Introducción a IPv6 y mecanismos de transición Sofía Silva Arturo Servín Derechos de Copia de este material } Algunos de los slides de esta presentación han sido creados a través del proyecto de 6Deploy de la Unión Europea www.6deploy.org del cual LACNIC es partipante. ¿Por qué IPv6? Hechos Históricos 1983 : Red académica con ~ 100 computadoras } 1992 : Inernet se abre al sector comercial: } } } } 1993 : } } } } Crecimiento exponencial El IETF llama a trabajar en una nueva generación del protocolo de IP Terminación del espacio de clases B Predicción del colapso de la red ¡para 1994 Se publica RFC 1519 (CIDR) 1995 : } } Se publica RFC 1883 (IPv6 specs) Primer RFC acerca de IPv6 Evolución del Pool Central de IANA 120 100 80 60 40 20 0 1999 2000 2001 2002 2003 2004 2005 /8 2006 2007 2008 2009 2010 2011 Espacio disponible en LACNIC (Junio 2011) Disponible hoy /32 71.879.680 Disponible Hoy /8 4,284 Reserva último /10 - 25% Total 4.034 /8 = 67.685.376 IPs Terminación IPv4 en RIRs Fuente: Geoff Huston http://www.potaroo.net/tools/ipv4/ Medidas Emergentes CIDR (Classless Interdomain Routing) } Direcciones Privadas (RFC1918) } NAT (Network Address Translation) } } } } } Multiplexión de Direcciones IPv4 Translación IP - IP o IP - IP+puerto (NAT-PT) Estas medidas dieron tiempo para el desarrollo de IPv6 IPv4 Header Ver. IHL Total Length ToS Identifier flags fragment Checksum TTL Protocol Source Address Destination Address Options 9 20 Bytes 32 bits IPv6 Header simplificado 32 bits Flow label Next Header Hop Limit Source Address Destination Address (Extensions) Data 10 40 Bytes Ver. Traffic Class Payload length Extensiones Opcionales (1) Nuevo mecanismo que reemplaza IPv4 options } Una extensión IPv6: } } } } } Cada extensión tiene su propio formato Es un n x 8 datagrama Empieza con campo de 1 byte ‘Next Header’ y que apunta a otra extensión a un protocolo de capa 4 Hop-by-hop (jumbogram, router alert) } } Siempre la primera extensión Analizado por cada router Extensiones Opcionales (2) Destination } Routing (loose source routing) } Fragmentation } Security } } } Authentication (AH) Encapsulating Security Payload (ESP) : confidentiality Addressing IPv6 usa direcciones de 128 bit } Similares a IPv4 } } } } } Las direcciones pueden ser agregadas en un prefijo para simplicar el ruteo Se definen diferentes tipos de direcciones } unicast, anycast, multicast Las direcciones tienen diferenes “alcances” } link-local, global Una host puede usar diferentes direcciones de diferentes tipos y alcances al mismo tiempo Formato de Direcciones } Preferred Form (a 16-byte Global IPv6 Address): 2001:0DB8:3003:0001:0000:0000:6543:210F } Compact Format: } } } } 2001:0DB8:3003:0001:0000:0000:6543:210F 2001:DB8:3003:1:0:0:6543:210F 2001:DB8:3003:1::6543:210F IPv4-mapped: ::FFFF:134.1.68.3 Literal representation [2001:DB8:3003:2:a00:20ff:fe18:964c] http://[2001:DB8::43]:80/index.html Tipos de Prefijos de direcciones IPv6 Address Type Binary Prefix IPv6 Notation Unspecified 00…0 (128 bits) ::/128 Loopback 00…1 (128 bits) ::1/128 Multicast 1111 1111 FF00::/8 Link-Local Unicast 1111 1110 10 FE80::/10 ULA 1111 110 FC00::/7 Global Unicast (everything else) IPv4-mapped 00…0:1111 1111:IPv4 ::FFFF:IPv4/128 Site-Local Unicast (deprecated) 1111 1110 11 FEC0::/10 IPv4-compatible (deprecated) 00…0 (96 bits) ::IPv4/128 Global Unicast assigments actually use 2000::/3 (001 prefix) Anycast addresses allocated from unicast prefixes Comparando IPv4 / IPv6 en un slide } IPv4 and IPv6 have very similar features. However the way these features is implemented is different IPv4 IPv6 Addressing 32 bits 128 bits HW address resolution ARP ICMPv6 ND/NA Host autoconfiguration DHCP & ICMP RS/RA ICMPv6 RS/RA & DHCPv6 (optional) IPsec Optional Recommended (not mandatory) Fragmentation Both hosts and routers can fragment Only hosts fragment packets Extensiones de DNS para Pv6 } } } } RFC 1886 ◊ RFC 3596 AAAA : forward lookup (‘Name ◊IPv6 Address’): Equivalente a registro ‘A’ Ejempo: www.lacnic.net. IN A 200.3.14.10 www.lacnic.net. IN AAAA 2001:13c7:7002:4000::10 PTR : reverse lookup (‘IPv6 Address ◊ Name’): } Main tree: ip6.arpa } Reverse tree equivalente a in-addr.arpa } Former tree: ip6.int (deprecated) } Ejemplo: 0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.2.0.0.7.7.c.3.1.1.0.0.2.ip6.arpa. 86400IN PTR www.lacnic.net. } ¿Sólo IPv6? } Al desplegar IPv6, tienes 2 opciones: } } Solo-IPv6 Desplegar IPv6 junto con IPv6 no está lo suficientemente desplegado en muchos productos, sin embargo esa soportado en muchos equipos de redes y prácticamente cualquier OS de computador } Esto lleva a desplegar “Dual-Stack” } Esto mejorará con el tiempo } Dual-Stack Soporte de los dos protocolos en los enlaces y nodos seleccionados Support both protocols on selected links } Requiere soporte en: } } } } } Añade consideraciones para: } } } Hosts Routers Aplicaciones y servidores (e.g. web, DNS, SMTP) Componentes de seguridad Nuevas políticas dependientes de cualiades especificas de IPv6 Puede correr IPv6 junto con NAT-ed IPv4 Túneles Paquete IPv6 dentro de paquete de IPv4 } Manuales } } } } Automáticos } } } Tunnel Brokers Site a Site 6to4 Teredo Hoy IPv6 en IPv4, en el futuro IPv4 en IPv6 NAT64 } NAT64 es una técnica de traduccion de protocolos } } A muy alto nivel: } } } Permite la conexion a sistemas que solo tienen pila IPv4 desde hosts que solo tienen pila IPv6 El mapeo de direcciones obviamente no es 1 a 1 Se define (por cada instalación) un prefijo v6 en el cual mapear todo el espacio IPv4 } Un /96 alcanza, usualmente se utiliza 64:ff9b::/96 La caja NAT64 realiza la conversión de protocolos, en particular de las direcciones El problema RADIUS AAA Homes con IPv6 habilitado (OSs) CPEs Access DSLAMs BRAs IPv6 Core habiliado IPv4 / IPv6 Internet IPv4 Only IPv6 Rapid Deployment on IPv4 Infrastructures (6rd) Implementación incremental de IPv6 } Implementado a través de redes solo-IPv4 donde IPv6 no puede habilitarse } Definido en RFC5569 y RFC5969 } Es un super set de 6to4 pero sin sus problemas } Arquitectura 6rd 6rd Border Routers (BR) 6rd CPE IPv6 Internet Tunnel Dual Stack Home Conexión directa o a través de un CGN (Carrier Grade NAT) IPv4 Internet Dual Stack-Lite (DS-lite) } IPv4-IPv6 coexistencia } } IPv4 in IPv6 encapsulation IPv4 NAT Enfocado a redes de banda ancha e IPv4 Exhaustion } Estandarizado en IETF-Softwire } } draft-ietf-softwire-dual-stack-lite-11 Arquitectura DS-Lite IPv6 Enabled Core Dual Stack Home Address Family Transition Router element (AFTR) Bridging Broadband element (B4) Tunnel IPv4 in IPv6 IPv6 Internet IPv4 Internet RIPng } Similar a IPv4 } } Basado en RIPv2 Distance vector, max. 15 hop, split-horizon, … Solo IPv6 } En dual-stack usando RIP, se necesita RIP (IPv4) y RIPng (IPv6) } Usa IPv6 para transporte } IPv6 prefix, next-hop IPv6 address } Para RIP updates, usa dirección multicast FF02::9 } OSPFv3 } } } OSPFv3 = OSPF para IPv6 Basado en OSPFv2 La topología de una área es invisible desde afuera del área } } } LSA flooding está limitadap por área Cálculo de SPF es realizado por cada área Todas las áreas deben conectarse al backbone Internet Backbone Area #0 Area #1 Area #2 IS-IS OSI Protocol } Basado en 2 niveles } } } } } L2 = Backbone L1 = Stub L2L1= interconecta L2 y L1 Corre arriba de CNLS } } } L1 L2 L1 Cada dispositivo IS envía LSP (Link State Packets) Envía información vía TLV’s (Tag/Length/values) Proceso de vecinos no cambia La operación permanece sin cambios } En muchos ISPs está sustituyendo OSPF } L1 BGP Multi-protocolo } } } } } Exterior Gateway Protocol Conecta dominios de ruteo separados que tienen políticas de ruteo independientes (y ASNs) Lleva una secuencia de números de ASN que indica el “path” de cada prefijo Soporta las mismas funcionalidades que IPv4 BGP Múltiples familias de direcciones: IPv4, IPv6, unicast, multicast Vulnerabilidades y Ataques Vulnerabilidades Inherentes } Neighbor Discovering Protocol } } } Autoconfiguración } } } DoS attacks Rogue Router Advertisements DoS attacks Mecanismos de Transición } } Protocol 41 Túneles no autorizados Vulnerabilidades y Ataques (2) } Modelo End-to-End } } No NATs IPv6 en redes IPv4 } Aunque no tenga IPv6, debe preocuparse Recomendaciones SEND } Direccionamiento estático } Direcciones no adivinables para evitar escaneos } Tablas de resolución estáticas } RA snooping, RAMOND, NDPMon } Filtros de Bogons } Firewalls } Cuidado en reglas de ICMPv6 } Para saber más y solicitar IPv6 } General } } } Estadísticas } } http://portalipv6.lacnic.net http://www.nro.net http://www.labs.lacnic.net Solicitud de IPv6 } http://www.lacnic.net/sp/registro/ Preguntas [email protected] [email protected]