000/56 - centro 1 y2001:720:cafe:2001/56 - reservado y2001:720:cafe:2002/56 - centro 2 y2001:720:cafe:2003/56 - reservado y... zInterfaces de los routers: yAlgo fácil de recordar ySi IPv4 es , IPv6 es 2001:cafe::8 y¡Hay letras! (hexadecimal) yegrep ^[a-foA-FO]{4}.$

15 JT iris-ipv6 15 Direcciones de hosts z¿Cómo configuro mis máquinas? zCuando está habilitado IPv6 en un host, ya tengo una dirección link-local yAlgo así como direccionamiento privado yEmpieza por fe80: yNo enrutable yEs única en la red local yEsta dirección se configura automáticamente usando el identificador de interfaz yfe80:: ySe usan para descubrimiento de vecino y descubrimiento de router

16 JT iris-ipv6 16 Direcciones de hosts zEl Identificador de interfaz yLos últimos 64 bits de la dirección yÚnico en cada red local yDir. IPv6 orientada a interfaz, no a host yLa dir. MAC está mapeada (no siempre, ya que la dir. IPv6 también se puede configurar manualmente). yConfiguración automática (no es DHCPv6, aunque también exista): yA partir de la dirección MAC yEUI-48 (IPv4) a EUI-64 (IPv6) yLa dirección se configura automáticamente gracias a los mensajes router advertisement y router solicitation yLos hosts descubren automáticamente a los routers

17 JT iris-ipv6 17 Direcciones de hosts zUn ejemplo: zEl router anuncia 3ffe:3328:5:1::/64 zLa MAC de mi máquina es y00:60:08:3a:9e:b7 zMi ID de interfaz EUI-64 se construye como: y0260:08ff:fe3a:9eb7 y02 60:08 ff:fe 3a:9eb7 es la dir. MAC sin el 00: ySe inserta ff:fe yEl 02 del comienzo: y Este bit indica dir. Universal/Local zPor lo tanto, mi dirección será y3ffe:3328:0005:0001: 0260:08ff:fe3a:9eb7 z¡Ah! Mi dirección de loopback es ::1

18 JT iris-ipv6 18 Direcciones en mi red z¿Cómo se completa la dirección con el prefijo que anuncia el router? zSe necesita: yDireccionamiento multicast yDireccionamiento multicast de solicitud de nodo yEn los nodos yLink-local address yDirección multicast para todos los nodos yDirección multicast de solicitud de nodo yDirección de loopback yICMPv6 yProtocolo de descubrimiento de vecino

19 JT iris-ipv6 19 Direcciones multicast zDirecciones multicast: yEmpiezan por yF F 0 0 Flags: 0,1 (permanente, no permanente) Ámbito:1,2,5,8,e (nodo, link, site, organización, global) yFF02::1 Todos los nodos de una red yFF02::2 Todos los routers de una red zDirección multicast de solicitud de nodo yFF02:0:0:0:0:1:FF00::/104 yLos últimos 24 bits son los de la parte más baja de la dirección IPv6 del nodo

20 JT iris-ipv6 20 Autoconfiguración zEl protocolo utilizado para la autoconfiguración de los nodos es el neighbor discovery (descubrimiento de vecino) zEl host pide al router que mande un mensaje de Router Advertisement inmediatamente mediante un mensaje de solicitud de router yICMP de tipo 133 zLos routers mandan un mensaje de router advertisement periódicamente yICMP de tipo 134 ySe incluye el prefijo que anuncia el router, con un tiempo de vida

21 JT iris-ipv6 21 Autoconfiguración zUn nodo manda un mensaje de solicitud de vecino para determinar la dirección de enlace de un vecino yICMP de tipo 135 zSe manda un mensaje de neighbor advertisement como respuesta al mensaje anterior yICMP de tipo 136 zLos routers mandan mensajes de cambio o redirección de router para encontrar el mejor salto para un destino

22 JT iris-ipv6 22 Autoconfiguración zLa configuración de un host puede ser entonces: yManual o por DHCP (stateful) yAutomática (stateless) zEn el caso de configuracion automática, ¿cómo detecto direcciones duplicadas? yHago un join a FF02::1 (todos los nodos de la red) yHago un join a la dir. multicast de solicitud de nodo, la última parte de la dir. será la de la dir. IPv6 que se quiere comprobar ySe manda un mensaje de solicitud de vecino en la dir. multicast de solicitud de nodo ySi no se recibe un mensaje de neighbor advertisement entonces ¡¡¡la dir. es buena!!!

23 JT iris-ipv6 23 zEjemplo: zPC1 tiene 3ffe:8::F1 yDir. de solicitud de nodo FF02::1:FF00:F1 zPC2 tiene 3ffe:8::F2 yDir. de solicitud de nodo FF02::1::FF00:F2 zEntra PC3 yIntento 3ffe:8::F3 yJoin a FF02::1 yJoin a FF02::1:FF00:F3 yManda un mensaje de solicitud de vecino a esta dir. yEscucha la respuesta en FF02::1 Autoconfiguración

24 JT iris-ipv6 24 Ethernet zEn una red Ethernet los host IPv6 usan el ID de interfaz EUI-64 yRecordad: el bit aquel, que indica si es local (0) o global (1), en este caso es 1, es decir, global: globalmente único zSe utiliza la solicitud de vecino para obtener una dirección de nivel de enlace yYa no hay ARP zUna cosa más respecto al direccionamiento yLas direcciones Site-local no se van a tener en cuenta

25 JT iris-ipv6 25 Direcciones anycast zQueda un tipo de direcciones por ver: direcciones anycast ySe usan para un grupo de interfaces que tienen la misma dirección yUn paquete enviado a esta dirección va al host más cercano que tenga esa dirección yLa cercanía se puede medir con un protocolo de routing yPuede usarse para redundancia o balanceo, como VRRP o HSRP

26 JT iris-ipv6 26 Configuración de routers en mi red zPara no tener que configurar mi host manualmente, en un CISCO pongo en la interfaz Ethernet: ipv6 nd prefix-advertisement onlink autoconfig zY en mi Juniper pongo: router-advertisement { interface fe-1/3/0.0 { prefix 2001:720:4:0::/64; }

27 JT iris-ipv6 27 Autoconfiguración de mi host zEntonces, si mi maquina tiene activado IPv6… yEn mi dirección de loopback aparece ::1/128 Scope: Host yEn las interfaces aparece una link-local: eth0 Link encap:Ethernet HWaddr 00:60:08:3A:9E:B7 inet addr: Bcast: Mask: inet6 addr: fe80::260:8ff:fe3a:9eb7/10 Scope:Link … zMi máquina se va a configurar «sola» (y tanto rollo anterior, ¿para qué?), a través del prefijo que anuncia el router, pasando a tener conectividad IPv6 total: eth0 Link encap:Ethernet HWaddr 00:60:08:3A:9E:B7 inet addr: Bcast: Mask: inet6 addr: 3ffe:3328:5:1:260:8ff:fe3a:9eb7/64 Scope:Global inet6 addr: fe80::260:8ff:fe3a:9eb7/10 Scope:Link

28 JT iris-ipv6 28 Tabla de rutas en mi host z¿Qué rutas tengo? /root]# netstat -nr -Ainet6 Kernel IPv6 routing table Destination Next Hop Flags Metric Ref Use Iface ::1/128 :: U lo 3ffe:3328:5:1:260:8ff:fe3a:9eb7/128 :: U lo 3ffe:3328:5:1::/64 3ffe:3328:5:1::1 UG eth0 3ffe:3328:5:1::/64 :: UA eth0 2000::/3 3ffe:3328:5:1::1 UG eth0 fe80::210:5aff:fed0:3550/128 :: U lo fe80::260:8ff:fe3a:9eb7/128 :: U lo fe80::/10 :: UA eth0 fe80::/10 :: UA eth1 ff00::/8 :: UA eth0 ff00::/8 :: UA eth1

29 JT iris-ipv6 29 Tabla de rutas en mi host zTengo rutas para yMi prefijo yDirecciones link-local yDirecciones multicast y2000::/3 yEsto es el equivalente a la dir. utilizada para la ruta por defecto ::0/0 yRecordad que las direcciones unicast enrutables globales son las que empiezan por 001 yEl router _NO_ anuncia la ruta por defecto en este tipo de autoconfiguración yUna alternativa, DHCP zEn resumen, es bastante sencillo tener IPv6 plenamente operativo en mis hosts

30 JT iris-ipv6 30 Configuración manual zMis hosts también los puedo configurar manualmente, al estilo IPv4: zhttp://www.bieringer.de/linux/IPv6/ /etc/sysconfig/network NETWORKING_IPV6=yes #Valores por defecto de los dos siguientes parametros: no/yes #Si habilitamos IPv6 forwarding se deshabilita la autoconfiguracion #La unica forma de deshabilitar la autoconfig es habilitar el ipv6 forwarding IPV6FORWARDING=yes #IPV6_AUTOCONF=no IPV6_DEFAULTGW=2001:720:418:CAFE::1 IPV6_DEFAULTDEV=eth0

31 JT iris-ipv6 31 Configuración manual /etc/sysconfig/network-scripts/ifcfg-eth0 IPV6INIT="yes" IPV6ADDR="2001:720:418:CAFE::XXX/64 /etc/sysconfig/static-routes-ipv6 (Posiblemente haya que crear el fichero) eth0 2000::/3 2001:720:418:CAFE::1

32 JT iris-ipv6 32 ¿Qué pasa con Windows? z¿Si mi máquina es Windows? ySi es Windows 98, mejor actualizo ySi es Windows 2000, debo instalar SP2 yhttp://msdn.microsoft.com ySi es Windows XP: Sin SP1 yHay que activarlo (Developer Preview) yNO permite consultas DNS sobre IPv6 Con SP1 yViene ya, se supone que es parte integral yEn cualquier caso yhttp://www.microsoft.com/ipv6 yPodemos probar mensajería sobre IPv6 yhttp://www.threedregrees.com

33 JT iris-ipv6 33 A tener en cuenta… zPero, ahora las aplicaciones se comportan de manera diferente, ¡¡IPv6 siempre irá antes que IPv4!! yPrimero me preguntarán por IPv6 (timeout…) ySi la aplicación está bien hecha me preguntará por IPv4 zHay que tener mucho cuidado a la hora de poner un servicio en producción en IPv6 yEntonces debe tener tan buena conectividad como IPv4, si no queremos degradación del servicio zHay que ser muy cuidadosos a la hora de configurar una dirección IPv6 en el DNS y¡Negación del servicio!

34 JT iris-ipv6 34 DNS zYa tengo configurado los hosts de mi red, así como mi router yEs aconsejable el DNS, debido a la longitud de mis direcciones zBind v9 soporta peticiones IPv6 yPeticiones IPv6 sobre IPv6: y options{ listen-on-v6 { any; }; } yPeticiones IPv6 sobre IPv4

35 JT iris-ipv6 35 DNS zSe recomienda que mi_centro.es sea el mismo, es decir, no crear una zona especial para IPv6 (del tipo ipv6.mi_centro.es) ySin embargo, puede ser peligroso para los servicios ya en producción yDurante un tiempo de pruebas, es mejor ftp.ipv6.mi_centro.es que ftp.mi_centro.es yEn cualquier caso, suponemos que usamos la misma zona directa zZona directa yUtiliza los mismos ficheros de configuración que IPv4 (en vez de un registro A, es uno AAAA)

36 JT iris-ipv6 36 DNS zZona inversa: yA6/DNAME/bitlabels desechadas yA pesar de todo, en la documentación de Bind 9, por ej. se indica lo contrario y\[x /32].ip6.arpa NO VALE yRIPE no las delega yCuidado con las versiones antiguas de glibc en Linux, porque miran este formato ynslookup utiliza este formato al consultar resolución inversa yAAAA/nibble bit es el formato a usar

37 JT iris-ipv6 37 DNS zZona inversa (cont.) yNotación nibble-bit con.int y ip6.int (que es 2001:0720) yLa antigua usada por el 6bone para 3ffe: yA desechar yTodavía se mantiene para tener compatibilidad con aplicaciones antiguas yRIPE soporta esta delegación

38 JT iris-ipv6 38 DNS zZona inversa (cont.) yNotación nibble-bit con.arpa: es la buena y ip6.arpa yZona a utilizar, los root servers están configurados para soportar este formato yLa que se recomienda y la que delega RIPE yLas últimas versiones de glibc soportan este formato yProblema, e.f.f.3.ip6.arpa todavía no está delegado, y las últimas versiones de glibc no son capaces de resolver ySólo preguntan por e.f.f.3.ip6.arpa yHabría que preguntar por e.f.f.3.ip6.int

39 JT iris-ipv6 39 DNS zZona inversa (cont.) zRedIRIS delega: yNibble-bit con.int yNibble-bit con.arpa yNO se delega bitstrings con.arpa yAunque se pueden configurar de manera local para la zona, sólo para comprobar la configuración zEs conveniente tener actualizada la glibc zLas aplicaciones deben preguntar por nibble bit con.arpa y ip6.arpa es la buena (por ahora) yFormato soportado por Bind 8 y Bind 9

40 JT iris-ipv6 40 Aplicaciones zActualmente, la mayoría de aplicaciones, traen soporte IPv6, al menos en sus últimas versiones. O si no, basta con un parche. zBind, Apache, Mozilla, sendmail, clientes de correo, news, NTP, aplicaciones de red (ping, traceroute, etc...). zEn muchas de ellas, hace falta compilar el soporte, y luego configurarlas. Ejemplo: Bind o sendmail (fichero M4): yDAEMON_OPTIONS(Name=MTA-v4, Family=inet) yDAEMON_OPTIONS(Name=MTA-v6, Family=inet6)

41 JT iris-ipv6 41 Routers zCisco: soporte sin problemas desde la 12.2 o 12.3 yLamentablemente para los Catalyst 6000… yNecesario nueva procesadora para soporte Hardware yHabilito IPv6 ipv6 unicast-routing yConfiguro los interfaces ipv6 address ….. yRouting yEstático – ipv6 route yDinámico – ISIS, RIP, OSPF ipv6 router isis 766 yDinámico – BGP address family ipv6 unicast neighbor …. network …. yEn general, ipv6 en lugar de ip.. ipv6 access-list 101 permit any ipv6 access-class 101 in

42 JT iris-ipv6 42 Routers zJuniper: soporte sin problemas desde la version 5.x zRouting integrado zHabilito interfaces family inet6 address … zConfiguro protocolos de routing y RIBs yAl estilo IPv4, siempre IPv6 bajo family inet6 yEstático: yBajo [routing-options rib inet6.0] static route next-hop yDinámico yIgual a IPv4, pero bajo family inet6 yPolíticas, filtros, etc. family inet6

43 JT iris-ipv6 43 Routing zUna vez configurado mi router, la salida hacia Internet v6 la hago a través de RedIRIS: ipv6 route ::/0 zSi mi router de salida no tiene soporte IPv6, podemos utilizar un túnel, aunque la idea es conseguir conectividad nativa. zEl routing es similar a IPv4 yTened en cuenta la agregación y¡Cread topologías consistentes!

44 JT iris-ipv6 44 Mecanismos de transición zDual-stack, todos mis equipos con soporte IPv4/IPv6 yEl más aconsejable yPermite realizar una migración periódica, con soporte gradual de las aplicaciones a IPv6. zMecanismos de transición basados en túneles yEncapsulación de tramas IPv6 en IPv4 yMétodos manuales (túneles) yISATAP y6to4 zMecanismos de transición basados en traducción de direcciones yUna extensión de las técnicas de NAT yLos nodos IPv6 están detrás de un traductor

45 JT iris-ipv6 45 Túneles zManuales yEspecifico explícitamente la dir. IPv4 origen y destino de mi túnel, y el prefijo IPv6 usado en la interfaz tunnelx yPara compatibilidad Cisco-Juniper es conveniente usar tipo GRE yPuedo usar un túnel configurado en mi conexión IPv6 a RedIRIS, si mi router de salida no soporta IPv6. zAutomáticos yAl nodo se le asigna una dirección IPv6 de tipo compatible IPv4 y::

46 JT iris-ipv6 46 Túneles z6to4 yConecto dos mundos IPv6 separados por un mundo IPv4 yEl router de salida crea un túnel 6to4 al otro dominio yLas dir IPv4 de los extremos del túnel están identificados en el prefijo del dominio IPv6 ySe utiliza el prefijo 2002::/16

47 JT iris-ipv6 47 Migración de mi red zAsí, para migrar toda la red a IPv6, tenemos estos problemas yMis routers no soportan IPv6 yActualizarlo, o bien, utilizar un router Linux, o un router alternativo, con un túnel a RedIRIS. yTengo un Catalyst 6xxx/76xx de salida (un caso en sí mismo) yIOS estable para ese equipo no tiene soporte IPv6 yEn este caso es mejor utilizar un router alternativo, y crear un túnel hasta RedIRIS yTengo un cortafuegos de salida yHasta ahora hay pocas soluciones y¿Más cosas?

48 JT iris-ipv6 48 Migración de mi red Migración a nivel 2, integrar un router IPv6 en la misma vlan Core Router Switch Pequeño router IPv6

49 JT iris-ipv6 49 Migración de mi red Es una migración más natural, incluyendo dual-stack Core Switch Core Router v4 Switch1 Switch2 Router IPv6 (v4 y v6) Host v4/v6 VLAN1 VLAN2 VLAN1 VLAN2 Host v4

50 JT iris-ipv6 50 Migración de mi red Migración a nivel 3, con 6to4 Core Router 6to4 Router1 Router2 Host 6to4

51 JT iris-ipv6 51 Seguridad zRespecto a las consideraciones de seguridad, el soporte de cortafuegos + IPv6 + túneles, etc… no está muy extendido zAunque IPv6 tiene como parte intrínseca del protocolo a IPsec yIgual que en IPv4, pero en este caso como parte del protocolo (cabecera de seguridad) zEn cualquier caso, la seguridad es bastante alta…puesto que casi nadie tiene IPv6 :-)

52 JT iris-ipv6 52 IPv6 en el mundo zEn la tabla de routing se verá: y2002::/16 yPrefijos 6to4 y2001::… yAsignaciones de RIPE, ARIN, etc… y3ffe::… yDel 6bone yTiende a desaparecer – 6/6/2006 fin del proyecto yMalla de túneles yCada vez más empieza a haber sitios web con IPv6 yPodemos leer El Mundo utilizando IPv6 yTambién podemos jugar al Quake yY bastantes FTPs y webs, sobre todo de universidades y centros de investigación, tienen soporte IPv6 ySólo un root server (F) DNS con conectividad IPv6

53 JT iris-ipv6 53 Finalmente… zLas direcciones IPv4 NO se acabarán en el 2005 y¿2010?, ¿2020? zIPv4 posiblemente no desaparezca… zUn periodo muuuuuuuuuy largo de convivencia zConviene familiarizarse con IPv6, e ir implantándolo en nuestras redes


Descargar ppt "Jornadas Técnicas RedIRIS 2003 Palma de Mallorca Guía de IPv6 Grupo de Coordinación iris-ipv6."

Presentaciones similares


Anuncios Google