Introducción a IPv6 y mecanismos de transición

Anuncio
Introducción a IPv6 y mecanismos
de transición
Sofía Silva
Arturo Servín
Derechos de Copia de este material
} 
Algunos de los slides de esta presentación han sido
creados a través del proyecto de 6Deploy de la Unión
Europea www.6deploy.org del cual LACNIC es
partipante.
¿Por qué IPv6?
Hechos Históricos
1983 : Red académica con ~ 100 computadoras
}  1992 : Inernet se abre al sector comercial:
} 
} 
} 
} 
1993 :
} 
} 
} 
} 
Crecimiento exponencial
El IETF llama a trabajar en una nueva generación del
protocolo de IP
Terminación del espacio de clases B
Predicción del colapso de la red ¡para 1994
Se publica RFC 1519 (CIDR)
1995 :
} 
} 
Se publica RFC 1883 (IPv6 specs)
Primer RFC acerca de IPv6
Evolución del Pool Central de IANA
120
100
80
60
40
20
0
1999
2000
2001
2002
2003
2004
2005
/8
2006
2007
2008
2009
2010
2011
Espacio disponible en LACNIC
(Junio 2011)
Disponible hoy /32
71.879.680
Disponible Hoy /8
4,284
Reserva último /10
- 25%
Total
4.034 /8 = 67.685.376 IPs
Terminación IPv4 en RIRs
Fuente: Geoff Huston
http://www.potaroo.net/tools/ipv4/
Medidas Emergentes
CIDR (Classless Interdomain Routing)
}  Direcciones Privadas (RFC1918)
}  NAT (Network Address Translation)
} 
} 
} 
} 
} 
Multiplexión de Direcciones IPv4
Translación IP - IP
o IP - IP+puerto (NAT-PT)
Estas medidas dieron tiempo para el desarrollo de
IPv6
IPv4 Header
Ver.
IHL
Total Length
ToS
Identifier
flags
fragment
Checksum
TTL
Protocol
Source Address
Destination Address
Options
9
20 Bytes
32 bits
IPv6 Header simplificado
32 bits
Flow label
Next Header Hop Limit
Source Address
Destination Address
(Extensions)
Data
10
40 Bytes
Ver. Traffic Class
Payload length
Extensiones Opcionales (1)
Nuevo mecanismo que reemplaza IPv4 options
}  Una extensión IPv6:
} 
} 
} 
} 
} 
Cada extensión tiene su propio formato
Es un n x 8 datagrama
Empieza con campo de 1 byte ‘Next Header’ y que apunta a
otra extensión a un protocolo de capa 4
Hop-by-hop (jumbogram, router alert)
} 
} 
Siempre la primera extensión
Analizado por cada router
Extensiones Opcionales (2)
Destination
}  Routing (loose source routing)
}  Fragmentation
}  Security
} 
} 
} 
Authentication (AH)
Encapsulating Security Payload (ESP) : confidentiality
Addressing
IPv6 usa direcciones de 128 bit
}  Similares a IPv4
} 
} 
} 
} 
} 
Las direcciones pueden ser agregadas en un prefijo para
simplicar el ruteo
Se definen diferentes tipos de direcciones
}  unicast, anycast, multicast
Las direcciones tienen diferenes “alcances”
}  link-local, global
Una host puede usar diferentes direcciones de
diferentes tipos y alcances al mismo tiempo
Formato de Direcciones
} 
Preferred Form (a 16-byte Global IPv6 Address):
2001:0DB8:3003:0001:0000:0000:6543:210F
}  Compact Format:
} 
} 
} 
} 
2001:0DB8:3003:0001:0000:0000:6543:210F
2001:DB8:3003:1:0:0:6543:210F
2001:DB8:3003:1::6543:210F
IPv4-mapped:
::FFFF:134.1.68.3
Literal representation
[2001:DB8:3003:2:a00:20ff:fe18:964c]
http://[2001:DB8::43]:80/index.html
Tipos de Prefijos de direcciones IPv6
Address Type
Binary Prefix
IPv6 Notation
Unspecified
00…0 (128 bits)
::/128
Loopback
00…1 (128 bits)
::1/128
Multicast
1111 1111
FF00::/8
Link-Local Unicast
1111 1110 10
FE80::/10
ULA
1111 110
FC00::/7
Global Unicast
(everything else)
IPv4-mapped
00…0:1111 1111:IPv4
::FFFF:IPv4/128
Site-Local Unicast (deprecated)
1111 1110 11
FEC0::/10
IPv4-compatible (deprecated)
00…0 (96 bits)
::IPv4/128
Global Unicast assigments actually use 2000::/3 (001 prefix)
Anycast addresses allocated from unicast prefixes
Comparando IPv4 / IPv6 en un slide
} 
IPv4 and IPv6 have very similar features. However the way
these features is implemented is different
IPv4
IPv6
Addressing
32 bits
128 bits
HW address
resolution
ARP
ICMPv6 ND/NA
Host autoconfiguration
DHCP & ICMP RS/RA
ICMPv6 RS/RA & DHCPv6
(optional)
IPsec
Optional
Recommended (not
mandatory)
Fragmentation
Both hosts and
routers can fragment
Only hosts fragment
packets
Extensiones de DNS para Pv6
} 
} 
} 
} 
RFC 1886 ◊ RFC 3596
AAAA : forward lookup (‘Name ◊IPv6 Address’):
Equivalente a registro ‘A’
Ejempo:
www.lacnic.net.
IN
A
200.3.14.10
www.lacnic.net.
IN
AAAA 2001:13c7:7002:4000::10
PTR : reverse lookup (‘IPv6 Address ◊ Name’):
}  Main tree: ip6.arpa
}  Reverse tree equivalente a in-addr.arpa
}  Former tree: ip6.int (deprecated)‫‏‬
}  Ejemplo:
0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.2.0.0.7.7.c.3.1.1.0.0.2.ip6.arpa. 86400IN
PTR www.lacnic.net.
} 
¿Sólo IPv6?
} 
Al desplegar IPv6, tienes 2 opciones:
} 
} 
Solo-IPv6
Desplegar IPv6 junto con
IPv6 no está lo suficientemente desplegado en
muchos productos, sin embargo esa soportado en
muchos equipos de redes y prácticamente cualquier
OS de computador
}  Esto lleva a desplegar “Dual-Stack”
}  Esto mejorará con el tiempo
} 
Dual-Stack
Soporte de los dos protocolos en los enlaces y nodos
seleccionados Support both protocols on selected
links
}  Requiere soporte en:
} 
} 
} 
} 
} 
Añade consideraciones para:
} 
} 
} 
Hosts
Routers
Aplicaciones y servidores (e.g. web, DNS, SMTP)
Componentes de seguridad
Nuevas políticas dependientes de cualiades especificas de
IPv6
Puede correr IPv6 junto con NAT-ed IPv4
Túneles
Paquete IPv6 dentro de paquete de IPv4
}  Manuales
} 
} 
} 
} 
Automáticos
} 
} 
} 
Tunnel Brokers
Site a Site
6to4
Teredo
Hoy IPv6 en IPv4, en el futuro IPv4 en IPv6
NAT64
} 
NAT64 es una técnica de traduccion de protocolos
} 
} 
A muy alto nivel:
} 
} 
} 
Permite la conexion a sistemas que solo tienen pila IPv4
desde hosts que solo tienen pila IPv6
El mapeo de direcciones obviamente no es 1 a 1
Se define (por cada instalación) un prefijo v6 en el cual
mapear todo el espacio IPv4
}  Un /96 alcanza, usualmente se utiliza 64:ff9b::/96
La caja NAT64 realiza la conversión de protocolos, en
particular de las direcciones
El problema
RADIUS
AAA
Homes con
IPv6 habilitado
(OSs)
CPEs
Access
DSLAMs
BRAs
IPv6 Core habiliado
IPv4 / IPv6
Internet
IPv4 Only
IPv6 Rapid Deployment on IPv4
Infrastructures (6rd)
Implementación incremental de IPv6
}  Implementado a través de redes solo-IPv4 donde IPv6
no puede habilitarse
}  Definido en RFC5569 y RFC5969
}  Es un super set de 6to4 pero sin sus problemas
} 
Arquitectura 6rd
6rd Border
Routers (BR)
6rd CPE
IPv6
Internet
Tunnel
Dual Stack
Home
Conexión directa o a
través de un CGN
(Carrier Grade NAT)
IPv4
Internet
Dual Stack-Lite (DS-lite)
} 
IPv4-IPv6 coexistencia
} 
} 
IPv4 in IPv6 encapsulation
IPv4 NAT
Enfocado a redes de banda ancha e IPv4 Exhaustion
}  Estandarizado en IETF-Softwire
} 
} 
draft-ietf-softwire-dual-stack-lite-11
Arquitectura DS-Lite
IPv6 Enabled Core
Dual Stack
Home
Address
Family
Transition
Router
element
(AFTR)
Bridging
Broadband
element (B4)
Tunnel IPv4
in IPv6
IPv6
Internet
IPv4
Internet
RIPng
} 
Similar a IPv4
} 
} 
Basado en RIPv2
Distance vector, max. 15 hop, split-horizon, …
Solo IPv6
}  En dual-stack usando RIP, se necesita RIP (IPv4) y
RIPng (IPv6)
}  Usa IPv6 para transporte
}  IPv6 prefix, next-hop IPv6 address
}  Para RIP updates, usa dirección multicast FF02::9
} 
OSPFv3
} 
} 
} 
OSPFv3 = OSPF para IPv6
Basado en OSPFv2
La topología de una área es invisible desde afuera del área
} 
} 
} 
LSA flooding está limitadap por área
Cálculo de SPF es realizado por cada área
Todas las áreas deben conectarse al backbone
Internet
Backbone
Area #0
Area #1
Area #2
IS-IS
OSI Protocol
}  Basado en 2 niveles
} 
} 
} 
} 
} 
L2 = Backbone
L1 = Stub
L2L1= interconecta L2 y L1
Corre arriba de CNLS
} 
} 
} 
L1
L2
L1
Cada dispositivo IS envía LSP (Link State Packets)
Envía información vía TLV’s (Tag/Length/values)
Proceso de vecinos no cambia
La operación permanece sin cambios
}  En muchos ISPs está sustituyendo OSPF
} 
L1
BGP Multi-protocolo
} 
} 
} 
} 
} 
Exterior Gateway Protocol
Conecta dominios de ruteo
separados que tienen
políticas de ruteo
independientes (y ASNs)
Lleva una secuencia de
números de ASN que indica
el “path” de cada prefijo
Soporta las mismas
funcionalidades que IPv4
BGP
Múltiples familias de
direcciones: IPv4, IPv6,
unicast, multicast
Vulnerabilidades y Ataques
Vulnerabilidades Inherentes
}  Neighbor Discovering Protocol
} 
} 
} 
Autoconfiguración
} 
} 
} 
DoS attacks
Rogue Router Advertisements
DoS attacks
Mecanismos de Transición
} 
} 
Protocol 41
Túneles no autorizados
Vulnerabilidades y Ataques (2)
} 
Modelo End-to-End
} 
} 
No NATs
IPv6 en redes IPv4
} 
Aunque no tenga IPv6, debe preocuparse
Recomendaciones
SEND
}  Direccionamiento estático
}  Direcciones no adivinables para evitar escaneos
}  Tablas de resolución estáticas
}  RA snooping, RAMOND, NDPMon
}  Filtros de Bogons
}  Firewalls
}  Cuidado en reglas de ICMPv6
} 
Para saber más y solicitar IPv6
} 
General
} 
} 
} 
Estadísticas
} 
} 
http://portalipv6.lacnic.net
http://www.nro.net
http://www.labs.lacnic.net
Solicitud de IPv6
} 
http://www.lacnic.net/sp/registro/
Preguntas
[email protected]
[email protected]
Descargar