IPv6 con MikroTik RouterOS v6.42.0.01 Libro de Estudio
ABC Xperts ® Network Xperts ® Academy Xperts ®
Derechos de autor y marcas registradas Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo
Derechos de autor © por Academy Xperts Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones legales.
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS
Tabla de Contenido Introducción ............................................................................................................................................................... iv Resumen Resumen ..................................................................................................................................................................v Audienci Audienciaa ..................................................................................................................................................................v Convenc Convencione ioness usadas usadas en este libro libro ............................................................................................................................v Comenta Comentarios rios y pregun preguntas tas .......................................................................................................................................... vi
Partners de Academy Xperts en Latinoamérica.................................................................................................. vii Empresas Empresas Asociad Asociadas as............................................................................................................................................... vii Universid Universidades ades e Instituto Institutoss Superio Superiores res ..................................................................................................................... viii Deseas convertirte en Academia o ser Partner de Academy Xperts? ....................................................................... viii Un poco de Historia Historia (Costa (Costa Rica) Rica) .............................................................................................................................. ix Cubriend Cubriendoo un País con con MikroTik. MikroTik. ....................................................................................................................... iixx
Capítulo Capítu lo 1: Introducción I ntroducción ............................................................................................................................................ 1 Por qué IPv6? .......................................................................................................................................................... 1 Historia Historia .................................................................................................................................................................... 1 Motivos Motivos de creación creación.................................................................................................................................................. .................................................................................................................................................. 2 Caracter Característic ísticas as......................................................................................................................................................... 2 Ventajas Ventajas................................................................................................................................................................... ................................................................................................................................................................... 2 ¿Por qué necesitamo necesitamoss IPv6? IPv6? .................................................................................................................................... 3
Capítulo 2: Diferencias entre IPv4 e IPv6 ............................................................................................................... 4 Informació Informaciónn General General ................................................................................................................................................. 4 Direccio Direcciones nes IPv4 ...................................................................................................................................................... 4 Direccio Direcciones nes IPv6 ...................................................................................................................................................... 4 Notación Notación CIDR “/” en IPv4 ........................................................................................................................................ 5 Notación Notación CIDR “/” en IPv6 ........................................................................................................................................ 5 Diferenci Diferencias as princip principales ales entre IPv4 e IPv6 .................................................................................................................. 5 Encapsul Encapsulació aciónn IPv4.................................................................................................................................................. 6 Campos Campos de la Cabece Cabecera ra IPv4............................................................................................................................ 6 Encapsul Encapsulació aciónn IPv6.................................................................................................................................................. 6 Campos Campos de la cabece cabecera ra IPv6............................................................................................................................. 7 Ventajas Ventajas de encabez encabezado ado IPv6 simplificad simplificadoo ........................................................................................................ 7
Capítulo 3: Direccionamiento IPv6 .......................................................................................................................... 8 Direccio Direcciones nes IPv6 ...................................................................................................................................................... 8 Numerac Numeración ión Hexadec Hexadecima imall......................................................................................................................................... 8 Compres Compresión ión de los bytes .......................................................................................................................................... 8 Valores Valores Hexade Hexadecima cimales les ............................................................................................................................................ 9 Conversi Conversión ón Hexadeci Hexadecimal males es ...................................................................................................................................... 9 Formato Formato Preferido Preferido .................................................................................................................................................... 9 Regla Regla de Omisione Omisioness ............................................................................................................................................... 10 Distribuci Distribución ón de direcci direcciones ones ..................................................................................................................................... 11 Prefijo Prefijo de enruta enrutamien miento to global................................................................................................................................. global................................................................................................................................. 12 IPv6 Subnettin Subnettingg ...................................................................................................................................................... 13 Ejercicio Ejercicioss ............................................................................................................................................................... 14
Capítulo 4: Tipos de Direcciones IPv6 .................................................................................................................. 15 Tipos Tipos de Direcci Direcciones ones.............................................................................................................................................. 15 Direccio Direcciones nes Unicast Unicast ................................................................................................................................................ 15 Dirección Dirección Unicast Global ................................................................................................................................. 15 Servicios de registro internacional y asignación de direcciones actuales .................................................................. 16 Dirección Dirección unicas unicastt link-loc link-local al .............................................................................................................................. 16 Conexion Conexiones es IPv6............................................................................................................................................. 17 Dirección Dirección Loopba Loopback ck ........................................................................................................................................ 18 Dirección Dirección sin especif especificar icar.................................................................................................................................. 18 Dirección Dirección Local Única ..................................................................................................................................... 18 IPv4 Integrada Integrada ................................................................................................................................................ 18 Direcció Direcciónn Multicas Multicastt ................................................................................................................................................. 19 Direccion Direcciones es Multicas Multicastt Conoci Conocidas das ..................................................................................................................... 20 Direccio Direcciones nes Anycast Anycast ............................................................................................................................................... 20
Capítulo 5: Enrutamiento Estático con IPv6 ........................................................................................................ 22 Concepto Conceptoss de Ruteo Ruteo............................................................................................................................................... 22 Habilita Habilitarr IPv6.......................................................................................................................................................... IPv6.......................................................................................................................................................... 22 Routing Routing o enruta enrutamien miento to .......................................................................................................................................... 22 Etiquetas Etiquetas de rutas rutas .................................................................................................................................................. 23
Academy Xperts
i
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS
Significado de las etiquetas de rutas más comunes ................................................................................................. 23 Rutas Rutas estática estáticas....................................................................................................................................................... s....................................................................................................................................................... 23 Propiedad Propiedades es general generales es ................................................................................................................................... 23 Propiedad Propiedades es de solo lectura ............................................................................................................................ 24 Como crear rutas estáticas estáticas.............................................................................................................................. 24 Tipo de Rutas Rutas......................................................................................................................................................... 25 Configu Configurand randoo la Ruta Ruta por Defecto ........................................................................................................................... 25 Lab 5.1 – Asignac Asignación ión de Direcci Direcciona onamien miento to .............................................................................................................. 25 Lab 5.2 – Enrutami Enrutamiento ento Estático Estático ............................................................................................................................. 26 Lab 5.3 – Enrutami Enrutamiento ento Estático Estático ............................................................................................................................. 28
Capitulo 6: Asignación de Direcciones IPv6 ....................................................................................................... 29 Neighbor Neighbor Discove Discovery ry ................................................................................................................................................ 29 Propiedad Propiedades es general generales es ................................................................................................................................... 30 Asignaci Asignaciones ones SLAAC .... ......................................................................................................................................... 30 Construcc Construcción ión de una dirección dirección SLAAC SLAAC ............................................................................................................ 31 Proceso Proceso EUI-64 EUI-64 .............................................................................................................................................. 32 Proceso Proceso EUI-64 EUI-64 Modifica Modificado do ............................................................................................................................. 32 Ventajas Ventajas del Proceso Proceso EUI-64 EUI-64........................................................................................................................... 32 Asignaci Asignaciones ones DHCP ............................................................................................................................................... 33 DHCPv6 DHCPv6 PD Server Server................................................................................................................................................ 33 Propiedad Propiedades es general generales es ................................................................................................................................... 34 Propiedad Propiedades es de Solo Lectura Lectura .......................................................................................................................... 35 DHCPv6 DHCPv6 PD Client Client ................................................................................................................................................. 35 DUID .............................................................................................................................................................. 36 Propiedad Propiedades es Generales Generales................................................................................................................................... ................................................................................................................................... 37 Lab 6.1 DHCPv6 DHCPv6 PD Server Server y DHCP Client............................................................................................................. 37 Lab 6.2 Laboratorio Laboratorio Final ........................................................................................................................................ 38
Capítulo 7: Encabezados de Extensión ................................................................................................................ 39 Extension Extension Headers Headers ................................................................................................................................................. 39 Hop-by-H Hop-by-Hop op .................................................................................................................................................... 39 Fragmen Fragmentació taciónn................................................................................................................................................ 39 Routing Routing........................................................................................................................................................... 41 Destinatio Destinationn Options Options......................................................................................................................................... 41 Authentic Authenticatio ationn................................................................................................................................................. 41 Encapsul Encapsulation ation Security Security Payloa Payloadd ...................................................................................................................... 41
Capítulo Capítu lo 8: Seguridad en IPv6 ................................................................................................................................ 42 ICMPv6 ICMPv6.................................................................................................................................................................. 42 Formato Formato del paquete paquete ICMPv6.......................................................................................................................... 42 Mensaje Mensaje de Transmi Transmisión sión ICMP ........................................................................................................................ 43 Mensaje Mensajess de Error Error (Error (Error Message Messages) s) ............................................................................................................... 43 Mensajes Informativos (Informational Messages) ............................................................................................. 44 Neighbor Neighbor Discove Discovery ry Protocol Protocol................................................................................................................................... 48 Función Función ND .................................................................................................................................................... 48 Tipos Tipos de Mensajes Mensajes ND .................................................................................................................................... 50 Neighbor Neighbor Unreachab Unreachability ility Detectio Detectionn (NUD) (NUD) ........................................................................................................ 50 Duplicate Duplicate Addres Addresss Detecti Detection on (DAD) (DAD) ................................................................................................................. 50 MLD (Multicas (Multicastt Listener Listener Discove Discovery).................................................................................................................. ry).................................................................................................................. 50 SEND (Security (Security Neighbo Neighborr Discove Discovery) ry)............................................................................................................... 51 Direccion Direcciones es Tempora Temporales les.................................................................................................................................. 51 Firewall Firewall IPv6 .......................................................................................................................................................... 51 Laborato Laboratorio rio 8.1 – Firewall Firewall IPv6 ........................................................................................................................ 52 IPsec ..................................................................................................................................................................... 55 Algoritmo Algoritmoss de cifrado ...................................................................................................................................... 56 Asociaci Asociacione oness de Segurida Seguridad..................................................................................................................................... d..................................................................................................................................... 56 Protocolo IKE (intercambio de claves sobre internet)........................................................................................ 56 Protocolo Protocoloss de transferenc transferencia ia AH y ESP............................................................................................................. 56 Modo transpo transporte rte.............................................................................................................................................. .............................................................................................................................................. 56 Modo túnel túnel ..................................................................................................................................................... 56 Laborato Laboratorio rio 8.2 – IPsec modo túnel túnel ................................................................................................................. 57
Capítulo 9: Mecanismos de Transición ................................................................................................................ 62 ¿Qué es la Transic Transición ión IPv6?................................................................................................................................... 62 Tipos Tipos de Mecanismos Mecanismos de Transici Transición ón ....................................................................................................................... 62 Dual Dual Stack Stack ............................................................................................................................................................. 62 Túneles Túneles.................................................................................................................................................................. 63
Academy Xperts
ii
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS
Túneles Túneles 6to4 6to4................................................................................................................................................... 64 Túneles Túneles 6RD .................................................................................................................................................. 69 Teredo............................................................................................................................................................ Teredo............................................................................................................................................................ 70 DS-Lite DS-Lite (Dual (Dual Stack Stack Lite)................................................................................................................................. 70
Capítulo 10: Túneles ................................................................................................................................................ 72 IPIPv6 IPIPv6 .................................................................................................................................................................... 72 Laborato Laboratorio rio 10.1 10.1 – Túnel Túnel IP-IPv6 IP-IPv6 ..................................................................................................................... 72 EoIPv6 EoIPv6 ................................................................................................................................................................... 77 GRE6..................................................................................................................................................................... GRE6..................................................................................................................................................................... 77 Laborato Laboratorio rio 10.2 10.2 – Túnel Túnel GRE6 ....................................................................................................................... 78 PPP IPv6 ............................................................................................................................................................... 82 Laborato Laboratorio rio 10.3 – PPP IPv6 ........................................................................................................................... 82 DNS....................................................................................................................................................................... 85 NTP ....................................................................................................................................................................... 86 Caracter Característic ísticas as no incluid incluidas as en IPv6........................................................................................................................ 87 Herramien Herramientas tas ......................................................................................................................................................... ......... ................................................................................................................................................ 87
Capítulo 11: Enrutamiento Dinámico IPv6 ........................................................................................................... 90 ¿Cómo ¿Cómo funcion funcionaa el router? router? ..................................................................................................................................... 90 RIB (Routing (Routing Information Information Base) ....................................................................................................................... 90 FIB (Forward (Forwarding ing Informati Information on Base B ase)) .................................................................................................................. 91 Tabla Tabla de Enrutamien Enrutamiento to ........................................................................................................................................... 91 EGP (Externo (Externo): ): ............................................................................................................................................... 91 IGP (Interno) (Interno):: .................................................................................................................................................. 91 RIPng .................................................................................................................................................................... 91 Formato Formato del mensaje mensaje ...................................................................................................................................... 91 Inconveni Inconvenient entes es con RIPng............................................................................................................................... RIPng............................................................................................................................... 92 OSPFv3 OSPFv3 ................................................................................................................................................................. 92 Similitude Similitudess entre entre OSPFv3 OSPFv3 y OSPFv2 OSPFv2 ............................................................................................................... 93 Diferenci Diferencias as entre entre OSPFv3 OSPFv3 y OSPFv2 OSPFv2 .............................................................................................................. 93 Laborato Laboratorio rio 11.1 11.1 – OSPFv3 OSPFv3 ............................................................................................................................. 94
Academy Xperts
iii
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS
MikroTik es una empresa que nace en Latvia (Letonia) en 1995 con el claro objetivo de proveer un sistema operativo de red altamente robusto y eficiente al cual llamó RouterOS en 1997. La evolución del mismo llevó a la creación y lanzamiento al mercado en el 2002 de un hardware que aprovechara al máximo sus grandes capacidades de multiprocesamiento simétrico y multi-núcleo, este hardware es el RouterBOARD. A lo largo de los años a partir del nacimiento del Internet, los administradores de red hemos visto desfilar varios fabricantes por nuestros racks, siendo Cisco el referente, sin embargo, siempre había representado un costo más o menos importante a la hora de implementar una solución de red ruteada en especial si se trataba de un ISP/WISP. No es sino hasta hace una década aproximadamente en que MikroTik Mikr oTik se empieza a hacer conocer en Latinoamérica Latinoaméri ca y varios emprendedores, y por sobre entusiastas, se vuelcan a la implementación de soluciones basadas en RouterOS y RouterBOARD. Claro ejemplo de ello son nuestros grandes amigos de Index México (Ezequiel García) y REICO Costa Rica (Miguel Solís) quienes tomaron la iniciativa de confiar en los productos ofrecidos por MikroTik. Es muy interesante y gratificante conversar con ellos y escuchar los relatos sobre los primeros pasos del fabricante letón en tierras americanas. Estoy convencido de que MikroTik llegó no solo para quedarse sino para formar una parte muy importante en la historia del networking y de las telecomunicaciones. De hecho, cientos de miles (quizá millones a esta fecha - Junio 2015) obtienen su internet de banda ancha a un bajo costo a través de una red ruteada gracias a que los proveedores de Internet, pequeños y medianos, pueden estructurar e implementar redes sumamente complejas y completas usando los RouterBOARD. Las soluciones en RouterOS y RouterBOARD no se han quedado estancadas en las empresas de Telecom pequeñas, sino que han ido escalando en credibilidad en las empresa medianas y grandes en Latinoamérica, rompiendo paradigmas de fabricantes y costos de implementación. Este libro nace como un aporte a la comunidad tecnológica de habla hispana y latinoamericana que ha decidido incursionar en MikroTik y desea obtener un conocimiento formal. De igual manera queremos que esta guía constituya una fuente importante de aprendizaje para quienes empiezan a realizar sus primeras configuraciones en RouterOS.
Mauro Escalante CEO Academy Xperts CEO Network Xperts
Academy Xperts
iv
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS
Hemos tenido un especial cuidado en ampliar la información de aquellos puntos que no se profundizan en los cursos de certificación, pero que resultan claves para el correcto entendimiento de la materia. La información aquí presentada se complementa con nuestros recursos en www.abcxperts.com y www.youtube.com/abcxperts
Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y conocimiento es invaluable y únicamente explotable a través del contacto interpersonal de un curso de certificación. Sin embargo, todo el material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos colegas que optan por leer un libro y estudiar a su propio ritmo. Esta es la primera revisión dedicada a la versión 6.33.5. Las posteriores revisiones al material y a los nuevos releases de RouterOS serán agregadas a esta edición y estarán a disponibilidad de las personas que compren la suscripción. Tenemos una tarea inmensa por delante, pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor guía de autoestudio MikroTik. Las personas que leen este libro deben estar familiarizados con: Operaciones de red en Capa 2 Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP Este libro está dirigido a: Ingenieros y Técnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar soporte a: Redes Corporativas Clientes WISP e ISP Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalación de redes corporativa y PYMES Ingenieros de Redes, Administradores de Red, Técnicos en Soporte de Redes, y Técnicos de Soporte a Usuario (Help Desk) • •
•
! !
•
•
En este libro se utilizarán las siguientes convenciones tipográficas: Itálicas
Indica comandos, direcciones de correo, claves, mensajes de error, nombres de archivos, énfasis, y el primer uso de términos técnicos Courier new
Indica direcciones IP y ejemplos de línea de comando Courier new en itálica
Indica texto que puede ser reemplazado Courier new en negrita
Indica datos de entrada del usuario Este icono significa un consejo, sugerencia, o una nota general. Este icono indica una advertencia o precaución.
Academy Xperts
v
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS
Puede enviar sus comentarios y preguntas sobre este libro por correo tradicional a la siguiente dirección: Network Xperts S.A. / Academy Xperts Av. Juan T. Marengo y J. Orrantia Edificio Professional Center, Piso 5, Ofic. 507 Guayaquil, ECUADOR +593-4-600-8590 +593-9-9535-2132 A través del sitio web y por medio de su usuario y contraseña, tendrá acceso a las actualizaciones, ejemplos, e información adicional: http://cursos.abcxperts.com
Puede enviarnos sus comentarios o preguntas técnicas sobre este libro enviándonos un email a:
[email protected]
Para más información sobre libros, conferencias, centros de recursos, y la red educativa de Academy Xperts, visite nuestros Websites y canal de YouTube http://www.abcxperts.com http://www.academyxperts.com http://www.youtube.com/abcxperts
Academy Xperts
vi
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS
Nuestro recorrido por América Latina nos ha comprometido de una manera muy importante con nuestros alumnos, amigos y socios. Y este compromiso conlleva la enorme responsabilidad de estar siempre a la vanguardia, de presentar a nuestros estudiantes el mejor y más completo material de estudio & laboratorio, laborat orio, y lo que es muy importante… que el contenido siempre esté actualizado. Nos encantaría estar presente en cada uno de los 14 países y las más de 40 ciudades que recorremos todos los años, pero el tiempo y la disponibilidad física nos es un obstáculo. Por este motivo hemos desarrollado un esquema de Partnership con empresas, universidades e institutos superiores en diferentes países país es que trabajan junto con nosotros en sus respetivos ambientes, y que entregan a sus estudiantes el contenido y el acceso a la suscripción anual de este libro (y todos sus recursos) por un cómodo valor.
Academy Xperts
vii
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS
•
•
•
Si eres Universidad o Instituto Superior que cuenta con el respectivo acuerdo ministerial de tu país, puedes optar por convertirte en una Academia MikroTik. Escríbenos a
[email protected] para para darte más información. Si eres Trainer Partner y quieres explotar junto a tus alumnos nuestro material y portal de capacitación, te invitamos escribirnos a
[email protected] para para proporcionarte los detalles. Si deseas que organicemos cursos en tu ciudad/país de residencia, escríbenos a
[email protected]
Academy Xperts
viii
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS
En el año 1998, estando en una empresa de servicios públicos en Costa Rica, el Ing. Miguel Solís en conjunto con el Ing. Paulino Solano, comenzaron a utilizar MikroTik con gran éxito en las telecomunicaciones de esta esta empresa. Se lograron 2 Mbps en una distancia de 8 Km, una velocidad récord para aquellos tiempos en que la velocidad rondaba los 256 Kbps. En esta empresa de Servicios Públicos, se logró la interconexión de 52 sucursales mediante tecnología inalámbrica, todas bajo la misma marca MikroTik y su sistema operativo RouterOS. Dado el éxito alcanzado en este proyecto, ambos ingenieros en conjunto con uno más llamado Olman González, decidieron formar una empresa que se dedicara a solventar los problemas de telecomunicaciones en donde el cobre no fuera factible o se necesitara más velocidad. Esta empresa fue nombrada Redes Redes Inalámbricas de Costa Rica S.A (REICO). Es así como a la fecha (Julio 2015), REICO, con solo Miguel Solís como propietario, tiene el liderato en telecomunicaciones inalámbricas inalámbric as en el país Centroamericano Costa Rica. REICO posee más de 3,800 Km de red troncal inalámbrica y más de 80,000 Km de red de acceso. acceso. Posee más de 100 100 radio bases instaladas estratégicamente para alcanzar una cobertura de más del 80% del territorio y a más del 90% de la población. La empresa se dedica 100% a proveer transporte de datos corporativos y sirve a sectores financieros, agroindustriales, turísticos, comerciales, etc. Su plataforma tiene una particularidad única en el mundo, con sus más de 1,000 clientes corporativos y empresariales y sus más de 1,500 equipos de acceso, CPE, transporte, Core secundario y Core primario: EL 100% SON MARCA MIKROTIK. REICO es un ejemplo del gran potencial que tiene MikroTik y RouterOS ya que esta empresa compite en el mercado con grandes de las telecomunicaciones y aun así mantiene una posición privilegiada, siendo el cuarto operador en Costa Rica en importancia en Transporte de Datos Corporativos, por debajo de ICE, Tigo y de RACSA, pero por encima de Claro, Telefónica, Cables & Wireless, etc. Esto según el último informe de Estadísticas del Sector de Telecomunicaciones de Costa Rica 2014.
Texto desarrollado por el Ing. Miguel Solís, a quien agradezco por su aporte histórico sobre los inicios de MikroTik en Latinoamérica.
Academy Xperts
ix
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS
Academy Xperts
x
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 1: Introducción
Historia, Motivos, Características, Ventajas Como ya conocemos la versión de IP más utilizada es la versión 4, apareciendo en los años 70 permitiendo que exista una comunicación y compartir información entre los gobiernos y las academias de los Estados Unidos. En ese momento, el sistema se cerró con un número limitado de puntos de acceso y, en consecuencia, los desarrolladores no preveían requisitos como seguridad o calidad de servicio. Para su crédito, IPv4 ha sobrevivido por más de 30 años y ha sido una parte integral de la revolución de Internet. Pero incluso los sistemas más inteligentemente diseñados envejecen y eventualmente se vuelven obsoletos. Este es ciertamente el caso de IPv4. Los requisitos de red de hoy en día se extienden mucho más allá del soporte para páginas web y correo electrónico. El crecimiento explosivo de la diversidad de dispositivos de red y las comunicaciones móviles, junto j unto con la adopción mundial de tecnologías de redes, abruman IPv4 y han impulsado el desarrol lo de un protocolo de Internet de próxima generación. IPv6 se ha desarrollado sobre la base de la gran experiencia que se tuvo al desarrollar y usar IPv4. Se han conservado mecanismos probados y establecidos, se han descartado las limitaciones conocidas y se ha ampliado la escalabilidad y la flexibilidad. IPv6 es un protocolo diseñado para manejar la tasa de crecimiento de Internet y para hacer frente a los exigentes requisitos de servicios, movilidad y seguridad de extremo a extremo. Cuando se cambió Internet de Protocolo de Control de Red (NCP) a Protocolo de Internet (IP) en un día en 1983, IP no era el protocolo maduro que conocemos hoy en día. Muchas de las extensiones bien conocidas y usadas comúnmente se desarrollaron en los años subsiguientes para satisfacer las crecientes necesidades de Internet. En comparación, los proveedores de hardware y los proveedores de sistemas operativos han estado apoyando IPv6 desde 1995 cuando se convirtió en un proyecto de estándar. En la década transcurrida desde entonces, esas implementaciones han madurado y el soporte IPv6 se ha extendido más allá de la infraestructura de red básica y continuará ampliándose. Hay ciertamente una necesidad de la precaución al considerar la adopción de IPv6, todavía hay trabajo que hacer para alcanzar una madurez como la de IPv4. Las piezas faltantes de IPv6 se desarrollarán en los próximos años, tal y como ocurrió con IPv4. Y muchas empresas no encuentran suficientes razones para adoptarlo ahora mismo. Sin embargo, es muy importante que las organizaciones presten atención a la introducción de IPv6 porque su uso es inevitable en el largo plazo. Si IPv6 está incluido en la planificación estratégica; Si las organizaciones piensan en posibles escenarios de integración antes de tiempo; Y si su introducción se considera al invertir en gastos de capital de TI, las organizaciones pueden ahorrar un costo considerable y pueden habilitar IPv6 de manera más eficiente cuando sea necesario. A partir del año de 1991 ya se empezaba a conocer el agotamiento de las direcciones de clase B. Ya en el año de 1994 mencionaron en reportes su fin. A comienzos de los años 90, ya era claro que el Internet iba a crecer de manera rápida e inimaginable y la entrega de direcciones IPv4 se fue dando cada vez más rápido. Pero el problema no era en si la cantidad de direcciones de IPv4, ya que como sabemos IPv4 su direccionamiento está basado en 32 bits, ofreciéndonos un total 2^32 direcciones ip disponibles por entregar, que es igual 4200 millones. El problema en realidad surgía al momento de asignar las direcciones, aunque se trató de solucionar en base CIDR no se pudo controlar el desperdicio. Además, surgía la necesidad de expandir la funcionalidad de la capa de red para agregar características tales como QoS, encriptación punto a punto, enrutamiento de origen, autenticación y entre otras características adicionales, dando a entender que se requería un nuevo protocolo de Internet que ayudara a cubrir esas necesidades. En el año de 1992, se comenzó a buscar algún mecanismo que ayudara a mejorar y cubrir los defectos con IPv4. Ya existiendo una investigación para cubrir el tránsito de la red, en el año de 1993 se adopta SIPP (Simple IP Plus). En 1994 el existía un cambio en el tamaño de la dirección de 64 a 128 bits y se designa oficialmente como IPng (IP next generation). El director del área de IPng recomendó la creación de IPv6 dándose esta recomendación en el encuentro de IETF en 1994, esta recomendación se encuentra especificada en la RFC 1752. Luego el grupo Internet Engineering Steering aprobó IPv6 el 17 de noviembre de 1994. Todo esto se encuentra documentado en la RFC 1883, siendo publicado en 1995. Nota: El protocolo de IPv5 no pudo ser usado, debido que fue utilizado por el protocolo experimental stream. Las fases de desarrollo a IPv6 en resumen fueron los siguientes: 1992 – Tuba o Mecanismo para usar TCP y UDP sobre direcciones mayores o Se emplea ISO CLNP (Connection-less Network Protocol) o Especificado en RFC 1347,1526,1561. o Se descarta 1993 – SIPP o Proyecto simple IP Plus o Especificado en RFC 1710 o Mezcla de SIP y PIP (dos tentativas anteriores para sustituir a IPv4) 1994 – IPng o Se adopta SIPP o Se cambia el tamaño de direcciones a 128 bits o Se renombra como IPv6 •
•
•
Academy Xperts
1
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 1: Introducción
Las direcciones IPv4 se han agotado, y el 1 de Febrero de 2011, la IANA asignó los dos últimos bloques de direccionamiento disponible a APNIC, el registro de internet de la región (RIR) Asia-Pacifico. Por tanto, empresas e instituciones ven ahora la necesidad de estar preparado para la migración IPv6, aunque otros ya realizaron su migración. Entre los motivos de creación podemos nombrar los siguientes: IPv6 diseñado para ser fácil: como sabemos para evitar el agotamiento surgió varios métodos para evitarlo, entre ellos tenemos el traductor de direcciones (NAT). El NAT permite la comunicación entre direcciones privadas y públicas de un extremo a otro. Con IPv6 se tiene bastantes direcciones posibles olvidando la necesidad de separarlas entre públicas y privadas, evitando así el NAT. Seguridad: Con IPv6 se está obligado a trabajar en los nodos con IPsec (IP Security Protocol), haciéndolo más seguro que los nodos que tienen implementado IPv4. Cuando este protocolo trabaja en IPv4 no es obligación implementarlo y si es de implementar con IPv6 el proceso de cómo trabaja es totalmente igual que en IPv4. Autoconfiguración: IPv4 provee dos mecanismos para configurar los nodos: estático y dinámico. En IPv6 se incluye una característica conocida como autoconfiguración de direcciones stateless que permite a los usuarios obtener prefijos de la red a utilizar. Movilidad: Esta es unas de las características de IPv6 que es muy interesante es el manejo que ha sido mejorado en los diferentes nodos que son móviles. En el cual favorecerá a los usuarios de telefonía y dispositivos móviles, sino también obtener buenas conexiones a internet durante los vuelos de avión. t amaño del encabezado del paquete, haciendo que estos Performance: Las opciones de la cabecera IPv4 varían el tamaño paquetes con diferente tamaño del convencional sean desviados hacia otro lado, hasta que el router que tiene que recibirlo se encuentre con un tráfico normal. A diferencia de las opciones del encabezado IPv4 que tiene un mayor tamaño, los campos del encabezado Ipv6 se simplifico, y con esto mejora el manejo de paquetes por parte de los routers intermediarios y también proporciona compatibilidad para extensiones y opciones para aumentar la escalabilidad y la duración. Costo: IPv6 disminuye costo en torno a la administración, la seguridad, mejora en el rendimiento y bajo costo en torno al registro de direcciones IP. Pero esto costo debería ser equilibrado en base el costo de contratar a un personal que conozca del tema o capacitar el personal, también el costo de actualización con lo que respecta al hardware. Viendo desde el punto de vista a largo plazo será un beneficio para todos. •
•
•
•
•
•
Las características principales de IPv6 podemos nombrar son las siguientes: Gran cantidad de espacio de direccionamiento: A diferencia del tamaño de dirección IPv4 donde se tiene 32 bits, IPv6 provee 128 bits, dando opción para brindar soporte de direccionamiento en un modelo jerárquico. Estos 128 bits brindan 340 cuatrillones de direcciones, donde incluso a cada grano de arena del planeta podríamos asignarle su propia dirección IP. Soporte mejorado para las Extensiones y Opciones: Las modificaciones en la forma de cómo se codifican las opciones de la cabecera IP facilita un reenvío más eficaz, límites menos rigurosos y ofrece mayor flexibilidad para incluir nuevas opciones en un futuro. Capacidad de Etiquetado de Flujo: Se adiciona una nueva extensión que permite el etiquetado de paquetes que corresponden a "flujos" de tráfico específicos, por lo cual, el emisor solicita un procedimiento especial, como la calidad de servicio no estándar o el servicio en "tiempo real". Capacidades de Autenticación y Privacidad: Se establecen extensiones especiales y así usar autenticación, integridad de los datos, y confidencialidad de los datos en IPv6. Autoconfiguración “plug and play”: sin la obligación de servidores, y ventaja de reconfiguración. Los dispositivos son capaces de configurar sus propias direcciones IPv6 apoyándose en la información que es enviada por el router de la red. Mecanismos de movilidad más eficientes y robustos: Mobile IP soporta dispositivos móviles que cambian dinámicamente sus puntos de acceso a la red, y concretamente Mobile IPv6 permite a un host IPv6 dejar su subred de origen mientras mantiene trasparentemente todas sus conexiones presentes y sigue siendo alcanzable por el resto de Internet. Simplificación del formato de la cabecera: la cabecera de IPv6 es muy simplificada en comparación con IPv4, esta cabecera tiene una longitud de 40 bytes permitiendo así un rápido procesamiento. Básicamente la estructura está compuesta de 16 bytes para direcciones origen y destino, y solo 8 bytes donde se detalla información de la cabecera. •
•
•
•
•
•
•
En un plan de direccionamiento IPv6, los rangos de direcciones se agrupan de forma efectiva y lógica, ofreciendo las siguientes ventajas: Facilidad de implementación de políticas de seguridad: como las ACL o reglas de los firewalls. Seguimiento de las direcciones: dentro de las propias direcciones, podremos descubrir información como la localización, tipo y/o uso. • •
Academy Xperts
2
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 1: Introducción
Escalabilidad: a medida que una organización crezca, el plan de direccionamiento permitirá ese crecimiento de forma lógica. Una gestión de la red más eficiente. Cabe recalcar que en un plan de direccionamiento se deben tomar decisiones importantes, por lo tanto, hay que pensar con detalle sobre las diferentes opciones que se presentaran para asegurar que el plan construido, y encaje perfectamente con las necesidades de su organización. •
•
Por razones históricas, las organizaciones y agencias gubernamentales en los Estados Unidos utilizan aproximadamente el 60 por ciento del espacio de direcciones IPv4 asignable. El 40 por ciento restantes es compartido por el resto del mundo. De los 6.400 millones de personas en el mundo, aproximadamente 330 millones viven en América del Norte, 807 millones en Europa y 3,6 millones en Asia. Esto significa que el 5 por ciento de la población mundial que vive en los Estados Unidos tiene el 60 por ciento del espacio de direcciones asignado. De los 3.600 millones de personas que viven en Asia, aproximadamente 364 millones tienen acceso a Internet, y la tasa de crecimiento es exponencial. Esta es una explicación de por qué el despliegue de IPv6 en Asia es mucho más común que en Europa y los Estados Unidos. El espacio de direcciones IPv4 tiene un límite teórico de 4,3 mil millones de direcciones. Sin embargo, los métodos de distribución temprana asignados se dirigen ineficientemente. En consecuencia, algunas organizaciones obtuvieron bloques de direcciones mucho más grandes de lo que necesitaban, y las direcciones que podrían utilizarse en otros lugares ya no están disponibles. Si fuera posible reasignar el espacio de direcciones IPv4, se podría utilizar mucho más eficazmente, pero este proceso no es posible, y una reasignación global y re numeración simplemente no es práctico. También tenemos que ser conscientes del hecho de que hoy, como el espacio de direcciones IPv4 se acerca al agotamiento, sólo el 14 por ciento de la población mundial tiene acceso a Internet. Si queremos proporcionar acceso a Internet a sólo el 20 por ciento de la población mundial, necesitaremos el espacio de direcciones IPv6. Y este cálculo no tiene en cuenta que en el futuro necesitaremos direcciones IP para miles de millones de dispositivos. Los proveedores de todas las industrias están desarrollando sistemas de monitoreo, control y administración basados en IP. Como ya se ha mencionado, el grupo de trabajo IPv6 ha hecho más que extender el espacio de direcciones. Para muchas redes complejas de hoy y de mañana, y para el número de dispositivos IP de todo tipo, la capacidad de autoconfiguración de IPv6 será una necesidad. La gestión de estos servicios no se puede lograr con métodos de direccionamiento tradicionales, y la autoconfiguración sin estado también ayudará a reducir los costes administrativos para las organizaciones.
Academy Xperts
3
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 2: Diferencias entre IPv4 & IPv6
Direcciones IPv4, Direcciones IPv6, Notación CIDR, Encapsulación Una dirección IP es como un número telefónico o una dirección de una calle. Cuando te conectas a internet, tu dispositivo (computadora, teléfono celular, tableta) es asignada con una dirección IP, así como también cada sitio que visites tiene una dirección IP. El sistema de direccionamiento que hemos usado desde que nació internet es llamado IPv4, y el nuevo sistema de direccionamiento es llamado IPv6. Como ya conocemos una dirección IPv4 está conformada de 32 bits formado por cuatro octetos (números de 8 bits) en una notación decimal, separados por puntos. Donde un bit puede ser tanto un 1 como un 0 (2 posibilidades), por lo tanto, la notación decimal de un octeto tendría 2 elevado a la 8va potencia de distintas posibilidades (256 de ellas para ser exactos).
Ejemplo: Notación Decimal: 192.168.199.100 Notación Binaria 32 bits=8 bytes
8 bits=1 byte 11000000. 10101000. 11000111. 01100100 00000000 :: 11111111 Todo el espacio de direccionamiento de IPv4 estaba originalmente dividido en porciones, llamados clases, que tenían significados particulares. Donde se tenía rango de redes de direcciones clase A, B y C. Una dirección clase A tiene 8 bits de red y 24 bits de hosts, una dirección clase B tiene 16 bits de red y 16 bits de hosts y una dirección clase C tiene 24 bits de red. Clase
Direcciones Disponibles
Cantidad de Redes
Cantidad de Hosts
Aplicación
Desde
Hasta
A
0.0.0.0
127.255.255.255
128
16.777.214
Redes grandes
B
128.0.0.0
191.255.255.255
16.384
65.534
Redes medianas
C
192.0.0.0
223.255.255.255
2.097.152
254
Redes pequeñas
D
224.0.0.0
239.255.255.255
no aplica
no aplica
Multicast
E
240.0.0.0
255.255.255.255
no aplica
no aplica
Investigación
*El intervalo 127.0.0.0 a 127.255.255.255 están reservado como direcciones de loopback y no se utiliza
Las direcciones IPv6 están basadas en 128 bits. Usando la misma matemática anterior, nosotros tenemos 2 elevado a la 128va potencia para encontrar el total de direcciones IPv6 totales, mismo que se mencionó anteriormente. Ya que el espacio en IPv6 es mucho más extenso que el IPv4 sería muy difícil definir el espacio con notación decimal… se tendría 2 elevado a la 32va potencia en cada sección.
Academy Xperts
4
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 2: Diferencias entre IPv4 & IPv6
El enrutamiento entre dominios sin clases (CIDR) fue una ruptura con la noción de que se podía determinar el tamaño de la red sabiendo que era clase A, B o C. Su idea central era acabar con la separación de la red y las partes del host de una dirección en byte (8 bits) sólo los límites. Donde cada bloque aparece de forma similar a 192.0.2.0/24. Cuando te fijas en este número, tal vez asumas “okey, entonces un rango entre 192.0.2.0 a 192.0.2.24 ”, pero la notación CIDR no te muestra el rango de direcciones, nos indica el tamaño de la parte de “red” asignada.
CIDR
NOTACIÓN BINARIA
NOTACIÓN DECIMAL
/8
11111111
. 00000000
.
00000000
. 00000000
255.0.0.0
/16
11111111
. 11111111
.
00000000
. 00000000
255.255.0.0
/24
11111111
. 11111111
.
11111111
. 00000000
255.255.255.0
No podemos dejar de mencionar que CIDR también tiene sus problemas. Para empezar, permitió entregar una mayor cantidad de direcciones IP pequeñas, lo que desaceleró la velocidad a la que se consumían las direcciones IPv4. Segundo, permitía que las tablas de enrutamiento fueran más compactas, ya que podíamos agrupar varias redes de forma continua Haciendo que se fusionen en una solo dirección como representación única. Esto se conocía como la agregación, siendo una técnica sumamente poderosa que hacía del enrutamiento más eficiente. De hecho, en las redes troncal donde no están disponibles las rutas predeterminadas, * es la agregación lo que hace posible el enrutamiento. Habiendo mencionado los problemas con CIDR, no podemos negar que ha tenido bastante éxito en la ayuda de las direcciones con clase de IPv4 de la explosión en las costuras, pero como nos dimos cuenta no es muy eficiente, y es en esencia una táctica dilatoria. Todo este principio la asignación de la red y los límites del anfitrión dentro de una dirección, se acomoda perfectamente en IPv6. Conoceremos que en IPv6 hay diferentes maneras de abordar "todos los hosts en una subred". Por lo t anto, no hay necesidad de perder espacio en cada asignación en direcciones con significados especiales, como existe en IPv4. La unidad mínima de asignación en IPv6 es utilizando la notación CIDR. Aunque las direcciones estén en formato hexadecimal, el valor de la máscara de red se mantiene como un valor decimal. La siguiente tabla muestra ejemplos de direcciones IPv6 y prefijos de red utilizando el valor de red en notación CIDR. CIDR DESCRIPCIÓN 2001:410:0:1:0:0:0:45FF/128
Representa una subred con una sola dirección IPv6
2001:410:0:1: :/64
El prefijo de red 2001:410:0:1: :/64 puede manejar 2^64 nodos. Esta es la longitud por defecto de un prefijo para una subred.
2001:410:0: :/48
El prefijo de red 2001:410:0::/48 puede manejar 2^16 prefijos de red de 64 bit. Esta es la longitud por defecto de un prefijo para un sitio.
IPv4
IPv6
Tamaño Numero de direcciones
32 bits
128 bits
!"# $ %!&%'&()'!&(
!*#+ $ ,%- /012344560/ 70 7380993560/
Formato de dirección
192.168.0.1
2001:db8:1:2:3:4:5:8
Longitud de la cabecera Resolución de direcciones Ipsec
20 bytes ARP Opcional
40 bytes ND Obligatorio Obligator io
Academy Xperts
5
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 2: Diferencias entre IPv4 & IPv6
VERSION
TIPO DE SERVICIO
IHL
LONGITUD TOTAL
IDENTIFICACION TIEMPO DE VIDA
INDICADORES
PROTOCOLO
DESPLAZAMIENTO DE FRAGMENTOS
CHECKSUM DEL ENCABEZADO DIRECCION DE ORIGEN DIRECCION DE DESTINO
OPCIONES
• •
•
•
•
•
•
•
•
•
• • • •
RELLENO
Versión: describe el formato de la cabecera utilizada, compuesta por 4 bits y este valor siempre será de 0100. Tamaño de la cabecera (IHL): campo de 4 bits. Especifica la longitud de la cabecera IP en palabras de 32 bits, no incluye el campo de datos. Servicios diferenciados: campo de 8 bits. Antes conocida como ToS (Type of Service), el cual identifica una serie de parámetros en base a la calidad de servicio cuando se está transmitiendo a través de una red. Este campo está dividido: los primeros 6 bits permiten identificar el valor del “Punto de código de servicios diferenciados” (DSCP) que es utilizado con el QoS. Los 2 bits restantes identifican el valor “Notificación explicita de congestión” (ECN), este evita que los paquetes sean descartados, si llegara a existir congestión en la red. Longitud total: campo de 16 bits. Este campo indica el tamaño total del datagrama en octetos, también incluye el tamaño de la cabecera y los datos. Además, la longitud mínima de un paquete es de 20 bytes y la máxima de 655535 bytes. Identificador : campo de 16 bits. Ayuda identificar el datagrama. Es utilizado en el caso del datagrama requiera ser fragmentado, ya que es necesario poder identificar los fragmentos de cada uno de los datagramas. El que envía el datagrama tiene que asegurar un valor único y el tipo de protocolo cuando el datagrama se encuentre activo en la red. Flag: campo de 3 bits. Es usado para identificar valores en base a la fragmentación de los paquetes. Recordar que el paquete cuando se fragmenta, debe trabajar con un identificador y posición de fragmentación del paquete para así volver a unir los fragmentos del paquete. l os paquetes que son fragmentados. Siempre Posición de fragmentación: campo de 13 bits. Informa la posición de los el primer paquete de varias series de fragmentos tendrá en este campo el valor de 0. TTL: campo de 8 bits. Especifica el máximo número de ruteadores que un paquete debe atravesar. Cuando un router procesa un paquete va disminuyendo el valor en 1 como mínimo. Si el paquete llega a 0, el paquete será descartado. Protocolo: campo de 8 bits. El cual indica el tipo de contenido del paquete. Esta información es pasada luego a la capa superior. Checksum: campo de 16 bits. Este campo hace una verificación de los errores de la cabecera IP. Dirección origen: campo de 32 bits. Se especifica dirección origen de un paquete. Dirección destino: campo de 32 bits. Se especifica dirección destino de un paquete. Opciones: No es obligación usar este campo. Suele tener un número indeterminado de opciones, que tendrá dos posibles formatos.
VERSION
CLASE DE TRAFICO
LONGITUD DE CONTENIDO
INDENTIFICADOR DE FLUJO SIGUIENTE ENCABEZADO
LIMITE DE SALTO
DIRECCION DE ORIGEN DIRECCION DE DESTINO
Academy Xperts
6
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 2: Diferencias entre IPv4 & IPv6
Si nos damos cuenta de la estructura de la cabecera de IPv6 es muy simplificada. Recordemos que el encabezado de IPv4 consta de 20 octetos (hasta 60 bytes si se utiliza el campo opciones) y 12 campos de encabezados básicos, sin incluir los campos opciones y relleno. El total de campos que fueron removidos son 5 y son: Longitud de la cabecera Identificador Flags Posición de fragmentación Checksum El campo de longitud de la cabecera fue removido debido a que no se necesita que la longitud sea fija. Con lo que respecta a los campos de identificador, Flags, y posición de fragmentación eran utilizados cuando ocurría la fragmentación del paquete. Recordemos que la fragmentación pasaba si un paquete grande era enviado a través de la red que solo soportaba paquetes pequeños. Lo que el router hacia es dividir en porciones pequeñas el paquete y luego reenviarlos. Al llegar a su destino como por ejemplo un host, este tenía que re ensamblar el paquete. Si hubo un paquete perdido o algún error, el paquete tenía que ser enviado, siendo esto muy ineficiente. En IPv6 el host aprende el tamaño de la unidad de transmisión máxima (MTU) mediante un procedimiento llamado Path MTU Discovery. Si un host que trabaja con IPv6 quiere fragmentar el paquete deberá hacer uso de una extensión de la cabecera (Extension header). Además, los routers con IPv6 no realizan a fragmentación de un paquete como en IPv4. Por lo tanto, los campos de Identificador, Flags y posición de fragmentación fueron removidos de la cabecera IPv6 y fueron insertados en los Extension Header. El campo de Checksum también fue removido para mejorar la velocidad de procesamiento. Si los routers no tienen que cada vez estar verificando y actualizando los checksums, el procesamiento será mucho más rápido. Hoy en día no existe algún riesgo al no detectar errores ya que es mínimo. Recordemos también que la capa de transporte (UDP Y TCP) existe un campo de comprobación. En IPv4, el protocolo UDP no realiza comprobación; en IPv6, el protocolo UDP debe realizar a comprobación de forma obligatoria. El campo de Clase de Trafico reemplaza al campo “Tipo de Servicio”. Por último, los campos Tipo de protocolo y TTL fueron renombrados y ligeramente modificados. Agregándose un campo de Etiqueta de flujo. • • • • •
•
•
•
•
•
• •
• • • •
Versión: campo de 4 bits, permite identificar la versión del paquete IP, como son paquetes IPv6, este campo tendrá el valor 0110. Clase de tráfico: campo de 8 bits. Este campo está compuesto por el código de servicios diferenciados (DSCP) con 6 bits que es usado para clasificar paquetes, también contiene el valor de notificación explicita de congestión (ECN) con 2 bits usado para el control de la congestión del tráfico. Identificador de flujo: campo de 20 bits. Este campo ofrece un servicio especial para las aplicaciones que trabajan en tiempo real. Generalmente se usa para indicarles a los routers y switches tienen la responsabilidad de mantener la misma ruta con respecto al flujo de paquetes, para evitar que estos se reordenen. Siguiente encabezado: campo de 8 bits. Este campo se parece al campo de protocolo de IPv4. Especifica el tipo de contenido de los datos que va transportar el paquete, permitiendo que la capa de red envié los datos al protocolo de la capa superior que corresponde. Límite de saltos: campo de 8 bits. Este campo se parece a TTL de IPv4. Cuando un router procesa un paquete va disminuyendo el valor en 1 como mínimo. Si el paquete llega a 0, el paquete será descartado y se reenvía un mensaje de ICMPv6 al host que envió el paquete para darle a conocer que el paquete no llego su destino. Dirección origen: campo de 128 bits. Se especifica dirección IPv6 origen de un paquete. Dirección destino: campo de 128 bits. Se especifica dirección IPv6 destino de un paquete.
Más capacidad de enrutamiento para un excelente rendimiento y una gran escalabilidad de velocidad de reenvió. No se necesita la opción de Checksum. Extensiones de cabecera simplificados y tienen mayor eficacia (en comparación con el campo opciones de IPv4). Un campo dedicado a la identificación de flujo para procesamiento del flujo, donde ya no es necesario abrir el paquete interno de transporte para así identificar los distintos flujos de tráfico
Academy Xperts
7
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 3: Direccionamiento IPv6
Numeración Hexadecimal, Conversiones, Reglas de Omisiones, IPv6 Subnetting, Ejercicios Si tratamos de representar con números decimales del 0 a 65535, las direcciones IPv6 serían muy largas, para evitar una dirección tan larga, el formato de direcciones IPv6 es en notación hexadecimal (16 diferentes caracteres: 0-9 y a-f).
Ejemplo de Notación Hexadecimal 2001:1234:1:3:0:0:0:1
Ejemplo de Notación Binaria 128 bits=16 bytes
16 bits=2 bytes 2001
0010 0000 0000 0001
Trabajar con el método hexadecimales una forma eficaz de representar valores binarios. De la misma manera, el sistema de numeración decimal es un sistema sis tema de base diez y el binario es un sistema de base dos, el sistema hexadecimal es un sistema de base dieciséis. El sistema de numeración hexadecimal usa los números del 0 al 9 y las letras de la A a la F.
Representación de Valores Hexadecimales Hexadecimal 0 1 2 3 4 5 6 7 8 9 A B C D E F
Decimal 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Binario 0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111
Como ya conocemos 8 bits (un byte) es un conjunto binario común, el grupo de binarios 00000000 hasta 11111111 se representan en valores hexadecimales como el intervalo 00 a FF. Este puede indicar los ceros iniciales para así completar la representación de 8 bits. Por ejemplo: el valor binario: 0000 1010 en valor hexadecimal: 0A
Academy Xperts
8
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 3: Direccionamiento IPv6
Comúnmente, los números hexadecimales se interpretan en texto a través del valor 0x (ejemplo, 0x65) o también por un 65H. subíndice 16. Muy poco se utiliza seguido de una H, ejemplo, 65H No obstante, debido a que el texto en subíndice no se lo reconoce a través de una CLI o de programación, podemos decir que la representación técnica de un valor hexadecimal va con el valor 0x delante. Además, En lo que respecta a los caracteres del 0 al 9, es importante distinguir los valores hexadecimales de los decimales Las conversiones numéricas entre valores decimales y hexadecimales son simples, pero no siempre es conveniente dividir o multiplicar por 16. Con la práctica, es posible reconocer los parámetros de bits binarios que coinciden con los valores decimales y hexadecimales. En la siguiente figura, se muestran estos estos patrones para valores seleccionados de 8 bits.
Representación de Valores Hexadecimales Hexadecimal
Decimal
Binario
00
0
00000000
01
1
00000001
02
2
00000010
03
3
00000011
04
4
00000100
05
5
00000101
06
6
00000110
07
7
00000111
08
8
00001000
09
9
00001001
0A
10
00001010
0F
15
00001111
16 20
32
00001101
192
1100 0000
EC FF
1110 1100 255
El “Formato preferido” hace referencia a la dirección IPv6 que se escribe usando 32 números hexadecimales. Esto no da entender necesariamente que sea uno de los métodos más óptimos para representar una dirección IPv6.
Ejemplo:
"##$% "##$% #&'(% #&'(% ####% ####% $$$$% $$$$% ####% ####% ####% ####% ####% ####% #"## "##$% "##$% #&'(% #&'(% ####% ####% ##)*% ##)*% )'+&% )'+&% ####% ####% ####% ####% $"*, "##$% "##$% #&'(% #&'(% ####% ####% ###)% ###)% ###$% ###$% ####% ####% ####% ####% #$## -.(#% -.(#% ####% ####% ####% ####% ####% ####% ####% ####% ,/01% ,/01% (2)'% (2)'% +&.--#"% --#"% ####% #### % ####% ####% ####% ####% ####% ####% ####% ####% ####% ####% ###$ --#"% --#"% ####% ####% ####% ####% ####% ####% ####% ####% ####% ####% --##% --##% #"## ####% ####% ####% ####% ####% ####% ####% ####% ####% ####% ####% ####% ####% ####% ####
Academy Xperts
9
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 3: Direccionamiento IPv6
Ejercicio Transformar de binario a hexadecimal:
AED0: 1421: F400 : 1010 1110 0001 0101 : EEE1 : 3 1111 0110 0000 : AAA1 : 1000
La primera regla de omisión es de reducción, de hacer más pequeña las direcciones IPv6, donde se puede omitir cualquier 0 (cero) inicial en cualquier grupo de 16 bits o Hexteto. Por ejemplo: 07CA puede representarse como 7CA 7CA 05E0 puede representarse como 5E0 5E0 0F00 puede representarse como F00 F00 00FD puede representarse como FD • • • •
Tomar en cuenta, esta regla solo será válida en los ceros iniciales, y no en los ceros que se encuentran al final, ya que esto sería ambiguo, por ejemplo, el hexteto “ DEF” podría ser tanto “ 0DEF” como “DEF0”.
Preferido
2001 : 0DB8 : 000A : 1000 : 0000 : 0000 : 0000 : 0100
Sin 0 inicial
2001 : DB8 :
Preferido
FE80 : 0000 : 0000 : 0000 : 0123 : 4567 : 89AB : CDEF
Sin 0 inicial
FE80 :
Preferido
FE80 : 0000 : 0000 : 0000 : 0000 : 0000 : 0000 : 0001
Sin 0 inicial
FE80 :
Preferido
0000 : 0000 : 0000 : 0000 : 0000 : 0000 : 0000 : 0001
Sin 0 inicial
0
:
0
0
0
:
:
:
A
0
0
0
: 1000 :
:
:
:
0
0
0
0
:
0
:
0
: 100
: 123 : 4567 : 89AB : CDEF
:
:
0
0
:
:
0
0
:
:
0
0
:
:
1
1
La segunda regla de omisión permite hacer más pequeña las direcciones IPv6, y es en base a los dos puntos dobles (::) estos reemplazan cualquier cadena única y contigua de uno o más segmentos de 16 bits (hextetos) compuestos solo por ceros. Algo muy importante es que los dos puntos dobles (::) solo pueden usarse una vez , en una dirección, de lo contrario, habría más de una opción de dirección resultante posible y esto llegaría ser una confusión. A utilizar esta regla en conjunto con la primera regla de omisión de ceros iniciales, la dirección IPv6 generalmente se vuelve muy pequeña. Esto se lo conoce como “formato comprimido”. Ejemplo Dirección incorrecta: 2001:0DB8::ABCD::1234
Expansiones posibles de direcciones comprimidas ambiguas: 2001:0DB8:ABCD:0000:0000:1234 2001:0DB8:ABCD:0000:0000:0000:1234 2001:0DB8:0000:ABCD::1234 2001:0DB8:0000:0000:ABCD::1234
Academy Xperts
10
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 3: Direccionamiento IPv6
Aplicación de las dos reglas de omisiones Preferido Sin 0 inicial Comprimido
2001 : 0DB8 : 000A : 1000 : 0000 : 0000 : 0000 : 0100
Preferido Sin 0 inicial Comprimido
FE80 : 0000 : 0000 : 0000 : 0123 : 4567 : 89AB : CDEF
Preferido Sin 0 inicial Comprimido
FE80 : 0000 : 0000 : 0000 : 0000 : 0000 : 0000 : 0001
Preferido Sin 0 inicial Comprimido
0000 : 0000 : 0000 : 0000 : 0000 : 0000 : 0000 : 0001
2001 :
DB8 :
A
: 1000 :
2001 :
DB8 :
A
: 1000 :: 100
FE80 :
0
:
0
:
0
:
0
:
0
:
0
: 100
123 : 4567 : 89AB : CDEF
FE80 :: 123 : 4567 : 89AB : CDEF
FE80 :
0
FE80 ::
1
0
:
0
::
1
:
:
0
:
0
0
:
0
:
0
:
0
:
:
0
:
0
:
0
0
:
:
1
1
Ejercicios: Resolver aplicar las dos reglas de omisiones 1)
0FFF
:
000A
:
00BD
:
0000
:
0000
:
0000
:
0DAB
:
012B
2)
000E
:
000A
:
0000
:
0000
:
0000
:
0000
:
0DAB
:
012B
3)
000E
:
000A
:
0000
:
0000
:
0DAB
:
0000
:
1234
:
012B
4)
000E
:
2000
:
000A
:
0000
:
0DAB
:
0000
:
0000
:
0000
Las entidades responsables que hacen la entrega de direcciones a los ISPs es dado por los RIRs (Registros Regionales de Internet) o NIRs (Registros Nacionales de Internet) estos hacen una entrega de un /32, este a su vez hará su entrega de un /64 a sus clientes, estos clientes tendrán disponibles 2 a la 32 bloques de direcciones IPv6 para asignar, o se puede llegar asignar tantos bloques /64.
3456789 :;9<=;% ,(
@& AB<45C% $0
@& C5 7D>546=E% 0, <7>?
"##$ % #&'( % )))) % $$$$ % #### % #### % #### % #$## F@F G", @A3GH@F G*" +9IJ=KL= ABMB4?=;
G,( O?B=479? -7D=;5? G/0
N45= G0, Academy Xperts
11
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 3: Direccionamiento IPv6
Las reglas principales para la asignación de prefijos acorde al RFC 3177 son: Suscriptores de redes domésticas deberían recibir un prefijo /48. Empresas pequeñas y grandes deberían recibir un prefijo /48. Suscriptores muy grandes pueden recibir un prefijo /47 o entregar múltiples prefijos /48. Redes móviles, como vehículos o teléfonos con una interfaz de red (como bluetooth o 802.11b) deberían recibir. prefijos /64. para permitir la conexión de varios dispositivos a través de una subred. Un prefijo /64 puede ser asignado cuando se conoce que una y solo una subred es necesaria por diseño. Un prefijo /128 puede ser asignado cuando se conoce que solo un dispositivo y solo uno se va a conectar. Existen varias razones por lo que es recomendable trabajar con un prefijo /48: Los cambios que realicen los ISP serán mucho más fáciles si este prefijo /48 es usado. De lo contrario, las subredes corporativas pueden tener que ser reestructuradas al cambiar de ISP. El proceso para volver a corregir las direcciones de un sitio, el cual puede incluir operaciones paralelas del nuevo prefijo y el antiguo por cierto tiempo, es más fácil manejarlo. Hay muchos enfoques para soluciones multihoming con IPv6. Multihoming es cuando un host está conectado a más de una red. No importa el uso que se le esté dando, la complejidad será reducida si el límite de la subred es igual. Un sitio puede manejar todos los prefijos con una zona reservada de DNS. Para los sitios que comienzan usando el mecanismo de transición 6to4, la transición al espacio de direcciones IPv6 oficial será muy fácil, ya que el prefijo 6to4 es /48. Usualmente un sitio recibirá un prefijo /48, el cual provee 16 bits para Subnetting, permitiendo obtener 65536. En casos especiales, una empresa muy grande puede requerir un prefijo pequeño. • • • •
• •
•
•
•
• •
El prefijo de enrutamiento global se le denomina a la porción de prefijo, o de red, de la dirección que entrega el proveedor (ejemplo, un ISP) a un cliente o a un sitio. Hoy en día, los RIR designan a los clientes el prefijo de enrutamiento global /48. Esto comprende desde redes comerciales de empresas hasta domicilios para la mayoría de los clientes, este espacio de direcciones es más que suficiente por la cantidad de direcciones que tiene ese rango. A continuación, vemos la asignación actual prefijos y direcciones reservadas. La mayor parte del espacio de direcciones (cerca del 80%) está sin asignar, el cual deja libre para futuras asignaciones.
Asignación Sin asignar Reservado Global unicast Link-local unicast Reservada (antes unicast site-local) Dirección local IPv6 Administración privada Multicast
Prefijo Binario
Prefijo Hexadecimal
0000 0000 0000 001 001 1111 1110 10
::0/8
1111 110
2000::/3 FE80::/10 FE80::/ 10 FEC0::/10* *obsoleto FC00::/7 FC00::/ 7
1111 1101
FD00::/8 FD00::/ 8
1111 1111
FF00: :/8
1111 1110 11
Fracción de Espacio de direcciones 1/256 1/128 1/8 1/1024 1/1024
1/256
Todos los rangos de direcciones que no son mostrados en la tabla se encuentran reservados o no asignados. La IANA actualmente asigna solamente fuera del rango binario comenzando con 001. En la siguiente imagen se ve la estructura de una dirección unicast global con el prefijo de enrutamiento global /48. Siendo los prefijos /48, los prefijos de enrutamiento global más comunes.
Academy Xperts
12
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 3: Direccionamiento IPv6
• •
ID de subred: las organizaciones usan la ID de subred para reconocer una subred dentro de su ubicación. ID de interfaz: la ID de la interfaz IPv6 hace referencia a la porción de host de una dirección IPv4. El término de “ID de interfaz” se usa debido a que un único host puede tener varias interfaces, cada una con una o más direcciones IPv6.
Por ejemplo: 2001:0DB8:ACAD::/48 •
•
Podemos observar que esa dirección IPv6 tiene un prefijo que indica que los primeros 48 bits (3 hextetos) (2001:0DB8:ACAD ) son la porción de prefijo o de red de la dirección. Los dos puntos dobles ( ::) antes del prefijo /48 significan que el resto de la dirección se compone solo de ceros.
Dirección IPv6: 2001:13F8::/32 (ISP) Obtener: 256 redes
"##$%$*-(%####%####% ####%####%####%#### G*" $0 <7>? P "
5? "##$ ##$# #### #### ###$ Al Igual que ipv4 necesitamos tomar tantos bits a la derecha para crear las subredes necesarias para dar cobertura. Para el ejercicio voy a tomar tantos bits a la derecha (color azul) para crear las subredes.
"##$%$*-(%#### "##$%$*-(%####%%#### ####%%#### ####%%#### ####%%#### ####%%#### G*" A5 >9I=4RD " DSI549? T5U=C5M7I=;5? F5J45?5D>= ( <7>?
!"#$% '()*+,+'()*+,+-
!: ;< ;< =>@A>A AB C@?D EFB DB GHBD?>HI
"##$%$*-(%## "##$%$*-(%#### ##%####%####%####%####%#### %####%####%####%####%####G*" G*"
,V,P (V*" (V*"P P G,#
Academy Xperts
13
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 3: Direccionamiento IPv6
¿Cómo van a ir incrementando las subredes?
Conociendo en donde termino el segmento
"##$%$*-(%# "##$%$*-(%#### ##%####%####%####%####%#### %####%####%####%####%#### G,#
,,
"##$%$*-(%# "##$%$*-(%#### ##%%%% G,# "##$%$*-(%$ "##$%$*-(%$### ##%%%% G,# % "##$%$*-(%"##$%$*-(%-### ##%%%% G,# .; J47I54 M549 M=I<7= C5 # T=?>= ;= -
); 5;5:74 , <7>? 5; 7DM45I5D>9 ?54R C5 $ 5D $ J94 M=C= C7:7>9 T5U=C5M7I=;
"##$%$*-(%# "##$%$*-(%#### ##%%%% G,# "##$%$*-(%# "##$%$*-(%#$## ##%%%% G,# % "##$%$*-(%# "##$%$*-(%#-## ##%%%% G,# .; ?5:BDC9 M549 M=I<7= C5 # T=?>= ;= -
Se tiene un nuevo requerimiento: Seguir dividiendo en subredes para así poder asignar a nivel regional y luego a universidades.
"##$%$*-(%/# "##$%$*-(%/## ##%####%####%####%####%#### #%####%####%####%####%#### G,, !"#$%&%' )%*+,-./%'
!"#$%&%' 0-+1%$'+&.&%'
"##$%$*-(%/# "##$%$*-(%/###%% ##%% G,, "##$%$*-(%/$ "##$%$*-(%/$##%% ##%% G,, "##$%$*-(%/" "##$%$*-(%/"##%% ##%% G,, % "##$%$*-(%/"##$%$*-(%/-##%% ##%% G,,
"##$%$*-(%/# "##$%$*-(%/## ##%% G,, "##$%$*-(%/# "##$%$*-(%/#$ $#%% G,, "##$%$*-(%/# "##$%$*-(%/#" "#%% G,, % "##$%$*-(%/# "##$%$*-(%/#--#%% G,,
1. Obtener: 60 subredes, prefijo y como va ir incrementando las subredes. 2001:13F8:5300:0000/48
2. Una compañía nacional cuenta con Oficinas en 20 ciudades importantes de ese país. En cada Ciudad hay 10 oficinas. Cada oficina no tiene más de 11 departamentos. Dirección asignada por el proveedor de servicios: 2001:BABA:CAFE::/48 Datos 20 ciudades 10 oficina por ciudad 11 departamentos por oficina Se deberá obtener subredes, prefijo y como va ir incrementando las subredes. • • •
Academy Xperts
14
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 4: Tipos de Direcciones IPv6
Direcciones Unicast, Multicast, Anycast Existen tres tipos de direcciones IPv6: Unicast: Este tipo de direcciones IPv6 unicast permiten identificar de forma exclusiva una interfaz en un dispositivo que tenga habilitado IPv6. Las direcciones IPv6 de origen deben ser direcciones unicast, es decir las direcciones ip que se van a colocar en la interfaz del router. Global Link-Local Multicast: las direcciones IPv6 Multicast sirven para identificar un conjunto de interfaces, generalmente pertenecen a otros nodos. Lo que hace el router es enviar un único paquete IPv6 hacia varios destinos. Anycast: Básicamente las direcciones IPv6 Anycast son también direcciones IPv6 unicast, así mismo permiten identificar un conjunto de interfaces. La diferencia es que el paquete es entregado a una de las interfaces identificadas por la dirección. •
! !
•
•
Identificador para una sola interfaz. Un paquete que es enviado a una dirección unicast es proporcionado a solo a la única interfaz identificada en base a esa dirección. Es semejante a las direcciones IPv4 que se usan. Estas direcciones unicast se pueden añadir (sumar) con prefijos de longitud arbitraria de la misma manera de las direcciones IPv4 son agregadas en CIDR.
También existen varios sub-tipos de direcciones unicast que tienen un propósito especial como por ejemplo direcciones IPv6 con direcciones IPv4 embebidas y se dividen en: Este tipo de direcciones IPv6 son únicas y enrutables en internet IPv6. Siendo equivalentes a las direcciones IPv4 públicas. Las entidades encargadas de la asignación de los bloques de direcciones a los cinco RIR son Internet Corporation for Assigned Names and Numbers (ICANN) y el operador de la internet Assigned Numbers Authority (IANA). Hoy, solo se 001 a 2000::/3. asignan direcciones unicast globales con los tres primeros bits de 001 En la siguiente ilustración se muestra la estructura y el rango de una dirección unicast global. Este tipo de direcciones en formato binario son identificadas con el prefijo 001.
Academy Xperts
15
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 4: Tipos de Direcciones IPv6
El prefijo de enrutamiento global identifica el rango de direcciones asignadas a un sitio. Estas clases de direcciones son asignadas a los organismos internacionales y luego esto pasa esto a los ISP según la estructura jerárquica vista anteriormente. El Id de subred identifica el enlace con un sitio. Un enlace puede ser asignado a múltiples IDs de subred. Un administrador de una red de algún sitio es el encargado de la asignación de las direcciones. El ID de interfaz identifica a una interfaz en una subred y esta debería ser única.
La asignación de direcciones IPv6 ha sido delegado a los servicios regionales de registros como: ARIN (American Registry for Internet Numbers) para America del Norte RIPE (Réseau IP Européens Network Coordination Center) para Europa, Medio Oriente, Asia Central y Norte de África. APNIC (Asia Pacific Network Information Center) para las regions del Pacífico y Asia. LACNIC (Latin American and Caribbean Internet Addresses Registry) para America Latina. AFRINIC (African Network Information Center) entro en operación en el año del 2005 para cubrir África. Cada una de las regiones lleva un registro de asignaciones de direccionamiento. Como, por ejemplo: • •
• • •
Prefijo 2000::/3 2001:0000::/32 2001:DB8::/32 2001:DB8::/ 32 2002::/16 ::1/128
Asignación Espacio de direcciones unicast global Teredo Para propósitos solo de documentación y ejemplos 6to4 Loopback
Una dirección link-local se utiliza en un solo enlace y nunca debe enrutarse. No necesita un prefijo global y puede usarse para mecanismos de autoconfiguración, para descubrimiento de vecinos y en redes sin enrutadores, por lo que es útil para crear redes temporales. Supongamos que conoce a su amigo en una sala de conferencias y desea compartir archivos en sus computadoras. Puede conectar sus equipos mediante una red inalámbrica o un cable cruzado entre sus interfaces Ethernet, y puede compartir archivos sin ninguna configuración especial utilizando la dirección local de enlace.
Academy Xperts
16
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 4: Tipos de Direcciones IPv6
Una dirección IPv6 link-local facilita que un dispositivo se comunique con otros dispositivos que tengan habilitado IPv6 en el mismo enlace y solo en ese enlace (subred). Los paquetes con una dirección link-local ya sea origen o destino no pueden ser ruteadas más allá del enlace de donde se originó el paquete. Las direcciones IPv6 link-local están en el rango de FE80::/10. Además /10 indica que los primeros 10 bits son 1111 1110 10xx xxxx.
A diferencia de las direcciones IPv4, link-local cumplen una función importante en diversos aspectos de la red. La dirección unicast global no constituye un requisito, pero toda interfaz de red con IPv6 habilitado debe tener una dirección link-local.
Para realizar el ingreso a cualquier equipo MikroTik a través de IPv6, las direcciones IPv6 deben ser escritas en brackets.
Academy Xperts
17
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 4: Tipos de Direcciones IPv6
Las direcciones link local puede utilizarse para conectar cuando el dispositivo no tiene una dirección IPv6 enrutada globalmente. En alternativa a Mac Winbox.
Es muy familiar la dirección de loopback IPv4, 127.0.0.1. Es útil para solucionar problemas y probar la pila IP, ya que puede utilizarse para enviar un paquete a la pila de protocolos sin enviarlo a la subred. Con IPv6, la dirección de bucle invertido funciona de la misma manera y se representa como 0:0:0:0:0:0:1, abreviado como :: 1. Nunca se debe asignar estáticamente o dinámicamente a una interfaz. La dirección sin especificada tiene un valor de 0:0:0:0:0:0:0:0 y, por lo tanto, también se denomina dirección de todos los ceros. Es comparable a 0.0.0.0 en IPv4. Indica la ausencia de una dirección válida, por ejemplo, puede ser usada como una dirección de origen por un host durante el proceso de arranque cuando envía una solicitud de información de configuración de direcciones. Nunca se debe asignar estáticamente o dinámicamente a una interfaz y no debe aparecer como una dirección IP de destino o dentro de un encabezado de enrutamiento IPv6. Estas direcciones son globalmente únicas, pero no deben ser encaminadas al Internet. Están diseñados para ser utilizadas en sitios corporativos o confinados conjuntos de redes. Las características de las direcciones locales únicas IPv6 son las siguientes: Tener un prefijo global único, que permite filtrar en los límites de la red Permitir la conexión privada de redes sin el riesgo de conflictos de direcciones y la consecuencia de tener que renumerar uno de los sitios Son independientes del ISP Se puede utilizar para comunicaciones internas sin conexión a Internet Si se enruta accidentalmente al Internet, no se producen conflictos de direcciones Puede ser utilizado por aplicaciones como las direcciones de unidifusión globales regulares • •
• • • •
Dado que la transición a IPv6 será gradual, se han definido dos tipos especiales de direcciones para la compatibilidad con IPv4. Ambos se describen en la RFC 4291: Dirección IPv6 compatible con IPv4 Este tipo de dirección se utiliza para túneles, donde los paquetes IPv6 son enviados dinámicamente a través de una infraestructura de enrutamiento IPv4. Los nodos IPv6 que utilizan esta técnica reciben una dirección especial de unicast IPv6 que lleva una dirección IPv4 en los 32 bits de orden inferior. Este tipo de dirección hasta ahora rara vez se ha utilizado y está obsoleto en RFC 4291. Implementaciones nuevas o actualizadas ya no tendrá que admitir este tipo de dirección. Dirección IPv6 mapeada IPv4 Este tipo de dirección se utiliza para representar las direcciones de los nodos IPv4-only como direcciones IPv6. Un nodo IPv6 puede usar esta dirección para enviar un paquete a un nodo IPv4-only. La dirección también lleva la dirección IPv4 en los 32 bits de orden inferior de la dirección. •
•
Academy Xperts
18
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 4: Tipos de Direcciones IPv6
Como en IPv6 no existe Broadcast. Para sustituir este tipo de comunicación se usa Multicast. Las direcciones Multicast ayudan a reconocer múltiples interfaces o nodos en una red. De este modo este tipo de direcciones permite comunicar entre múltiples nodos de manera simultánea. Conociéndose esta comunicación de uno a muchos.
Una dirección de multidifusión es un identificador para un grupo de nodos identificados por el byte de orden superior FF, o 1111 1111 en notación binaria. Un nodo puede pertenecer a más de un grupo de multidifusión. Cuando un paquete se envía a una dirección de multidifusión, todos los miembros del grupo de multidifusión procesan el paquete. La multidifusión existe en IPv4, pero se ha redefinido y mejorado para IPv6.
n bits
180-n bits
Prefijo de Subred
Identificador de Interfaz
El primer byte identifica la dirección como una dirección de multidifusión. Los siguientes cuatro bits se utilizan para Flags, definidos de la siguiente manera: el primer bit del campo Flag debe ser cero. El segundo bit indica si esta dirección de multidifusión incorpora el Rendezvous Point. Un Rendezvous Point es un punto de distribución para un flujo de multidifusión específico en una red de multidifusión (RFC 3956). El tercer bit indica si esta dirección de multidifusión incorpora información de prefijo. El último bit del campo Bandera indica si esta dirección está asignada permanentemente, es decir, una de las direcciones de multidifusión bien conocidas asignadas por la IANA o una dirección temporal de multidifusión. Un valor de cero para el último bit define una dirección bien conocida; Un valor de uno indica una dirección temporal. El campo de scope se utiliza para limitar el scope de una dirección de multidifusión. Los posibles valores de scope son los siguientes:
Valor 0 1 2 3 4 5 6,7 8 9, A,B,C,D E F
Academy Xperts
Descripción Reservada Scope de interfaz local Scope de link-local Reservada Scope de administración local Scope de local-única Sin asignar Scope de organización local Sin asignar Scope global reservada
19
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 4: Tipos de Direcciones IPv6
Los límites de las zonas de un scope distinto de una interface-local, link-local y global deben ser definidos y configurados por los administradores de red. No se deben utilizar los scope que son reservados. Los últimos 112 bits de la dirección llevan un ID de grupo de multidifusión. En una versión anterior de la especificación, el ID de grupo estaba limitado a 32 bits para facilitar el mapeo de la dirección de grupo a direcciones MAC. En la práctica, los identificadores de grupo están normalmente limitados a 32 bits. RFC 2375 define la asignación inicial de direcciones IPv6 multicast que se asignan permanentemente. Algunas asignaciones se realizan para ámbitos fijos y algunas asignaciones son válidas para todos los ámbitos. A continuación, veremos una tabla ofrece una visión general de las direcciones que se han asignado para ámbitos fijos.
Dirección
Descripción
Scope de Interfaz Local FF01:0:0:0:0:0:0:1
Todos los nodos
FF01:0:0:0:0:0:0:2
Todos los routers
Scope Link-local FF02:0:0:0:0:0:0:1
Todos los nodos
FF02:0:0:0:0:0:0:2
Todos los routers
FF02:0:0:0:0:0:0:3
Sin asignar
FF02:0:0:0:0:0:0:5
OSPFv3 (Hellos, LSAs)
FF02:0:0:0:0:0:0:6
OSPFv3 (Designated Routers)
FF02:0:0:0:0:0:0:9
Routers RIP
FF02:0:0:0:0:0:0:C
Servidores DHCP
Las direcciones Anycast son designadas para proveer redundancia y balanceo de carga en situaciones donde múltiples hosts o routers proveen el mismo servicio. La RFC asigna un prefijo especial para las direcciones anycast, haciendo una dirección anycast reconocible solo viendo el prefijo. Anycast estaba destinado a ser usado para servicios como DNS y HTTP. Al comienzo, los desarrolladores de IPv6 estaban analizando integrar anycast la capa de red de acuerdo con RFC 1546. No se llegó asignar ningún prefijo especial. Las direcciones IPv6 anycast se encuentran en el mismo rango de direcciones que las direcciones globales unicast, y cada interfaz participante debe configurarse para tener una dirección anycast. Dentro de una red donde están las interfaces que contienen las mismas direcciones anycast, cada host debe ser anunciado como una entrada independiente en las tablas de enrutamiento. Si las interfaces anycast no tienen una región definida, cada entrada anycast (en el peor de los casos) tiene que propagarse a través de Internet, lo cual obviamente no sería lo más adecuado. Por lo tanto, se espera que el soporte para dichas direcciones globales de anycast no esté disponible o esté muy restringido.
Academy Xperts
20
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 4: Tipos de Direcciones IPv6
Cuando se utiliza direcciones anycast, tenemos que ser conscientes del hecho de que el transmisor no tiene control sobre la interfaz donde el paquete será entregado. Esta decisión solo se toma en base al de protocolo de enrutamiento (métricas). Cuando el transmisor envía varios paquetes a una dirección anycast, estos paquetes pueden llegar a destinos diferentes. Si existe varias peticiones y respuestas o en el caso de que el paquete tiene que estar fragmentado, esto puede ocasionar problemas.
n bits Prefijo de Subred
180-n bits 0
Si nos damos cuenta a simple vista, la dirección se parece a una dirección unicast regular con un prefijo que especifica la subred y un identificador establecido en todos los ceros. La similitud se basa en que las direcciones anycast son asignadas del espacio de direcciones unicast, usando cualquiera de los formatos definidos para direcciones unicast. Por esta razón, las direcciones anycast no se pueden distinguir fácilmente de las unicast. También debemos tomar en cuenta cuando una dirección unicast se asigna a dos o más interfaces esta se convierte en una dirección anycast y donde se llegó asignar las direcciones, se tendría que especificar que es una dirección anycast. Uno de los usos de las direcciones anycast es distinguir un grupo de routers correspondientes a una organización que brinda servicio de internet. internet . Estas direcciones pueden ser usadas como direcciones intermedias en un encabezado cuando se realiza un proceso de enrutamiento IPv6, consiguiendo que un paquete sea proporcionado a un proveedor de servicios. Todavía existe poca experiencia con la utilización de direcciones anycast del lado del Internet, también ciertas complicaciones y peligros se pueden dar cuando se lleguen a usarse de manera generalizada. Hasta que no se posea bastante experiencia y haya más soluciones concretas, se tienen las siguientes restricciones con las direcciones anycast IPv6: Una dirección anycast no puede ser usada como dirección origen de un paquete IPv6 Una dirección anycast no debe ser asignada a un host IPv6, es decir, sólo puede ser asignada a un router IPv6. • •
Academy Xperts
21
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 5: Enrutamiento Estático con IPv6
Enrutamiento estático, Rutas estáticas por defecto, Tabla de enrutamiento, Tipos de Rutas El ruteo (routing) es un proceso en la capa 3 del modelo OSI. El ruteo define por donde va a ser enviado el tráfico. Es necesario para que puedan comunicarse entre si diferentes subredes. El enrutamiento en IPv6 es totalmente igual que en IPv4.
El enrutamiento IPv6 no está habilitado en MikroTik de manera predeterminada. Para habilitar un router como router IPv6, ir a /System Packages, habilitar el paquete y realizar un reboot.
Es la función de buscar camino entre todos los posibles en una red de paquetes cuyas topologías poseen una gran conectividad. Dado que se trata de encontrar la mejor ruta posible, lo primero será definir qué se entiende por mejor ruta y en consecuencia cual es la métrica que se debe utilizar para medirla. Los parámetros que se manejan son: Métrica de la red Puede ser, por ejemplo, el número de saltos necesarios para ir de un nodo a otro. Aunque esta no es una métrica optima ya se supone el valor 1 para todos los enlaces, es sencilla y suele ofrecer buenos resultados. Otro tipo de métrica es la medición de retardo de tránsito entre dos nodos vecinos, en la que la métrica se expresa en unidades de tiempo y sus valores no son constantes, sino que dependen del tráfico de la red. Mejor ruta Academy Xperts
22
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 5: Enrutamiento Estático con IPv6
Entendemos por mejor ruta aquella que cumple las siguientes condiciones: Consigue mantener acortado el retardo entre pares de nodos de la red. Consigue ofrecer altas cadencias efectivas independientemente del retardo medio de tránsito. Permite ofrecer el menor costo. El criterio más sencillo es elegir el camino más corto, es decir la ruta que pasa por el menor número de nodos. Una generalización de este criterio es el coste mínimo. En general el concepto de distancia (o coste de un canal) es una medida de la calidad del enlace basado en la métrica que se haya haya definido. En la práctica se utilizan varias métricas métrica s simultáneamente. • • •
Las rutas tienen varios estados los cuales son identificados por letras. En este curso, nosotros tendremos que familiarizarnos familiariz arnos con estos términos, por ejemplo: A : Active D : Dynamic C : Connected S : Static • • • •
:
Etiqueta
Descripción
disabled (x)
Ruta deshabilitada deshabilitad a y no tiene ningún efecto en el proceso de ruteo.
active (A)
Ruta activa y es usada en el proceso de ruteo.
dynamic (D)
Ruta dinámica, asigna dinámicamente la ruta por por el cual cual va a ser enviada enviada la información.
connect(C)
Ruta conectada, se generará por por cada IP de una subnet que tiene una sesión activa en la interfaz interfaz sobre la ruta usada.
static(S)
Ruta creada por el usuario de manera fija en el router, este método forzara el envió de paquetes a través de un determinado destino definido por el usuario o administrador.
rip (r)
Ruta RIP
bgp (b)
Ruta BGP
ospf (o)
Ruta OSPF
unreachable (U)
Descartar los paquetes reenviados por esta ruta. Se notifica al originador del paquete por medio de un mensaje ICMP host unreachable (tipo 3, código 1)
•
•
•
•
Las tablas de enrutamiento de los nodos se configuran de forma manual y permanecen inalterable hasta que no se vuelve a actuar sobre ellas. Por tanto, la adaptación en tiempo real a los cambios de las condiciones de la red es nula. Las rutas estáticas que existen sobre un router son creados y conocidos por ese router. Pero, ¿que pasara si usted necesita llegar a una subred que existe en otro router? Cabe recalcar que una ruta estática es una forma manual de reenviar el tráfico a subredes desconocidas. (c ada 10 segundos) se chequea el gateway enviando check-gateway (ping|arp;Default:) .- Periódicamente (cada ya sea un ICMP echo request (ping) o u ARP request (arp). Si no se recibe respuesta del gateway en 10
Academy Xperts
23
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 5: Enrutamiento Estático con IPv6
• •
segundos, se solicita un tiempo de espera ( request time out ). Después de dos timeouts el gateway se considera inalcanzable (unreachable ). Después de recibir una respuesta del gateway se considera alcanzable (reachable) y el contador de timeout se resetea. comment (string; Default:). - Es la descripción de una ruta particular. distance (integer; Default:). - Valor usado en la selección de ruta. Las rutas con valores de distancia más pequeños tendrán preferencia. Si no se especifica el valor de esta propiedad, entonces el valor default depende del protocolo de ruteo: connected routes: 0 static routes: 1 eBGP: 20 OSPF: 110 RIP: 120 MME: 130 iBGP: 200 dst-address (IPv6/Netmask; Default: ::/0).- El prefijo IPv6 de la ruta, especifica las direcciones de destino que se puede utilizar para esta ruta. Máscara de red (número entero [0..128]) parte de esta propiedad, especifica cuántos de los bits más significativos en la dirección de destino de paquete debe coincidir con este valor. Si hay varias rutas activas que coinciden con la dirección de destino del paquete, se utiliza la más específica (con mayor valor de máscara de red). gateway (ipv6 address[,ipv6 address[,..]]; Default: ) .- Específica a qué paquete de host o de interfaz se deben enviar. Enlace Las direcciones link-local también se pueden utilizar como puertas de enlace si se especifica la interfaz. route-tag (integer; Default: ) .- Valor del atributo de la etiqueta de ruta para RIP u OSPF. Para RIP sólo los valores 0..65535 son válidos. scope (integer [0..255]; Default: ) .- Se utiliza en la resolución nexthop. La ruta puede resolver nexthop únicamente a través de rutas que tienen scope menor o igual al target-scope de esta ruta. El valor predeterminado depende del protocolo de ruta: Connected routes: 10 (si la interface está corriendo) OSPF, RIP, MME routes: 20 static routes: 30 BGP routes: 40 connected routes: 200 (si la interfaz NO está corriendo) target-scope (integer [0..255]; Default: 10 (30 for iBGP)).- Se utiliza en la resolución nexthop. Este es el valor máximo de scope para una ruta a través del cual un nexthop de esta ruta puede ser resuelto. type (unicast | unreachabe; Default: unicast) ..- Las rutas que no especifican el nexthop siguiente para los paquetes, sino que realizan alguna otra acción en los paquetes tienen un tipo diferente de la unicast habitual. ! ! ! ! ! ! !
•
•
•
•
! ! ! ! !
•
•
• • • • • • • • • • • • •
active (yes | no) .- Si la ruta está actualmente activa y se utiliza para el reenvío de paquetes. bgp (yes | no) .- Ruta BGP bgp-weight bgp-weight (integer).- Atributo de valor de BGP. connect (yes | no) .- Ruta directamente conectada. dynamic (yes | no) Dynamically added route gateway-status () ospf (yes | no) .- Ruta OSPF ospf-metric (integer) ospf-type (external-type-1 | intra-area | ...) .- Tipo de ruta OSPF received-from (string) .- Nombre del peer de BGP del cual esa ruta fue recibida. rip (yes | no) .- Ruta RIP static (yes | no) .- Ruta agregada de por el usuario. unreachable (yes | no) .- Descarta los paquetes reenviados por esta ruta. Se notifica al originador del paquete
por medio de un mensaje ICMP host unreachable (tipo 3, código 1).
Para agregar rutas estáticas en IPv6: • • • •
Menú: IPv6 N Routes + (Add) Especificar subred y mascara de subred Especificar gateway (el siguiente salto)
Academy Xperts
24
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 5: Enrutamiento Estático con IPv6
Nota: en general, las interfaces en IPv6 tienen dos direcciones IPv6: una dirección link-local y una dirección unicast global.
&745MM7WD BD7M=?> :;9<=;
&745MM7WD ;7DX ;9M=;
La ruta ::0/0 Es conocida como la ruta por defecto en IPv6. Es el destino donde se enviará todo el tráfico a subredes desconocidas. También es una ruta estática, puede ser creada por el administrador o creada automáticamente por el router. • • •
/ipv6 route ::0/0 add gateway=xxxx:xxx:xxxx::xxxx
Escenario: Vamos a tener una red pequeña la cual está conformada por dos dispositivos MikroTik RouterOS. • •
Los equipos deben estar sin ninguna configuración La interface ether1 y ether2 se colocará direccionamiento IPv6
Configuración de direccionamiento IPv6 El estudiante debe configurar el direccionamiento IP correspondiente a las Ether de acuerdo al escenario. R1 /ipv6 address add address=2001:DB8::1/64 interface=ether1 advertise=no Academy Xperts
25
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 5: Enrutamiento Estático con IPv6
R2 /ipv6 address add address=2001:DB8::2/64 interface=ether2 advertise=no
Objetivo: Comunicar varias redes LAN Esquema basado en enrutamiento estático Comprender los términos dst-address, gateway Escenario: Luego de configurar los routers basados en el diagrama, se debe realizar ruteo estático. El trafico debe fluir en sentido horario. • • •
Configuración R1 1. El estudiante debe configurar el direccionamiento IP correspondiente a las Ether de acuerdo al escenario. /ipv6 address add address=2001:db8::1 advertise=no interface=ether3 /ipv6 address add address=2001:db7::2 advertise=no interface=ether4
2.
Realizar el proceso de RUTEO para que el router R1 pueda alcanzar a la red (2001:db9::/64). Para ello debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario. El gateway de R1 será 2001:db8::2 /ipv6 route add dst-address=2001:db9::/64 gateway=2001:db8::2 distance=1
Configuración R2 1. El estudiante debe configurar el direccionamiento IP correspondiente a las Ether de acuerdo al escenario. /ipv6 address add address=2001:db8::2 advertise=no interface=ether3 /ipv6 address add address=2001:db9::1 advertise=no interface=ether4
Academy Xperts
26
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 5: Enrutamiento Estático con IPv6
2.
Realizar el proceso de RUTEO para que el router R2 pueda alcanzar a la red (2001:db7::/64). Para ello debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario. El gateway de R2 será 2001:db9::2 /ipv6 route add dst-address=2001:db7::/64 gateway=2001:db9::2 distance=1
Configuración R3 1. El estudiante debe configurar el direccionamiento IP correspondiente a las Ether de acuerdo al escenario. /ipv6 address add address=2001:db7::1 advertise=no interface=ether3 /ipv6 address add address=2001:db9::2 advertise=no interface=ether4
2.
Realizar el proceso de RUTEO para que el router R3 pueda alcanzar a la red (2001:db8::/64). Para ello debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario. El gateway de R1 será 2001:db7::2 /ipv6 route add dst-address=2001:db8::/64 gateway=2001:db7::2 distance=1
Paso Final Probar conectividad entre todos
Academy Xperts
27
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 5: Enrutamiento Estático con IPv6
Objetivo: Comunicar varias redes LAN Esquema basado en enrutamiento estático Comprender los términos dst-address, gateway Escenario: Luego de configurar los routers basados en el diagrama, se debe realizar ruteo estático. El trafico debe fluir en sentido horario. Verificar la conectividad entre todos los routers. • • •
•
•
Academy Xperts
28
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 6: Asignación de Direcciones IPv6
La forma de asignación de direcciones IPv6 es la siguiente: Configuración automática: Link Local Address fe80::/10 Stateless (sin estado) Autoconfiguración de direcciones sin estado (SLAAC) Opciones adicionales con DHCPv6 Stateful (con estado) DHCPv6 Estático • •
! !
•
!
•
Neighbor Discovery (ND) es un conjunto de mensajes y procesos que determinan las relaciones entre nodos vecinos. ND, en comparación con IPv4, reemplaza el Protocolo de resolución de direcciones (ARP), el Protocolo de mensajes de control de Internet (ICMP), el Descubrimiento del enrutador y el Redireccionamiento ICMP y proporciona funcionalidad adicional. ND es utilizado por los hosts para: Descubrir los enrutadores vecinos. Descubrir direcciones, prefijos de dirección y otros parámetros de configuración. ND es utilizado por los routers para: Anunciar su presencia, los parámetros de configuración del host y los prefijos en el enlace. Informar a los hosts de una mejor dirección de salto siguiente para reenviar paquetes a un destino específico. ND es utilizado por los nodos para: Ambos resuelven la direc dirección ción de la capa de enlace de un nodo vecino al que se envía un paquete IPv6 y determinan determina n cuándo ha cambiado la dirección de la capa de enlace de un nodo vecino. Determine si los paquetes IPv6 pueden enviarse y recibirse de un vecino. Este protocolo tiene 5 tipos de mensajes: Router Solicitation (Type 133) Router Advertisement (Type 134) Neighbor Solicitation (Type 135) Neighbor Advertisement (Type 136) Redirect (Type 137) • •
• •
•
•
• • • • •
Academy Xperts
29
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 6: Asignación de Direcciones IPv6
•
•
• •
•
•
advertise-dns (yes | no; Default: no ) .- Opción para redistribuir la información del servidor DNS mediante
RADVD. Se necesitará un software cliente de ejecución con soporte de DNS de publicidad de enrutador para aprovechar la información de DNS anunciada. advertise-mac-address (yes | no; Default: yes) Cuando se establece, estab lece, la dirección de la capa de enlace de la interfaz de salida se incluye en la RA. comment (string; Default: ) .- Nombre descriptivo de un elemento disabled (yes | no; Default: no) .- Si el elemento está desactivado o no. Por defecto la entrada está habilitada. hop-limit (unspecified | integer[0..4294967295]; Default: unspecified) .- El valor predeterminado que debe colocarse en el campo Hop Count del encabezado IP para los paquetes IP salientes (unicast). interface (all | string; Default: ) .- Interfaz en el cual se ejecutara el descubrimiento del vecino. all - Ejecutar ND en todas las interfaces. managed-addre managed-address-con ss-configura figuration tion (yes | no; Default: no) .- Las Flags que indica si los hosts deben usar autoconfiguración con estado (DHCPv6) para obtener direcciones. mtu (unspecified | integer[0..4294967295]; Default: unspecified) La opción MTU se utiliza en los mensajes de aviso del enrutador para asegurar que todos los nodos de un enlace usan el mismo valor MTU en aquellos casos en los que el enlace MTU no es bien conocido. envia la Opción Opción de MTU. MTU. unspecified – no envia other-configuration (yes | no; Default: no) .- Flag que indica si los hosts deben usar autoconfiguración con estado para obtener información adicional (excluyendo direcciones). ra-delay (time; Default: 3s) .- El tiempo mínimo permitido entre el envío de anuncios de enrutador de multidifusión desde la interfaz. ra-interval (time[3s..20m50s]-time[4s..30m]; Default: 3m20s-10m) Min-max permitido entre el envío de anuncios de enrutador de multidifusión no solicitados desde la interfaz. !
•
•
!
•
•
•
•
•
•
ra-lifetime (none | time; Default: 30m) reachable-time (unspecified | time[0..1h]; Default: unspecified) .- El tiempo que un nodo asume que
un vecino es alcanzable después de haber recibido una confirmación de accesibilidad. Utilizado por el Neighbor Unreachability Detection Algoritmo (ver Sección 7.3 de RFC 2461) retransmit-interval (unspecified | time; Default: unspecified) .- El tiempo transcurrido entre la retransmisión de los mensajes de búsqueda de vecinos. Utilizado por resolución de dirección y el Neighbor Unreachability Detection algorithm
La configuración automática de dirección sin estado (SLAAC) es un método que permite que un dispositivo obtenga. Prefijo Duración de prefijo Dirección de Gateway predeterminado de un router IPv6 sin utilizar un servidor de DHCPv6. Mediante SLAAC, los dispositivos dependen de los mensajes de anuncio de router (RA/Router Advertisement) de ICMPv6 del router local para obtener la información necesaria. • • •
Academy Xperts
30
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 6: Asignación de Direcciones IPv6
Si bien es posible configurar una interfaz en un router MikroTik con una dirección IPv6, esto no lo convierte en un “router IPv6”. Un router IPv6 es un router que presenta las siguientes características: Reenvía paquetes IPv6 entre redes. Puede configurarse con rutas estáticas IPv6 o con un protocolo de enrutamiento dinámico IPv6. Envía mensajes RA ICMPv6. • • •
Prefijo de Routing 0-64 bits
• • •
Identificador Ident ificador de Subred
Identificador Ident ificador de Interfaz
0-64 bits
64 bits
Prefijo de enrutamiento + identificador de red = 64bits /64 es el prefijo más pequeño que se puede asignar a un cliente Por lo general a un cliente se le asigna /48 - /64
Academy Xperts
31
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 6: Asignación de Direcciones IPv6
El IEEE definió el identificador único extendido (EUI) o proceso EUI-64 modificado. Este proceso utiliza la dirección MAC de Ethernet de 48 bits de un cliente e introduce otros 16 bits en medio de la dirección MAC de 48 bits para crear una ID de interfaz de 64 bits. Siendo utilizado en el momento de autoconfiguración sin estado SLAAC. Las direcciones MAC de Ethernet, por lo general, se representan en formato hexadecimal y constan de dos partes: Identificador único de organización (OUI): el OUI es un código de proveedor de 24 bits (seis dígitos hexadecimales) que asigna el IEEE. Identificador de dispositivo: el identificador de dispositivo es un valor único de 24 bits (seis dígitos hexadecimales) dentro de un OUI común. Las ID de interfaz EUI-64 se representan en sistema binario y constan de tres partes: OUI de 24 bits de la dirección MAC del cliente, pero el séptimo bit (bit universal/local, U/L) se invierte. Esto significa que, si el séptimo bit es un 0, se convierte en 1, y viceversa. Valor de 16 bits FFFE introducido (en formato hexadecimal) Identificador de dispositivo de 24 bits de la dirección MAC del cliente •
•
•
• •
•
Paso 1: Dividir la dirección MAC entre el OUI y el identificador de dispositivo FC:99:47:75:CE:E0
•
Paso 2: Insertar el valor hexadecimal FFFE FC:99:47:FF:FE:75:CE:E0
•
Paso 3: Convertir los primeros dos valores hexadecimales del OUI a binario e invertir el bit U/L (séptimo bit) En este ejemplo, el 0 en el bit 7 se cambia a 1. FC:99:47:FF:FE:75:CE:E0 11111100:99:47:FF:FE:75:CE:E0 11111110:99:47:FF:FE:75:CE:E0
El resultado es una ID de interfaz de FE99:47FF:FE75:CEE0 generada mediante EUI-64. Para implementar este proceso en una dirección IPv6 es de la siguiente manera: Prefijo IPv6 •
2001:db8:be0:75a2::/64 •
Con EUI-64 modificado en la MAC Address fe99:47ff:fe75:cee0
•
• •
Resultado final 2001:db8:be0:75a2:fe99:47ff:fe75:cee0
La ventaja de EUI-64 es que se puede utilizar la dirección MAC de Ethernet para determinar la ID de interfaz. También permite que los administradores de red localicen de una manera muy fácil una dirección IPv6 a un dispositivo final a través la dirección MAC única. Sin embargo, esto generó inquietudes con respecto a la privacidad a muchos usuarios. Les preocupa que los paquetes puedan ser rastreados a la PC física real. Debido a estas inquietudes, se puede utilizar en cambio una ID de interfaz generada aleatoriamente.
Academy Xperts
32
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 6: Asignación de Direcciones IPv6
El protocolo de configuración dinámica de host para IPv6 (DHCPv6) es similar a DHCP para IPv4. Los dispositivos pueden recibir de manera automática: La información de direccionamiento Incluso una dirección unicast global La duración de prefijo La dirección de gateway predeterminado Las direcciones de servidores DNS • • • • •
Utilizado para la delegación de prefijos a los hosts que se encuentran dentro de la red, como los routers. El proceso de configuración es el siguiente: Habilitar “Other Configuration” en la opción IPv6 ND, en el caso de que se si los hosts deben usar autoconfiguración con estado para obtener información adicional. !
/ipv6 nd set [ find default=yes ] other-configuration=yes
• •
Crear un pool de direcciones de IPv6 en el cual con dicho pool se hará la asignación de prefijos. Al momento de crear el pool se deber de especificar la longitud del prefijo que se desea asignar. /ipv6 pool add name=pool1 prefix=2001:db8::/32 prefix-length=40
399; 3456789
• •
Crear el servidor DHCP en una de la interfaz. Asignar el pool de direcciones que se creó.
Academy Xperts
33
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 6: Asignación de Direcciones IPv6
Especificar el tiempo de asignación.
•
/ipv6 dhcp-server add address-pool=pool1 interface=ether2 name=server1
@D>546=E 399; H5=?5 Y7I5
Para verificar la asignación de prefijos a un cliente, lo podemos hacer a través de la opción: IPv6 DHCPv6 Server Bindings ipv6 dhcp-server binding print / ipv6 !
!
•
address-pool (enum | static-only; Default: static-only) .- Pool IPv6, desde el cual tomar el prefijo
•
authoritative (after-10sec-delay|after-2sec-delay|yes|no;Default:after-2sec-delay) .- Si
IPv6 para los clientes.
el servidor DHCP es el único servidor DHCP en la red: : la petición de los clientes de una dirección, el servidor dhcp debe esperar 10 after-10sec-delay segundos y si hay otra solicitud del cliente después de este período de tiempo, entonces el servidor dhcp ofrecerá la dirección del cliente o enviará DHCPNAK, si la dirección solicitada no está disponible en este servidor. - la petición de los clientes de una dirección, el servidor dhcp esperará 2 segundos after-2sec-delay y si hay otra solicitud del cliente después de este período de tiempo, entonces el servidor dhcp ofrecerá la dirección al cliente o enviará DHCPNAK, si La dirección solicitada no está disponible en este servidor. Yes: a la petición de los clientes para una dirección que no esté disponible de este servidor, el servidor dhcp enviará el reconocimiento negativo (DHCPNAK) No: el servidor dhcp ignora las solicitudes de los clientes para las direcciones que no están disponibles en este servidor. binding-scrip binding-script t (string; Default: ) .- La secuencia de comandos que se ejecutará después de asignar o desasignar la vinculación. Las variables internas "globales" que se pueden utilizar en el script: bindingBound - Ajuste a "1" si está en bound, si no fijado a "0" bindingServerName – Nombre del servidor dhcp bindingDUID - DUID bindingAddress – dirección activa prefijo activo bindingPrefix – prefijo !
!
!
!
•
! ! ! ! !
Academy Xperts
34
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 6: Asignación de Direcciones IPv6
•
•
• •
•
• •
Si el campo secs en el paquete DHCP es menor que el umbral de retardo, entonces este paquete se ignora. Si se establece en none - no hay umbral (todos los paquetes DHCP se procesan) disabled (yes | no; Default: no) .-Si el servidor DHCP-PD participa en el proceso de asignación de prefijos. interface (string; Default: ) .- Interfaz en el que se ejecutará el servidor. lease-time (time; Default: 3d) .- El tiempo que un cliente puede utilizar la dirección asignada. El cliente intentará renovar esta dirección después de la mitad de este tiempo y solicitará una nueva dirección después de que expire el plazo. name (string; Default: ) .- Nombre de referencia delay-threshold (time | none; Default: none)
dynamic (yes | no) invalid (yes | no)
Para recibir el prefijo de IPv6 a través de un Server DHCPv6 PD. El cliente PD debe especificar la ruta hasta el Server DHCPv6 PD. Luego el router podrá subdividir el prefijo que recibió y después entregarlos a sus clientes. El proceso de configuración es el siguiente: Especificar en qué interfaz se recibirá los parámetros. Seleccionar que se necesita recibir un prefijo Establecer el nombre del pool que se creara. •
•
• • •
/ipv6 dhcp-client add add-default-route=yes interface=ether1 pool-name=prueba request=prefix
@D>546=E 3456789 Z9I<45 C5; 399;
En IPv6
Pool podemos verificar el pool que ha sido asignado por el Server DHCPv6 PD.
!
/ipv6 pool print
Academy Xperts
35
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 6: Asignación de Direcciones IPv6
• • •
Es un identificador único en DHCP. Tanto el client como el server poseen un DUID. El DUID es utilizado por los servidores DHCP para así reconocer a los clientes y entregar los parámetros. En el caso de los clientes lo usan para reconocer los mensajes del server y así poder recibir los parámetros.
Nota: Cuando Cuando vayamos entregar direccionamiento de manera automática del lado del cliente final (laptop, pc, entre otros)
configurar las siguientes opciones. Configurar DNS en: IP DNS •
!
/ip dns set allow-remote-requests=yes servers=2001:db8:1234:4567::1
•
Habilitar “Advertise DNS” en IPv6 ND Linux y MacOS deberían ya tener completa funcionalidad con IPv6 Si usted usa Windows tiene que habilitar “Other Configuration” !
/ipv6 nd set [ find default=yes ] advertise-dns=yes other-configuration=yes
Academy Xperts
36
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 6: Asignación de Direcciones IPv6
•
add-default-route (yes | no; Default: no) .- Si se agrega la ruta predeterminada IPv6 después de que
el cliente se conecta. •
request (prefix, address; Default: ) .- Para elegir si la solicitud DHCPv6 pedirá la dirección o el prefijo
IPv6, o ambos.
• • • • •
comment (string; Default: ).- Pequeña descripción del cliente. disabled (yes | no; Default: no) interface (string; Default: ) .- Interfaz en el que se ejecutará el cliente DHCPv6. pool-name pool-name (string; Default: ) .- Nombre del grupo IPv6 en el que se agregará el prefijo IPv6 recibido. script (string; Default: ) Ejecute este est e script en el cambio de estado de dhcp-client. dhcp-cli ent. Variables disponibles: - Si el prefijo es adquirido por el cliente; pd-valid pd-valid pd-prefix pd-prefix - El prefijo adquirido por el cliente - Si la dirección es adquirida por el cliente; na-valid na-address - La dirección que el cliente haya adquirido. pool-prefix-l pool-prefix-length ength (string; Default: ) .- Parámetro de longitud de prefijo que se establecerá para el ! ! ! !
•
grupo IPv6 en el que se agregó el prefijo IPv6 recibido. La longitud del prefijo debe ser mayor que la longitud del prefijo recibido, de lo contrario la longitud del prefijo se establecerá en longitud de prefijo recibida + 8 bits.
Objetivo: Comprender el funcionamiento DHCPv6 PD (prefijos) Escenario: R1 se debe configurar un DHCPv6 servidor para delegar prefijos a los routers E1 Y E2 Configurar DHCPv6 cliente en E1 y E2 para que reciban los prefijos /64 del servidor DHCP (R1) Configurar para que los clientes de las redes LAN reciban IP por medio de SLAAC •
• • •
Academy Xperts
37
RouterOS v6.42.0.01 – IPv6 con MikroTik RouterOS - Capítulo 6: Asignación de Direcciones IPv6
Objetivo: Evaluar lo aprendido con enrutamiento estático en IPv6, DHCPv6 PD server y client, y SLAAC. Escenario: R1 se debe configurar un DHCPv6 servidor para delegar prefijos a los routers R2 Y R3 Configurar DHCPv6 cliente en R2 y R3 para que reciban los prefijos /44 del servidor DHCP (R1) También R2 y R3 se debe configurar un DHCPv6 servidor para delegar prefijos a los routers E2, E3, E4 y E1 Configurar DHCPv6 cliente en E2, E3, E4 y E1 para que reciban los prefijos /64 del servidor DHCP (R2, R3) Configurar para que los clientes de las redes LAN reciban IP por medio de SLAAC Configurar a todos los routers rutas para que todos los dispositivos de la red (routers y laptops) se puedan ver entre sí. Verificar conectividad mediante ping •
• • • • • •
•
Academy Xperts
38
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 7: Encabezados de Extensión
Next Header, Fragmentación, Path MTU La cabecera IPv6 posee extensiones independientes y estas opciones se ubican entre la cabecera IPv6 y la cabecera de la capa de transporte de un paquete. Generalmente los routers cuando se trata de IPv6 no examinan la mayoría de los encabezados y tampoco procesan los encabezados de extensión cuando los paquetes se distribuyen para llegar a un destino en específico. Esto hace que el router mejore su rendimiento en base a los paquetes que contienen opciones. Cada cabecera de extensión implementa alguna característica opcional y funciona parcialmente como un protocolo de capa superior. Dado que los enrutadores no tienen que procesar los encabezados de extensión a menos que esté explícitamente obligado a hacerlo, el reenvío de IPv6 con funciones opcionales de extremo a extremo puede ser más ligero. Además, los encabezados de extensión pueden ser mucho más grandes que la longitud máxima de las opciones IPv4, lo que proporciona una mejor flexibilidad para nuevas opciones futuras. Para que exista un buen rendimiento se necesita controlar los encabezados de opciones, también controlar el protocolo de la capa de transporte que luego se va usar. Con respecto a los encabezados de extensión el tamaño son múltiplos de 8 bytes (excepto la cabecera de autenticación que es múltiplos de 4 bytes). Los encabezados de extensión se identifican por un valor distinto: Encabezados de Extensión Hop-by-Hop Fragment Routing (Type) Destination Options Authentication Encapsulating Security Payload
Valor 0 44 43 60 51 50
Esta extensión es examinaba y procesada por cada nodo intermedio, por ejemplo, los routers intermedios, a lo largo de la ruta de entrega de paquetes hacia el destino. Tanto el nodo origen y destino procesan esta opción de Hop-by-Hop. El valor del campo Next Header en el encabezado anterior es 0 para el encabezado de opciones Hop-by-Hop. El encabezado de opciones Hop-by-Hop debe aparecer inmediatamente después del encabezado IPv6. La fragmentación solo los realiza los nodos orígenes y estos nodos generan un valor para identificación y debe ser diferente. Cuando la cabecera utiliza la fragmentación lo realiza un nodo origen. Ese valor de identificación debe ser diferente en cada paquete fragmentado enviado de forma reciente. La fragmentación solo es necesaria cuando el tamaño del paquete es intratable a través de la red que debe ir para llegar a su destino. Al querer utilizar la fragmentación solo se lo hace cuando un nodo origen quiere enviar paquetes y el tamaño del paquete excede el mínimo MTU en el camino del paquete. Es decir, la fragmentación es manejada por la fuente de un paquete cuando la ruta MTU de un enlace a lo largo de una ruta de datos dada no es lo suficientemente grande para acomodar el tamaño de los paquetes. Tener hosts que trabajen con IPv6 ayudan a gestionar la fragmentación de paquetes, ahorrando recursos de procesamiento del enrutador IPv6 y ayuda a que las redes IPv6 funcionen de manera más eficiente.
Con respecto a los paquetes están conformados por dos partes: unfragmentables y fragmentables Los unfragmentables están conformados de: cabecera IPv6 + encabezados de extensión (Hop-by-Hop, Destination options y Routing) y estos deberán ser procesados por nodos en ruta hacia el destino. Los fragmentables es el resto del paquete que incluye los datos + encabezados de extensión (Encapsulating Security Payload). La parte unfragmentable tiene la obligación de estar presente en cada fragmento y la parte fragmentables es divida por cada uno de los fragmentos. •
•
Academy Xperts
39
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 7: Encabezados de Extensión
Los fragmentos están compuestos por: Los unfragmentable del paquete original. La cabecera del fragmento. El fragmento Proceso de Fragmentación El paquete original se divide en fragmentos de múltiplos de 8 bytes, con excepción del ultimo fragmento. Además, cada fragmento se envía en paquetes separados. • • •
Paquetes fragmentados
Fragmentación en Origen
Path MTU Es el tamaño del paquete más grande que puede cruzar de un origen hacia un destino sin la necesidad de fragmentar el paquete. En IPv6 se necesita un MTU de 1280 bytes como mínimo. En IPv4 se necesita MTU de 68 bytes Path MTU Discovery Técnica usada para descubrir el MTU mínimo del camino entre dos hosts, permitiendo que un host de manera dinámica detecte y pueda ajustarse en base al tamaño del MTU de los diferentes enlaces. Si no se llega a usar MTU Discovery, el origen fragmentara el paquete en pequeños fragmentos inferiores a 1280 bytes. • •
Academy Xperts
40
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 7: Encabezados de Extensión
Una vez conocido el MTU de la ruta de IPv6, un host que genera tráfico IPv6 tiene un cache MTU que almacena todos los MTU que recibió según los mensajes de ICMPv6 “Packet too big”. Un mecanismo de IPv6 es que puede evitar que un atacante sature la cache de MTU, ya que el host hace un seguimiento de todos los destinos a los que se ha enviado el tráfico y solamente aceptara los mensajes ICMPv6 “Packet too big” que tienen un destino específico internamente que llegue a coincidir con los destinos rastreados. Ahora si algún dispositivo malintencionado llegara a conocer que destino está originando el tráfico, está en la posibilidad de enviar un mensaje ICMPv6 “Packet too big” hacia un destino, incluso si un atacante no se encuentra en la ruta de acceso hacia un destino y llegara a forzar la entrada a la cache MTU. El dispositivo empezara a realizar la fragmentación del tráfico hacia el destino, por lo cual solo afectara de forma significativa el rendimiento del dispositivo. Un nodo de origen que realiza enrutamiento de origen utiliza el encabezado de Routing para listar nodos intermedios (llamados segmentos de ruta) que se van a recorrer en una ruta de entrega de paquetes. El valor del campo Next Header en el encabezado anterior es 43 para el encabezado Routing. Un encabezado de opciones de destino lleva información opcional que qu e sólo es examinada por el nodo de destino (la dirección de destino en el encabezado IPv6). Un valor Next Header de 60 identifica este tipo de encabezado. Como se mencionó anteriormente, el encabezado Opciones de destino puede aparecer dos veces en un paquete IPv6. Cuando se inserta antes de un encabezado Enrutamiento, contiene información que debe procesar los enrutadores enumerados en el encabezado. Este tipo de extensión ofrece integridad sin conexión, autenticación de los datos de origen protección contra ataques de repeticiones. Al momento de realizar la autenticación utiliza un valor para comprobar es integridad y lo hace en base la carga útil, encabezado y los campos que no sufren cambios en IPv6 y las opciones. Hay que tomar en cuenta que esta extensión no provee privacidad y confidencialidad de los datos que viajan en los paquetes. Esta extensión también provee integridad sin conexión, autenticación de los datos de origen protección contra ataques de repeticiones, pero esta extensión si provee privacidad y confidencialidad de los datos que viajan en los paquetes.
Derecha: Un paquete simple de IPv6 (fila superior) con un encabezado TCP y una carga de datos. La segunda fila muestra el paquete con un encabezado de enrutamiento adicional, la tercera fila tiene enrutamiento y encabezados de fragmentos.
Academy Xperts
41
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
ICMPv6, Fragmentación, Path MTU ICMPv6 es una implementación directa del protocolo ICMP (que fue diseñado en IPv4), aunque en esta nueva versión se han añadido nuevas extensiones. Donde incluye funcionalidades de ICMPv4, ARP e IGMP. En esta nueva versión se ejecuta en Multicast y Unicast. Generalmente este protocolo es usado para reportar errores que son encontrados en el procesamiento de paquete, rendimiento, diagnostico (como ping), rendimiento del Neighbor Discovery (utilizado por los nodos IPv6). Por esta razón los mensajes de ICMP se dividen en: error messages y information messages. Los mensajes ICMP viajan en los paquetes IPv6 con extensiones de cabecera. Estos mensajes son identificados con el valor de 58 en el campo Next Header en la cabecera IPv6. Una de las funciones que tiene este protocolo es el descubrimiento de vecinos por medio de Neighbor Discovery (ND), siendo este usado por los nodos que se encuentra en un mismo medio físico para: •
Descubrir la presencia entre dos nodos Determinar la dirección de nivel de enlace de los vecinos Localizar routers Conservar información sobre el alcance de sus vecinos
• • •
El paquete ICMPv6 está compuesto por 4 campos que son: El campo Tipo compuesto de 8 bits indica el tipo de mensaje, si el valor de bit superior del campo tiene un valor de cero (los valores en el rango 0 a 127) es un mensaje de error, si el valor del bit superior del campo tiene un valor de 1 (los valores en el rango 128 a 255) es un mensaje de información. El campo código compuesto de 8 bits depende del tipo de mensaje y es usado para dar más información. El campo de checksum es usado para detectar errores en los mensajes icmp y los mensajes IPv6. •
• •
Tipo
1
Código 0 1 2 3 4 5 6 7
2 3
4
0 1 0 1 2 3
128 129 130 131 132 133 134 135 136 137
Academy Xperts
Descripción del Mensaje ICMPv6 Destination Unreachable No route to destination Communication with destination administratively prohibited Beyond scope of source Address Address unreachable Port unreachable Source Address failed ingress/egress policy Reject route to destination Error in Source Routing Header Packet Too Big Time Exceeded Hop limit exceeded in transit Fragment reassembly time exceeded Parameter Problem Erroneous header field encountered Unrecognized Next Header type encountered Unrecognized IPv6 option encountered IPv6 First Fragment has incomplete IPv6 Header Chain Echo Request Echo Reply Multicast Listener Query Multicast Listener Report Multicast Listener Done Router Solicitation Router Advertisement Neighbor Solicitation Neighbor Solicitation Redirect Message
42
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
138
139
140
0 1 255 0 1 2 0 1 2
141 142 144 145 146 147
Router Renumbering Router Renumbering Command Router Renumbering Result Sequence Number Reset ICMP Node Information Query The Data field contains an IPv6 address which is the Subject of this Query. The Data field contains a name which is the the Subject of this Query, or is empty, as in the the case of a NOOP. The Data field contains an IPv4 address which is the Subject of this Query. ICMP Node Information Response A successful reply. The Reply Data field may or may not be empty. The Responder refuses to supply the answer. The Reply Data field will be empty. The Qtype of the Query is unknown to the Responder. The Reply Data field will be empty. Inverse Neighbor Discovery Inverse Neighbor Discovery Home Agent Address Discovery Home Agent Address Discovery Mobile Prefix Solicitation Mobile Prefix Advertisement
Cualquier nodo que reenvía un mensaje ICMP tiene que determinar las direcciones IPv6 de origen y destino para el mensaje ICMP. Eso sí, debe existir cuidado al momento de elegir la dirección de origen; ya que, si el nodo llega a tener más de una dirección unicast, debe hacer la elección de la siguiente forma: Si el mensaje es una respuesta a un mensaje enviado a una de las direcciones de unicast de nodo, la dirección de origen de la respuesta debe ser la misma dirección. Si el mensaje es una respuesta a un mensaje enviado a un grupo multicast o anycast al que pertenece el nodo, la dirección fuente de la respuesta debe ser una dirección unicast perteneciente a la interfaz en la que se recibió el paquete multicast o anycast. Si el mensaje es una respuesta a un mensaje enviado a una dirección que no pertenece al nodo, la dirección de origen debe ser la dirección de unicast que pertenece al nodo que será la más útil para comprobar el error (por ejemplo, la dirección unicast perteneciente a la interfaz en la que falló el reenvío de paquetes). En otros casos, se deben examinar las tablas de enrutamiento de nodos para determinar qué interfaz se utilizará para transmitir el mensaje a su destino y la dirección de unicast que pertenezca a esa interfaz debe utilizarse como la dirección de origen del mensaje •
•
•
•
Los mensajes de error ICMPv6 son similares a los mensajes de error ICMPv4. Pertenecen a cuatro categorías: Destination Unreachable, Packet Too Big, Time Exceeded y Parameter Problems. Destination Unreachable El mensaje Destination Unreachable, se genera cuando la red debe descartar un paquete IPv6 porque el destino no está disponible. La dirección de destino IPv6 del paquete ICMP es, por tanto, la dirección de origen del paquete desechado. Este tipo de mensaje puede ser generado por un enrutador o por un nodo de destino que no puede entregar el mensaje; solo así el router o nodo se ve obligado a descartar el mensaje. Se elimina un paquete sin generar un mensaje de este tipo sólo cuando la red está congestionada; generar mensajes ICMP hará que la congestión empeore.
Packet Too Big El mensaje Packet Too Big se genera cuando la red debe descartar un paquete IPv6 porque su tamaño excede a la MTU del enlace saliente. La información contenida en el paquete ICMP se utiliza como parte del procedimiento Path MTU Discovery. La dirección de destino IPv6 del paquete ICMP es, por tanto, la dirección de origen del paquete eliminado. La dirección de destino IPv6 del paquete ICMP es, por tanto, la dirección de origen del paquete que es descartado.
Academy Xperts
43
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
Time Exceeded El mensaje Time Exceeded se genera cuando un enrutador debe descartar un paquete IPv6 porque su campo de límite de salto es cero o decrementa a cero. Este mensaje indica que un bucle de enrutamiento o un valor de límite de salto inicial es demasiado pequeño. Otra razón es la imposibilidad de re ensamblar un paquete fragmentado dentro del límite de tiempo permitido. La dirección de destino IPv6 del paquete ICMP es, por tanto, la dirección de origen del paquete eliminado.
Parameter Problems Este tipo de mensaje es generado cuando un nodo de IPv6 debería descartar un paquete porque se ha llegado detectar un problema en los campos de la cabecera IPv6 o en alguna extensión de la cabecera. La dirección IPv6 destino de un paquete ICMP es por lo tanto el origen de la dirección de los paquetes que son descartados. Los tres errores que se pueden detectar son los siguientes:
• •
•
Erroneous header field: un campo en la cabecera que tiene un valor ilegal que ha sido detectado. Unrecognized next header: la siguiente cabecera (next header) no es reconocida por el nodo que está implementando IPv6. Unrecognized IPv6 option: el paquete sostiene una opción que no es reconocida en el nodo que está implementando IPv6.
Este es un segundo tipo de mensajes ICMP que ofrece mensajes informativos. Estos tipos de mensajes se subdividen en tres grupos: diagnostic messages, messages for management of multicast groups y mensajes de Neighbor Discovery. Echo Request Message Los mensajes Echo Request y Echo Reply son mensajes de diagnóstico con el que se puede verificar si un destino es alcanzable. El formato de estos dos mensajes es igual, en el cual se tiene los siguientes campos: Tpye: valor de 129 Code: valor de cero Identifier: es utilizado para establecer una relación entre los mensajes de Echo Request y Echo Reply. Sequence Number: número de secuencia utilizada para establecer una relación entre los mensajes de Echo Request y Echo Reply. Data: contiene de cero o más octetos de datos arbitrarios generados por un procedimiento de diagnóstico. • • • •
•
Academy Xperts
44
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
Echo Reply Message Cada nodo en IPv6 debería de tener implementado la funcionalidad de ICMP especialmente la de Echo Reply en el cual tiene la capacidad de recibir mensajes de Echo Request y enviar la respuesta correspondiente. Los campos que comprende este mensaje son los siguientes: Tpye: valor de 129 Code: valor de cero Identifier: es copiado desde el mismo campo en el mensaje de Echo Request. Sequence Number: es copiado desde el mismo campo en el mensaje de Echo Request. Data: es copiado desde el mismo campo en el mensaje de Echo Request. • • • • •
Multicast Listener Discovery Protocol También conocido como protocolo MLD es el encargado de la administración de los grupos Multicast y es usado para intercambiar información de grupos entre hosts y routers Multicast. Mult icast. Este Est e protocolo fue diseñado en base a IGMP y este nuevo protocolo es similar en varios puntos. MLD es definido como parte de ICMPv6 a diferencia IGMP es definido como un protocolo separado de la capa de transporte. Existen dos versiones de MLD: versión 1 (MLDv1) basada en la versión de IGMPv2 y la versión 2 (MLDv2) basada en la versión 3 de IGMP. MLDv1 consiste en tres tipos de mensajes: Multicast Listener Query Message: la dirección destino es igual a las direcciones Multicast de un grupo siendo requerido o igual al enlace local de All-Nodes de las direcciones Multicast. Multicast Listener Report: la dirección destino es igual a las direcciones Multicast de un grupo que se informa o termina. Multicast Listener Done: este tipo de mensaje causara que el requerimiento envíe una dirección Multicast especifica. Todo esto hace que exista más procesamiento en cada router y en cada dirección del listener, y que exista paquetes extras en el enlace, pero esto no causa perdida de tráfico. Router Solicitation Message Los nodos IPv6 transmiten los mensajes de Router Solicitation para pedir a los routers que generen mensajes de Router Advertisements de forma inmediata, con el fin de que se generen anuncios de manera más rápida. La dirección de origen de un mensaje de Router Solicitation es una dirección unicast desde la interfaz por donde se envía el mensaje, en el caso de que no exista una dirección específica, el destino suele ser un grupo de direcciones conocidas como multicast. Los campos que encontramos en este mensaje son los siguientes: Priority: campo de la cabecera IPv6 es ajustada a 15 Type: campo es igual 133 Code: es igual a cero Reserved: El campo reservado no se utiliza; se debe inicializar a cero durante la transmisión e ignorado en la recepción. Options: en este campo puede aparecer la opción que lleva la dirección de capa 2 desde un nodo origen si se conoce. •
•
•
• • • •
•
Academy Xperts
45
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
Router Advertisement Message Los routers envían mensajes de Router Advertisement periódicamente o en respuesta de un mensaje Router Solicitation. Los campos que encontramos en este mensaje son los siguientes: Priority: campo de la cabecera IPv6 es ajustada a 15 Type: campo es igual 134 Code: es igual a cero Cur Hop Limit: específica a los nodos que reciban el aviso del valor por defecto del campo Hop Limit de la cabecera IPv6 para ser usada durante la transmisión del paquete. Un valor de cero significa que el router que hace el envió no sugiere ningún valor por defecto. M (Managed Address configuration): campo de 1 bit, cuando se ejecuta este campo indica a los nodos que reciban los Advertisement (avisos) que se deben de utilizar con el protocolo de stateful para la autoconfiguración de direcciones. Quiere decir que se puede trabajar con direccionamiento a través DHCPv6. Además, SLAAC no se usará. O (Other Stateful Configuration): campo de 1 bit, cuando se ejecuta este campo indica a los nodos que reciban los Advertisement (avisos) (avi sos) que se deben de utilizar con el protocolo de stateful para la autoconfiguración de direcciones. Cuando se escoje esta opción se da entender que existe información de configuración de DHCPv6 (por ejemplo, información DNS que se necesita para clientes windows). En el caso de no llegar establecer el indicador M y ni O, quiere decir que no hay información disponible con el DHCPv6. Reserved: El campo reservado no se utiliza; se debe inicializar a cero durante la transmisión e ignorado en la recepción. Router Lifetime: Lifet ime: contiene el periodo de tiempo en milisegundos que un nodo asume cuando un vecino es alcanzable después de haber recibido una confirmación de que es alcanzable. Este parámetro es utilizado por el algoritmo Neighbor Unreachable Detection. Retrans Timer: contiene el tiempo en milisegundos entre la retransmisión de los mensajes Neighbor Solicitation. Es utilizado por los algoritmos de Neighbor Unreachability Detection. o Las opciones que podemos encontrar en el campo de Options son: o La opción que especifica la dirección de capa 2 (capa de enlace) del nodo de origen, si se conoce. o La opción que especifica el enlace de MTU. o La opción de información de prefijo especifica el prefijo que se usó para la dirección de autoconfiguración. Un router debería incluir todos sus prefijos de enlaces para que los hosts multihomed se auto configuren correctamente. • • • •
•
•
•
•
•
Neighbor Solicitation Message Los nodos en Ipv6 son los encargados de transmitir los mensajes de Neighbor Solicitation para solicitar direcciones de la capa 2 de los nodos de destino, mientras que también proporciona al objetivo su propia dirección de capa de enlace. Los mensajes de solicitud de los vecinos se envían a direcciones multicast cuando un nodo necesita resolver una dirección cuando un nodo busca verificar la accesibilidad de un vecino. Las direcciones de origen de los mensajes de Neighbor Solicitation son direcciones unicast de la interfaz que transmiten el mensaje o durante el procedimiento Duplicate Address Detection. Los campos que encontramos en este mensaje son los siguientes: Priority: campo de la cabecera IPv6 es ajustada a 15 Type: campo es igual 135 • •
Academy Xperts
46
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
• •
•
•
Code: es igual a cero Reserved: El campo reservado no se utiliza; se debe inicializar a cero durante la transmisión e ignorado en la recepción. Target Address: campo que especifica el objetivo de la dirección de un nodo destino que es la dirección IPv6 del nodo al que se envía el mensaje de solicitud de vecino. Options: en este campo puede aparecer la opción que lleva la dirección de capa 2 desde un nodo origen si se conoce.
Neighbor Advertisement Message Cuando el estado de los nodos cambia, se reenvía un mensaje de Neighbor Advertisement para propagar rápidamente las modificaciones y poder responder los mensajes de Neighbor Solicitation. El campo de la dirección IPv6 de origen es igual establecido a la dirección de la interfaz desde el cual el mensaje es enviado y la dirección de destino es igual a la dirección del nodo que solicito el mensaje o de un mensaje Multicast. Los campos que encontramos en este mensaje son los siguientes: Priority: campo de la cabecera IPv6 es ajustada a 15 Type: campo es igual 136 Code: es igual a cero R (Router flag): campo de 1 bit indica si se establece que el nodo origen es router. S (Solicitation flag): campo de 1 bit que indica que el mensaje ha sido enviado como respuesta a un mensaje Neighbor Solicitation. O (Override flag): campo de 1 bit que indica si el mensaje debería actualizarse en la cache de la dirección de la capa de enlace. Reserved: El campo reservado no se utiliza; se debe inicializar a cero durante la transmisión e ignorado en la recepción. Target Address: campo que especifica los anuncios solicitados, de la dirección del nodo que solicito este anuncio. el objetivo de la dirección de un nodo destino que es la dirección IPv6 del nodo al que se envía el mensaje de solicitud de vecino. Para los anuncios no solicitados, este campo especifica la dirección IPv6 el cual la dirección de la capa de enlace cambio. Options: en este campo contiene la opción de especificar la dirección objetivo de la capa de enlace, esto es la dirección de la capa enlace del nodo que envió el mensaje de Royer Adverstiment. • • • • •
•
•
•
•
Redirect Message Los routers transmiten mensajes de Redirect para informar a los nodos de un mejor primer salto hacia su destino. Los hosts pueden ser re direccionados a otro router conectado en el mismo enlace, pero más común al otro vecino (esto puede ser obtenido por el campo de la dirección del objetivo de mensaje de Redirect y el campo de la dirección destino al mismo valor). El campo de la dirección IPv6 de origen es igual a la dirección link-local de una interfaz por la cual el mensaje es enviado, y la dirección destino es igual a la dirección de origen de un paquete que causa el mensaje de Redirect. Los campos que encontramos en este mensaje son los siguientes: Priority: campo de la cabecera IPv6 es ajustada a 15 Type: campo es igual 137 Code: es igual a cero • • •
Academy Xperts
47
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
•
•
• •
Reserved: este campo no es utilizado, este campo debería ser inicializado en cero por el que envía e ignorado por el que recibe. Target Address: contiene para los mensajes solicitados, la dirección del nodo que solicito la respuesta. Cuando la dirección de destino es el punto final de la comunicación, es decir cuando el destino es un vecino, el campo debe contener el mismo valor que el campo de dirección de destino. Caso contario e Target Address será la dirección link-local de un mejor enrutador del primer salto hacia el destino. Destination Address: contiene una dirección IPv6 de destino que es redireccionada a el Target Address. Options: las siguientes opciones pueden aparecer: o La opción contiene la dirección del Target Address de la capa de enlace, si es conocida. o La cabecera de Redirect, esta opción contiene la parte inicial del paquete que causa el mensaje de Redirect, eso si que el paquete ICMP no exceda los 576 octetos.
En IPv6 ya no existe ARP (Address Resolution Protocol). Este protocolo es reemplazado con ICMP basado el Protocolo ND (Neighbor Discovery), este protocolo utilizada los mensajes ICMP para encontrar y resolver las direcciones IPv6 de los vecinos de la capa 2. Lo que hace este protocolo es que los hosts aprendan las direcciones IPv6 de los vecinos que se encuentran alrededor a nivel de la capa 2. Esto quiere decir que debe aprender los hosts y routers dentro de la red local, esto sería una de las diferencias con ARP de IPv4. En las redes IPv6 el protocolo ND hace uso de los mensajes ICMPv6 y solicita direcciones Multicast-node para realizar su función principal, el cual es rastrear y descubrir otros hosts IPv6 que se encuentran presentes al otro lado de las interfaces conectadas. Otro uso que suele tener este protocolo es a nivel de Address Autoconfiguration. Este protocolo provee el intercambio de mensajes para los siguientes procesos: Stateless Address Autoconfiguration (SLAAC) Duplicate Address Detection (DAD) Router Discovery Prefix Discovery Neighbor Discovery Parameter discovery link MTU, hop limits Neighbor Address Resolution Neighbor and Router reachability verification Router Discovery Mientras que los hosts en IPv4 deben confiar en la configuración de direccionamiento de manera manual y del DHCP para proveer direccionamiento de forma dinámica, los hosts en IPv6 pueden automáticamente ubicar routers por defecto en el enlace. Esto lo hace a través de los mensajes de ICMPv6: Router Solicitation (type 133) y Router Advertisement (type 134). Cuando se une por primera vez un enlace, un host IPv6 envía mensajes Multicast a un grupo de routers que manejen Multicast, y cada router activo en el enlace responde, enviando mensajes de Router Advertisement con su dirección al grupo de all-nodes. • • • • • • • •
Academy Xperts
48
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
Los mensajes de Router Advertisement indican las rutas fuera de los enlaces locales, pero también dan información adicional que es necesaria para asistir otras operaciones de ND. Prefix Discovery Una de las opciones que incluye los mensajes de Router Information es la opción de Prefix Information (type 3). Cada opción de Prefix Information enumera una prefijo IPv6 (subred) alcanzable en el enlace local. Además, no es muy común que múltiples prefijos IPv6 existan en el mismo enlace, y los routers lleguen incluir más de un prefijo en cada advertisement. El host que conoce que prefijo es alcanzable, se puede comunicar directamente con los destinos de esos prefijos sin la necesidad de pasar tráfico a través del router. Parameter Discovery Otra opción incluida en los mensajes de Router Advertisement es la opción de MTU (type 5), el cual avisa a los hosts que MTU utilizar. Por ejemplo, este valor generalmente es 1500 para las redes ethernet. Sin embargo, no todos los enlaces tienen un tamaño de MTU estandarizado. est andarizado. Usando esta opción asegura que todos los hosts conozcan el correcto MTU a usar. Los mensajes de Router Advertisement también especifican los valores por defecto de los hosts que deberían utilizar para el numero de saltos de IPv6. Esta no es una opción, pero es un campo que agrega en la cabecera del mensaje de Router Advertisement. Address Resolution Esta función de la resolución de direcciones fue manejada en IPv4, pero ya en IPV6 es manejado por ICMPv6. Este proceso es muy similar al router Discovery, dos mensajes ICMPv6 son utilizados: Neighbor Solicitation (type 135) y Neighbor Advertisement (type 136). Un host busca la dirección de la capa de enlace de los vecinos Multicast, un Neighbor Solicitation y los vecinos responde con su dirección de capa de enlace en un mensaje de Neighbor Advertisement.
Academy Xperts
49
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
ND utiliza cinco tipos de mensajes ICMPv6: Router Solicitation (Tipo 133) Router Advertisement (Tipo 134) Neighbor Solicitation (Tipo 135) Neighbor Advertisement (Tipo 136) Redirect (Type 137) • • • • •
Es fácil para los vecinos IPv6 rastrear uno al otro, básicamente para asegurar que la asignación de direcciones de Capa 3 a Capa 2 se mantenga actualizada, con el uso de información localizada por diferentes medios. No es sólo la presencia de un anuncio de un vecino o enrutador que define la accesibilidad, pero hay un requisito adicional de confirmación, donde se detecta el fracaso de un vecino o el fracaso de no haber encontrado el camino hacia el vecino. Aquí están las dos formas en que un nodo confirma la accesibilidad: Cuando un host envía un requerimiento de dirección Multicast solicited-node a otro host, luego este responde con Neighbor Advertisement o Router Advertisement. Cuando un host se encuentra interactuando con un host, este en respuesta obtiene información desde un protocolo de la capa superior, donde le indica que tiene dos caminos para la comunicación o la interacción. Un TCP ACK donde solo podrá trabajar para los protocolos orientados a conexión. UDP no acepta las tramas y no puede ser usado para verificar si un vecino es alcanzable. •
•
Es una función dedicada dentro de las funciones de las solicitudes de los vecinos (Neighbor Solicitation). Cuando un Address Configuration es ejecutada por un host, ese host automáticamente no asume que esa dirección es única. Probablemente sea verdad que esa dirección sea única, como en el caso del proceso EUI-64 genera una dirección IPv6 de una dirección MAC el cual debe de ser única. Pero si las direcciones IPv6 son configuradas de manera manual, se necesitaría comprobar y estar seguros de que no están duplicadas, esto se lo hace por medio del DAD. El proceso del DAD es el siguiente: El host primero se unirá a la dirección All Nodes Multicast y a la dirección Node Multicast por el cual se va a comprobar si es única. A continuación, el host simplemente envía algunos mensajes NS (mensajes Neighbor Solicitation) a la dirección del Nodo Solicitado como destino. El campo de dirección de origen permanecerá indefinido con una dirección no especificada que se escribe como esto "::". La dirección que se está verificando está escrita dentro del campo Target Address, al que nos referimos como campo de dirección tentativa. La dirección origen del mensaje es una dirección no especificada (::). Allí es una única dirección en el campo de Target Address en el mensaje de Neighbor Solicitation. Si el host que envía esa clase de mensaje recibe una respuesta de Neighbor Advertisement, significa que la dirección no es única. El propósito de usar este proceso por los hosts que implementan IPv6 es verificar que son únicas, ya que pueden llegar a ser configuradas de manera estática o por autoconfiguración. •
•
•
El propósito de este protocolo es permitir que cada router IPv6 el descubrimiento de la presencia de Multicast Listener en sus enlaces directamente conectados y determinar específicamente que direcciones Multicast son de interés para los nodos. Este protocolo fue diseñado basado en IGMP para IPv4 y las especificaciones del protocolo son totalmente igual para IPv6. Los mensajes de MLD son generalmente enviados con una dirección origen de IPv6 link-local. El hop limit es siempre 1 previniendo el reenvió de mensajes MLD por un router.
Academy Xperts
50
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
El protocolo ND es utilizado por los hosts y routers, siendo estos vulnerables a varios ataques si no se tiene protección. Para dar protección al ND, fue diseñado dis eñado el protocolo SEND,el cual vendría ser una extensión. Este Est e protocolo tiene varias opciones: Cryptographically Generated Addresses (CGA) Esta opción previene el robo de direcciones. La dirección IPv6 del nodo está ligada a una llave pública. Cada nodo debe de generar u obtener una llave RSA publica/privada antes de llegar a tener una dirección. Y la opción CGA verifica esa llave. RSA Signature La firma de llave publica mantiene la integridad de los mensajes y autentica la identidad del emisor. Esta opción protege los mensajes por el requerimiento de una llave publica basada en las firmas ligadas a cada mensaje de ND. Timestamp Esta opción provee protección y asegura que los avisos que no fueron solicitados y los re direccionamientos no sean repetidos. Nonce Protege el mensaje cuando se usa tanto Solicitation-advertisement. Se asegura de que un anuncio es una nueva respuesta a una solicitud enviada anteriormente por el nodo. Certification Path Solicitation La autorización es proporcionada tanto para los routers y hosts con los routers que obtienen certificados de un lugar de confianza. desde un origen de confianza y los hosts que se llegan a configurar para autorizar a los routers. A través de los mensajes de Solicitation y Advertisement son utilizados para conocer la ruta de certificación que sea de confianza. Los hosts enviaran Solicitudes de rutas certificadas. SEND aparece con dos tipos de mensajes ICMPv6 nuevos: Certificate Path Solicitation (CPS) Certificate Path Advertisement (CPA) •
•
•
•
•
• •
Son aquellas direcciones que consta de un formato de 64 bits generado de forma aleatoria como un ID de interfaz, en vez de utilizar una dirección MAC de la interfaz. Las direcciones temporales constan con las siguientes características: El ID es aleatorio El ID varia con el tiempo Son direcciones adicionales, a las direcciones de SLAAC Uso Estas direcciones se usan para conexiones salientes Estas direcciones estables se usan para conexiones entrantes Permanecen sin mitigar Ataques generados a dispositivos específicos Identificación de redes Quizás en algún momento hemos visto y sobre todo en Windows direcciones IPv6 que aparecen con el nombre “Temporary IPv6 Address”, para la generación de estas direcciones temporales se basa en un algoritmo que trabaja de manera aleatoria. También se rige a la RFC 4941, generando direcciones temporales para las conexiones salientes. Aunque también se puede desactivar la generación de direcciones temporales y hacer que trabaje con el formato EUI-64 o si no se requiere se puede incluso deshabilitar. • • •
• •
• •
Para comenzar a trabajar en el firewall en IPv6 debemos ir a la opción: IPv6 ! Firewall Trabajar con el firewall en IPv6 obtenemos las opciones de Filters, Mangle, Address Lists y Connection Tracking recordar que no vamos encontrar NAT ya que en IPv6 no existe.
Academy Xperts
51
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
Escenario: Previamente configurar direccionamiento IPv6 correspondientes a las interfaces del router y PC, basándonos en el diagrama.
Paso 1 Crear las 4 reglas básicas en INPUT, asumiendo que la interfaz eth2 está conectada a una WAN (insegura), configurar las siguientes reglas: Aceptar tráfico de conexiones establecidas y relacionadas de la cadena input Aceptar tráfico ICMPv6 desde direcciones link-local fe80::/10 de la cadena input Aceptar tráfico ICMPv6 hacia direcciones link-local fe80::/10 de la cadena input Descartar todo el tráfico restante de la cadena input • • • •
/ipv6 firewall filter add action=accept chain=input comment=\ "IN-aceptar conexiones establecidas y relacionadas" connection-state=\ established,related add action=accept chain=input comment="IN-aceptar trafico desde link-local" protocol=\ icmpv6 src-address=fe80::/10 add action=accept chain=input comment="IN-aceptar hacia la link-local" dst-address=\ fe80::/10 protocol=icmpv6 add action=drop chain=input comment="IN-Descartar todo lo demas" in-interface=ether2
Nota: Hay que tomar en cuenta que se necesita permitir el protocolo ICMPv6 ya que es necesario para la fragmentación y el proceso de Discovery. Paso 2 Crear las 2 reglas básicas en INPUT, configurar las siguientes reglas: Aceptar tráfico de conexiones establecidas y relacionadas de la cadena forward Descartar todo el tráfico restante de la cadena forward • •
/ipv6 firewall filter add action=accept chain=forward comment=\ "FW-Aceptar conexiones establecidas y relacionadas" connection-state=\ established,related add action=drop chain=forward comment="FW-Descartar todo lo demas" in-interface=ether2
Academy Xperts
52
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
Las reglas que vamos a ver a continuación son reglas que cargan al momento que se hace un reset de fábrica al router MikroTik. Estas reglas pueden ser de mucha utilidad para estructurar un firewall IPv6 avanzado.
Reglas de Firewall Input Address Lists Dentro de este Address lists se encuentran las direcciones IPv6 que no se deben recibir o permitir dentro de nuestra nueva red. /ipv6 firewall address-list add address=::/128 comment="unspecified address" list=bad_ipv6 add address=::1/128 comment="lo" list=bad_ipv6 add address=fec0::/10 comment="site-local" list=bad_ipv6 add address=::ffff:0.0.0.0/96 comment="ipv4-mapped" list=bad_ipv6 add address=::/96 comment="ipv4 compat" list=bad_ipv6 add address=100::/64 comment="discard only " list=bad_ipv6 add address=2001:db8::/32 comment="documentation" list=bad_ipv6 add address=2001:10::/28 comment="ORCHID" list=bad_ipv6 add address=3ffe::/16 comment="6bone" list=bad_ipv6 add address=::224.0.0.0/100 comment="other" list=bad_ipv6 add address=::127.0.0.0/104 comment="other" list=bad_ipv6 add address=::/104 comment="other" list=bad_ipv6 add address=::255.0.0.0/104 comment="other" list=bad_ipv6
/ipv6 firewall filter add action=accept chain=input comment=\ "IN:accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=input comment="IN:drop invalid" connection-state=\ invalid
Academy Xperts
53
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
add action=accept chain=input comment="IN:accept ICMPv6" protocol=\ icmpv6 add action=accept chain=input comment="IN:accept UDP traceroute" port=\ 33434-33534 protocol=udp add action=accept chain=input comment=\ "IN:accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\ udp src-address=fe80::/16 add action=accept chain=input comment="IN:accept IKE" dst-port=500,4500 \ protocol=udp add action=accept chain=input comment="IN:accept ipsec AH" protocol=\ ipsec-ah add action=accept chain=input comment="IN:accept ipsec ESP" protocol=\ ipsec-esp add action=accept chain=input comment=\ "IN:accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=input comment=\ "IN:drop everything else not coming from LAN" in-interface-list=\ !LAN
Reglas de Firewall Forward add action=accept chain=forward comment=\ "FW:accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="FW:drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "FW:drop packets with bad src ipv6" src-address-list=bad_ipv6 add action=drop chain=forward comment=\ "FW:drop packets with bad dst ipv6" dst-address-list=bad_ipv6 add action=drop chain=forward comment="FW: rfc4890 drop hop-limit=1" \ hop-limit=equal:1 protocol=icmpv6 add action=accept chain=forward comment="FW:accept ICMPv6" protocol=\ icmpv6 add action=accept chain=forward comment="FW:accept HIP" protocol=139 add action=accept chain=forward comment="FW:accept IKE" dst-port=\ 500,4500 protocol=udp add action=accept chain=forward comment="FW:accept ipsec AH" protocol=\ ipsec-ah add action=accept chain=forward comment="FW:accept ipsec ESP" protocol=\ ipsec-esp add action=accept chain=forward comment=\ "FW:accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=forward comment=\ "FW:drop everything else not coming from LAN" in-interface-list=\ !LAN
Academy Xperts
54
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
Nota: Aun no existe la opción de Layer 7 en IPv6, si fuera el caso de realizar algún tipo de bloqueo de páginas, tenemos la opción de crear Address Lists y especificar la URL de la página.
Años atrás el protocolo TCP/IP fue creado, y con el fin de que exista comunicación entre diferentes instituciones que se encuentran en varias partes del mundo y así poder intercambiar información valiosa, donde no tomaron en cuenta en su diseño uno de los puntos más importantes que es la seguridad. Ya en los siguientes años el crecimiento del Internet fue muy grande, existen millones de personas y empresas todos los días conectados al internet, además con este aumento comenzó existir inseguridad. Debido a los diferentes tipos de ataques, se trató de contrarrestar teniendo soluciones basadas en la pila TCP/IP, pero en realidad solo era solo parches, siendo esto una desventaja al trabajar con IPv4. Ya con IPv6 se decidió añadir seguridad en la capa red. IPsec es un estándar que brinda seguridad al Protocolo IP a nivel de la capa 3 y también los protocolos que se encuentran en las capas superiores. Como sabemos IPsec tiene soporte en IPv4 e IPv6, en IPv4 solo es una extensión y en IPv6 ya es obligatorio obligator io (de acuerdo con las extensiones de la cabecera IPv6). Siendo una ventaja ventaja trabajar con IPsec ya que ofrece seguridad en todas las aplicaciones, a diferencia de otras soluciones como SSL que depende de aplicaciones para poder trabajar. Los beneficios de seguridad que se obtienen son: Integridad Autenticidad Confidencialidad Para que IPsec haga posible ofrecer estos beneficios, lo hace en base a varios conceptos, protocolos y algoritmos que se van a ver a continuación: Algoritmos de Hash o Resumen Este algoritmo se utiliza para la parte de autenticación y constatar la integridad. Además, realiza la entrega de una secuencia de bits (pequeña longitud), que va ligada a un paquete. Uno de los problemas que tiene este algoritmo son las colisiones, pero no habría muchos problemas ya que los mensajes que sufren colisiones pierden el sentido y no tienen algún aspecto valido. Los algoritmos de Hash más conocidos y extendidos son: • • •
Academy Xperts
55
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
MD5: trata mensajes de cualquier longitud (longitud variable) y trata bloques uniformes de 512 bits al mismo tiempo, hasta que se finalice con el mensaje total con la finalidad de proporcionar a la salida un bloque “resumen” de 128 bits (longitud fija). SHA -1: convierte un mensaje a una larga lista de letras y números que son utilizados como huella criptográfica (hash) para dicho mensaje. Los dos algoritmos se pueden utilizar en IPsec y el más seguro seria SHA-1 •
•
Se usan para cifrar los datos de una manera simétrica, estos algoritmos usan una clave para cifrar y descifrar el mensaje, si la clave es grande será más seguro. El trabajo que hacen estos algoritmos es dividir el mensaje en bloques de tamaño fijo y sobre estos bloques se ejecutan sustituciones y transposiciones. La sustitución se basa en ocultar la relación que existe entre un mensaje claro, un mensaje cifrado y la clave. En cambio, la transposición trata de repartir cada uno de los bits del mensaje original entre el mensaje que se encuentra cifrado. Los algoritmos de cifrado que tenemos: DES: se considera inseguro, ya que se pudo romper el cifrado. 3DES: mejorado de DES no tiene desventajas prácticas, pero si teóricas. AES: uno de los últimos algoritmos de cifrado y el más robusto. • • •
Estas asociaciones de seguridad (SA) corresponde a conjunto de parámetros como los algoritmos de cifrado, claves y entre otros. Estas asociaciones se usan para establecer una comunicación de forma segura segura y trabaja en conjunto con los protocolos AH o ESP y el modo de utilización de IPsec (transporte o túnel). Este protocolo provee comunicación cifrada y autenticación entre dos nodos, y lo realiza en dos fases. La primera fase se especifican los algoritmos de cifrados, llaves y métodos de autenticación que se usaran para la conexión. La segunda fase se realiza una negociación en base al canal seguro que se creó en la primera fase. Con IPsec lo que se hace es negociar un SA entre dos hosts remotos. Un host ofrecerá los algoritm os de cifrado, y el receptor dará una respuesta indicando que algoritmos permite. Lo SA se creerán en base algoritmos comunes, y así hace que la creación de claves sea automatizada. Después se selecciona la SA para la comunicación IPsec. Para la negociación con claves IKE se lo puede hacer a través de claves compartidas con anticipación o con certificado digitales. Para que los SA se establezcan entre dos hosts se puede usar cualquiera de las dos opciones, a diferencia de cunado se necesita con las comunicaciones Multicast ahí si necesita certificados. Estos dos protocolos son cabeceras de extensión en IPv6 y son los responsables de ofrecer seguridad en la capa de red. La cabecera de extensión de Autenticación (AH), brinda integridad y autenticación del tráfico a nivel de la capa 3, el host que recibe los paquetes puede autenticar el origen de los datos y constatar que no hayan sido modificados en el trayecto. Hay que tomar en cuenta que los datos viajan en texto plano y en algún momento pueden ser vistos por terceros. Para evitar esto se usan algoritmos de resumen o hash. La cabecera de extensión de Cifrado Seguro de Datos (ESP), es la encargada de evitar que los datos sean visibles, a través del cifrado. Además, esta cabecera brinda confidencialidad y también integridad y autenticación, lo hace mediante un mecanismo parecido al de AH. Se pueden usar estos dos protocolos en conjunto para así proveer una seguridad más robusta. Con estos dos protocolos tienen dos formas de uso: •
•
Realiza cifrado y autenticación de la carga útil o el payload, pero las cabeceras no se toman en cuenta. Las ventajas que tiene es que se puede usar extremo a extremo, pero considerando que los datos como direcciones IPs origen y destino van a ser visibles. Realiza la encapsulación del paquete original dentro de otro paquete. Al realizarlo de esta forma cifra y autentica el primer paquete, siendo este el original, pero es necesario de alguna plataforma que realice el túnel.
Academy Xperts
56
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
Todo el tráfico entre las redes 2001:db8:be0:6501::/64 y 2001:db8:be0:7500::/64 será encriptado a través de IPsec. Para ello tenemos el siguiente escenario.
Paso 1 R1 (Router 1) debe de configurar Peer contra su vecino y configurar los parámetros de Address (dirección (dirección IP Wan de su vecino) y definir un Secret : mikrotik123 /ip ipsec peer add address=2001:db8:be0:7501::1/128 dh-group=modp1024 port=500\ secret=mikrotik123
Academy Xperts
57
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
R2 (Router 2) debe de configurar Peer contra su vecino y configurar los parámetros de Address (dirección (dirección IP WAN de su vecino) y definir un Secret : mikrotik123 /ip ipsec peer add secret=mikrotik123
Academy Xperts
address=2001:db8:be0:7501::2/128
dh-group=modp1024
port=500\
58
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
Paso 2 R1 (Router 1) debe crear un Policies donde debemos colocar la red LAN A y la de nuestro vecino para que se puedan comunicar entre sí y pasen a través del túnel IPsec. El Proposal que se va utilizar será default. /ip ipsec policy add src-address=2001:db8:be0:7500::/64 dst-address=2001:db8:be0:6501::/64 \sa-dstaddress=2001:db8:be0:7501::1 sa-src-address= 2001:db8:be0:7501::2 tunnel=yes
Academy Xperts
59
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
F5C H)Z C5 F$ F5C H)Z C5 F"
[=<7;7>=4 ;= 9JM7WD C5 YSD5; @3 \=D C5 F$ @3 \=D C5 F"
R2 (Router 2) debe crear un Policies donde debemos colocar la red LAN B y la de nuestro vecino para que se puedan comunicar entre sí y pasen a través del túnel IPsec. El Proposal que se va utilizar será default. ip ipsec policy / ip add dst-address=2001:db8:be0:7500::/64 sa-dst-address=2001:db8:be0:7501::2 \ sa-src-address=2001:db8:be0:7501::1 src-address=2001:db8:be0:6501::/64 tunnel=yes
Academy Xperts
60
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 8: Seguridad en IPv6
F5C H)Z C5 F" F5C H)Z C5 F$
[=<7;7>=4 ;= 9JM7WD C5 YSD5; @3 \=D C5 F" @3 \=D C5 F$
Paso 3 R1 (Router 1) debe verificar que llega a la IP de la LAN remota ejecutando un ping \ping 2001:db8:be0:6501::2 SEQ HOST SIZE TTL TIME STATUS 0 2001:db8:be0:6501::2 56 127 0ms echo reply 1 2001:db8:be0:6501::2 56 127 1ms echo reply 2 2001:db8:be0:6501::2 56 127 1ms echo reply 3 2001:db8:be0:6501::2 56 127 1ms echo reply sent=4 received=4 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms
R2 (Router 2) debe verificar que llega a la IP de la LAN túnel remoto ejecutando un ping \ping 2001:db8:be0:7500::2 SEQ HOST SIZE TTL TIME STATUS 0 2001:db8:be0:7500::2 56 127 0ms echo reply 1 2001:db8:be0:7500::2 56 127 0ms echo reply 2 2001:db8:be0:7500::2 56 127 1ms echo reply 3 2001:db8:be0:7500::2 56 127 1ms echo reply sent=4 received=4 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms
Academy Xperts
61
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 9: Mecanismos de Transición
Dual Stack, 6to4, 6RD, Teredo, DS-lite Como ya conocemos, actualmente no existe direcciones IPv4 por entregar, pero no quiere decir que el protocolo IPv4 ya no es utilizado, al contrario, aún sigue siendo el que predomina en internet. Sin embargo, ya es necesario ir pensando en el cambio a IPv6 ya que un futuro este protocolo será el que regirá. Si deseamos hacer este cambio a nuestra red en estos momentos, debemos saber que este cambio no es sencillo, no es solo actualizar equipos, previamente cualquier empresa, entidad, organización necesita hacer una planificación y conocer que tipos de mecanismos son los necesarios para este cambio o transición transici ón y para exista coexistencia entre ambos protocolos IP. Se denomina transición porque aparentemente son formas en que se puede mover la red a IPv6. En realidad, es muy probable que IPV4 e IPv6 estén trabajando juntos durante mucho tiempo, por lo cual existen varios mecanismos que permiten conectarse a internet en IPv6 incluso si los equipos funcionan en IPv4. Entre los diferentes tipos de mecanismos de transición que podemos encontrar son los siguientes: Dual Stack: ambos protocolos IPv4 e IPv6 trabajen en conjunto tanto en hosts y routers. Túneles: encapsular paquetes IPv6 en IPv4 para así enviar tráfico a través de redes en IPv4 (viceversa). Traducción: traducir de IPv6 a IPv4 y viceversa. • • •
Los hosts o routers en nuestra red manejan los dos protocolos IPv4 e IPv6 al mismo tiempo, solo se necesita configurar IPv4 e IPv6 en todos los routers y hosts. Cuando ambas pilas TCP/IP son usados en los nodos, ofrece flexibilidad al momento de establecer sesiones de un extremo a otro en una red IPv4 o IPv6. Para que trabajen de manera simultánea se debe al campo de la cabecera “Longitud Total” que indica el payload que es el encargado de conocer el tamaño de la información útil del paquete, siendo esta distinta en ambos protocolos. De esta forma los paquetes llegan a los hosts del Dual Stack son des encapsulados y enviados al Stack del host correspondiente.
Características La comunicación en IPv4 será solo en una red de IPv4. La comunicación en IPv6 será solo en una red de IPv6. Ventajas La comunicación se lleva a cabo entre los nodos de la red, sin tener la obligación de realizar encapsulación o traducción. Desventajas Hay que configurar dos redes y mantenerlas No disminuye el requerimiento de direcciones IPv4. • •
•
• •
Academy Xperts
62
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 9: Mecanismos de Transición
Este es otros de los métodos que permite crear redes IPv6, lo que hace este método es trabajar sobre la red IPv4 y no realizar ningún cambio en la configuración de enrutamiento en IPv4. Generalmente la configuración de túneles se usa cuando la red completa o cierta parte de la red no ofrece el cambio total en IPv6 nativo. Por lo que el tráfico de IPv6 tendrá que pasar por la red IPv4 y eso no posible a través de “túneles”. En realidad, los métodos de túneles son seleccionados cuando queremos incursionar en este nuevo mundo y hacer pruebas en IPv6. La tunelización también conocida como encapsulamiento, es un procedimiento que encapsula todo un protocolo dentro de otro protocolo, y de esa forma transportar los datos originales sobre el otro protocolo. Siendo este mecanismo utilizado cuando dos nodos que utilizan el mismo protocolo necesitan comunicarse a través de una red que utiliza otro protocolo. Para que el proceso de tunelización se realice, debe cumplir tres pasos: Encapsulamiento Desencapsulamiento Administración del túnel • • •
Objetivo Interconectar sites IPv6 por medio de redes IPv4 Característica Configuración manual de ambos extremos de los túneles Se necesita dos direcciones IP en ambos extremos del túnel (IPv6 y IPv4) Ventajas Los túneles son soportados por la mayoría de las plataformas. No se necesita de una aplicación adicional. Es transparente para IPv6. Desventajas No es escalable Overhead • •
• •
• •
Academy Xperts
63
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 9: Mecanismos de Transición
Este tipo de mecanismo de transición fue dado a conocer en el año 2000, como túneles automáticos de un router a otro router que usa el prefijo designado por la IANA (2002::/16) para así asignar los diferentes sitios que participaran con los túneles 6to4. Lo que hace este tipo de túnel es que los sitios IPv6 que se encuentran apartados se logren comunicar con otros sitios IPv6 con solo configuraciones fáciles y rápidas. El proceso que se lleva a cabo este túnel es de que un sitio IPv6 apartado se designara así mismo una dirección IPv6 global con prefijo 2002:address_IPv4::/48 , donde “address_IPv4” se basa en la dirección IPv4 publica que se encuentra en el router de borde IPv4. Ahora esta dirección IPv4 publica debe ser estática y no sería recomendable crear este túnel con direcciones IPv4 publicas dinámicas. El prefijo que se asigna a los sitios IPv6, es un prefijo /48 que permite a un sitio IPv6 utilizarlo como si este prefijo /48 hubiera sido asignado por uno de los RIRs, es es decir configurar direcciones direcciones IPv6 dentro de nuestra nuestra red. Para que exista la comunicación entre sitios IPv6 no es necesario configuración explicita en los túneles, la configuración de este túnel no requiere configuración de ruteo IPv6 alguna, dado que el enrutamiento IPv4 será el designado de realizar esa tarea.
Funcionamiento Se asigna un prefijo a 6to4 El prefijo 2002::/16 quiere decir que es 6to4 El túnel se enlaza automáticamente. A través de mensajes “Router Advertisements” los routers conocen las subredes. Objetivos Enlace directo de dos redes por medio de túneles dinámicos. Características Este tipo de túnel se crea de manera automática. No se necesita tener direccionamiento IPv6 previo Los nodos del túnel son los routers de cada una de las redes. Ventajas Los túneles se crean de manera automática. No necesitan configuración El túnel se establece solo en el momento necesario Cada sitio IPv6 únicamente necesita solo una dirección IPv4 pública. Se puede tener hasta !"# redes IPv6. Desventajas • • • •
•
• • •
• • • •
Academy Xperts
64
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 9: Mecanismos de Transición
Únicamente se puede utilizar el prefijo 2002::/16 Se necesitan direcciones IPv4 Podemos encontrar servicios listos para utilizar túneles de 6to4 sin ningún costo, por ejemplo: Hurricane Electric SixXS Donde Hurricane Electric ofrece un servicio 6to4 con configuración lista para utilizar con RouterOS, cabe recalcar que para crear este túnel debemos tener un ip publica estática. MikroTik posee una interfaz 6to4 y es ahí donde se configura el túnel. En el cual debemos colocar las direcciones publicas locales y remotas. Además, 6to4 usa encapsulación por lo que la MTU debe ser cambiada a una más pequeña. • •
• •
ZB5?>4= @3 3B<;7M= @3 C=C= J94 YBDD5; '49X54 Ejemplo de configuración de un túnel 6to4 con Hurricane Electric El siguiente ejemplo mostrará cómo obtener conectividad IPv6 en un dispositivo RouterOS a través de la red IPv4 usando el túnel 6to4. Para poder crear el túnel, debe tener una dirección IPv4 pública y habilitar el ping desde el servidor Tunnel Broker IPv4. Cuando se crea un túnel con Hurricane Electric Tunnel Broker se recibirá un prefijo enrutado / 64 IPv6 e información adicional necesaria para configurar el túnel. En este ejemplo asumimos que la dirección IPv4 publica es 190.12.55.235
Lo primero que necesitamos es crear una cuenta en la página https://tunnelbroker.net/
Una vez creada la cuenta, ingresar e ir a la opción Create Regular Tunnel , luego especificar la dirección ipv4 publica y escoger el servidor del túnel que deseamos y creamos el túnel.
Academy Xperts
65
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 9: Mecanismos de Transición
Una vez creado el túnel, nos dará información como: direccionamiento IPv4 e IPv6 del servidor y el cliente, los prefijos IPv6 y los DNS que necesitamos al momento de configurar el túnel 6to4 en nuestro router MikroTik.
Academy Xperts
66
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 9: Mecanismos de Transición
Como ya tenemos los datos los siguiente es configurar el túnel y lo podemos hacer de dos maneras: La primera forma es que la misma página de Hurricane Electric nos da los comandos de configuración para colocarlos directamente en nuestro terminal del router MikroTik.
La segunda forma realizar la configuración paso a paso en nuestro router MikroTik con los datos que nos dieron.
Paso 1 El router que tiene la pública debe de configurar las direcciones IPv4 local (externa) y remota (externa) para armar el túnel 6to4. También se be modificar el tamaño de MTU, Hurricane Electric Tunnel Broker sugiere un MTU 1280. Recuerde que: Local-address se refiere a la IPv4 pública local. Remote-address se refiere a la IPv4 pública del túnel Hurricane. • •
/interface 6to4 add name=sit1 local-address=190.12.55.235 remote-address=66.220.18.42\ mtu=1280
Academy Xperts
67
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 9: Mecanismos de Transición
Paso 2 Se debe de asignar direccionamiento IPv6 en la interface 6to4 tunnel recién generada. La dirección IPv6 ha asignar será la dirección IPv6 client que nos dio como dato Hurricane. /ipv6 address add address=2001:470:c:f0e::2/64 advertise=no interface=sit1
Academy Xperts
68
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 9: Mecanismos de Transición
Paso 3 Crear una ruta IPv6 con destino 2000::/3, ya que el rango 2000::/3 se asigna a los RIRs y el Gateway será la dirección IPv6 del server Hurricane. /ipv6 route add dst-address=2000::/3 gateway=2001:470:c:f0e::1
Paso 4 Verificar que tenemos salida a Internet ejecutando un ping a Google a la IP 2001:4860:4860::8888 /ping 2001:4860:4860::8888 SEQ 0 1 2 3
HOST 2001:4860:4860::8888 2001:4860:4860::8888 2001:4860:4860::8888 2001:4860:4860::8888
SIZE TTL TIME STATUS 56 60 136ms echo reply 56 60 154ms echo reply 56 60 145ms echo reply 56 60 136ms echo reply
sent=6 received=6 packet-loss=0% min-rtt=136ms avg-rtt=141ms max-rtt=154ms
6RD (IPv6 Rapid Deployment on IPv4) fue implementado por un ISP francés llamado FREE y se encuentra detallado en la RFC5569. Este tipo de túnel es una extensión de 6to4 que soluciona inconvenientes de asimetría y falta de control sobre los relays usados. Además, permite que un ISP pueda implementar una red en IPv6 sin la necesidad de cambiar su núcleo, permitiendo una implementación muy rápida de IPv6 hasta el cliente final. Cabe tener en cuenta que del lado del cliente se requiere tener un software adicional para que se llegue a realizar la encapsulación de IPv6 en paquetes IPv4.
Academy Xperts
69
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 9: Mecanismos de Transición
El túnel 6RD está compuesto por dos elementos: CPE 6RD: trabaja muy similar a un router 6to4, lo único que cambia es el prefijo usado del bloque de direcciones del ISP, el prefijo que se asigna es de 32 bits pero si desea se selecciona otro prefijo más largo. Relay 6RD: se encuentra en la red del ISP y dispone de conectividad IPv6 y IPv4 nativa. •
•
Este mecanismo de transición que encapsula paquetes IPv6 a través de UDP y después sobre IPv4 , para que los túneles funcionen en redes nateadas, el prefijo que usan los clientes es 2001:0000::/32. Al trabajar con este mecanismo solo un cliente se conecta, no toda la red. Teredo está compuesto por tres elementos: Servidor Teredo: ofrece una dirección IPv4 al cliente, cuando el cliente aprendió el direccionamiento IPv4, de manera automática construye una dirección IPv6 del server, en dicha dirección IPv6 se incrusta una dirección IPv4. Relay Teredo: ayuda a los clientes poder conectarse a los hosts que solo necesitan IPv6. Cliente Teredo: es un nodo que se encuentra detrás de un NAT, para configurar una dirección el cliente recibe el prefijo del server, donde se necesita que el cliente obligatoriamente tenga una dirección IPv4 para así sustentar el mapeo de la dirección el puerto que estará asociado con el puerto del servicio de Teredo. •
• •
Ventajas Admite conectividad IPv6 detrás de un NAT. Desventajas Es unos de los últimos mecanismos a considerar implementar ya que tiene bajo performance por motivo del overhead y el de mensajes adicionales como keepalive, icmpv6, bubble messages. Vulnerable a los ataques DoS y Spoofing. Solo puede existir conexión IPv6 a un host por cada túnel. •
•
• •
Este tipo de túnel encapsula paquetes IPv4 en paquetes IPv6 de transporte para luego ser entregado a un destino final de IPv4. DS-Lite combina IPv4 en IPv6 en el túnel con NAT. Además, este mecanismo provee direccionamiento IPv6 de forma nativa a los nuevos clientes y recibe direccionamiento IPv4 privado. DS-Lite está compuesto por los siguientes elementos: B4 (Basic Bridging BroadBAND): el dispositivo del cliente brinda funcionalidad B4. El dispositivo del cliente asigna direcciones IPv4 privadas a los hosts en las redes domésticas. B4 se conecta con la red de acceso del proveedor de servicio utilizando la dirección IPv6 asignada por el proveedor del servicio y utiliza esta dirección IPv6 para establecer el túnel con el dispositivo AFTR. •
Academy Xperts
70
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 9: Mecanismos de Transición
•
AFTR (Address Family Translation Router): generalmente se implementa en el borde de la red IPv6 del ISP y finaliza el túnel creado con el elemento B4 del cliente. AFTR también proporciona IPv4-IPv4 NAT para traducir la dirección IPv4 privada del cliente a una dirección IPv4 pública antes de enviar los paquetes a la red pública.
Ventajas Una solución ligera para permitir conectividad IPv4 sobre redes IPv6 Evita la necesidad de múltiples niveles de NAT Permite a los ISP mover su core y sus redes de acceso a IPv6, lo que permite beneficiarse de las ventajas de IPv6. Permite la coexistencia de IPv4 e IPv6 Ayuda a resolver el problema de escasez de direcciones IPv4. Permite incrementar la migración de un ambiente nativo de IPv6. Desventajas No provee la función de que los hosts IPv6 e IPv4 se comuniquen entre sí. Incrementa el tamaño del tráfico debido a las cabeceras del túnel, lo cual requiere administración del MTU debido a la fragmentación. • • • • • •
• •
Academy Xperts
71
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
IPIPv6, EoIP v6, GRE6, PPPoE Existen diferentes tipos de túneles que usan para diferentes aplicaciones. RouterOS de MikroTik en IPv6 permite trabajar con los siguientes túneles: IPIPv6 EoIPv6 GRE6 • • •
Este tipo de túnel es un protocolo simple que trabaja en capa 3 que realiza encapsulación de paquetes IP sobre paquetes IP para lograr la creación de un túnel entre dos routers. Además, este tipo de túnel es compatible con otras marcas como Cisco y Linux. Al trabajar con este túnel tenemos la posibilidad posibilid ad de realizar configuraciones de red como, por ejemplo: tunelizar intranets a través de Internet y también utilizarlo en vez de enrutar la fuente. Algo muy importante a tomar en cuenta es que no hay autenticación o 'estado' para esta interfaz. El uso del ancho de banda de la interfaz se puede monitorear con la función del monitor desde el menú de la interfaz. La funcionalidad del túnel IP / IPv6 sobre IPv6 se puede configurar desde el menú: /interface ipipv6 ya que utiliza las mismas propiedades que la versión IPv4. Para crear un túnel se debe especificar la dirección del Router local y del Router remoto en ambos lados del túnel.
El laboratorio a continuación será una simulación del escenario en la red pública para lo cual trabajaremos con dos router principales como medio de acceso a la nube. Los pasos por seguir en este laboratorio son los siguientes: Paso 1 R1 (Router 1) debe de configurar las direcciones IPv6 local (externa) y remota (externa) para armar el túnel. Recuerde que: Local-address se refiere a la IPv6 externa local (R1) Remote-address se refiere a la IPv6 externa remota (R2) • •
/interface ipipv6 /interface ipipv6 add name=ipipv6-tunnel1 local-address=2001:db8:be0:7501::2 \ remote-address=2001:db8:be0:7501::1
Academy Xperts
72
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
R2 (Router 2) debe de configurar las direcciones IPv6 local (externa) y remota (externa) para armar el túnel. Recuerde que: Local-address se refiere a la IPv6 externa local (R2) Remote-address se refiere a la IPv6 externa remota (R1) • •
Academy Xperts
73
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
/interface ipipv6 add name=ipipv6-tunnel1 local-address=2001:db8:be0:7501::1 \ remote-address=2001:db8:be0:7501::2
Academy Xperts
74
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
Paso 2 R1 (Router 1) debe de asignar direccionamiento IP en la interface ipipv6 tunel1 recién generada /ipv6 address add address=2001:db8:7777::1 advertise=no interface=ipipv6-tunnel1
R2 (Router 2) debe de asignar direccionamiento IP en la interface ipipv6 tunel1 recién generada /ipv6 address add address=2001:db8:7777::2 advertise=no interface=ipipv6-tunnel1
Paso 3 R1 (Router 1) debe verificar que llega a la IP del túnel remoto ejecutando un ping /ping 2001:db8:7777::2 SEQ 0 1 2 3
HOST 2001:db8:7777::2 2001:db8:7777::2 2001:db8:7777::2 2001:db8:7777::2
SIZE TTL TIME 56 64 0ms 56 64 2ms 56 64 2ms 56 64 2ms
STATUS echo reply echo reply echo reply echo reply
sent=6 received=6 packet-loss=0% min-rtt=0ms avg-rtt=1ms max-rtt=2ms
R2 (Router 2) debe verificar que llega a la IP del túnel remoto ejecutando un ping /ping 2001:db8:7777::1 SEQ HOST SIZE TTL TIME 0 2001:db8:7777::1 56 64 0ms 1 2001:db8:7777::1 56 64 1ms 2 2001:db8:7777::1 56 64 0ms 3 2001:db8:7777::1 56 64 1ms sent=4 received=4 packet-loss=0% min-rtt=0ms avg-rtt=0ms
STATUS echo reply echo reply echo reply echo reply max-rtt=1ms
Paso 4 R1 (Router 1) debe agregar un IPsec secret en la interfaz del túnel IPIPv6 (debe ser el mismo secret en ambos router). Luego observar la IP en IP IPsec menú y probar conectividad por medio de ping. /interface ipipv6 add name=ipipv6-tunnel1 nam e=ipipv6-tunnel1 ipsec-secret=mikrotik123 \ local-address=2001:db8:be0:7501::2 remote-address=2001:db8:be0:7501::1
Academy Xperts
75
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
R2 (Router 2) debe agregar un IPsec secret en la interfaz del túnel IPIPv6 (debe ser el mismo secret en ambos router). Luego observar la IP en IP IPsec menú y probar conectividad por medio de ping. /interface ipipv6 add name=ipipv6-tunnel1 nam e=ipipv6-tunnel1 ipsec-secret=mikrotik123 \ local-address=2001:db8:be0:7501::1 remote-address=2001:db8:be0:7501::2
Paso 5 R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota ( 2001:db8:be0:6501 ::/64) especificando como Gateway la dirección IP de la interface del túnel IPIP remota. /ipv6 route add dst-address=2001:db8:be0:6501::/6 dst-address=2001:db8:be0:6501::/64 4 gateway=2001:db8:7777::2
R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota ( 2001:db8:be0:7500 ::/64) especificando como Gateway la dirección IP de la interface del túnel IPIP remota. /ipv6 route add dst-address=2001:db8:be0:7500::/6 dst-address=2001:db8:be0:7500::/64 4 gateway=2001:cafe:db8::1
Academy Xperts
76
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
Paso 6 R1 (Router 1) debe verificar que llega a la IP de la interfaz LAN remota ejecutando un ping /ping 2001:db8:be0:6501::1
R2 (Router 2) debe verificar que llega a la IP de la interfaz LAN remota ejecutando un ping /ping 2001:db8:be0:7500::1
El túnel de Ethernet sobre IP (EoIP) es un protocolo MikroTik RouterOS que crea un túnel Ethernet entre dos routers en la parte superior de una conexión IP. El túnel EoIP puede ejecutarse sobre túnel IPIP, túnel PPTP o cualquier otra conexión capaz de transportar IP. Cuando la función bridge del router está habilitada, todo el tráfico Ethernet (todos los protocolos Ethernet) estará en el bridge como si hubiera una interfaz Ethernet física y un cable entre los dos routers (con el bridge habilitado). Este protocolo hace posibles múltiples esquemas de red. Este tipo de túnel es útil cuando en toda nuestra red tengamos implementado solo con IPv6, pero se da el caso que en algún momento se necesita ofrecer acceso a internet, per o por IPv4. Los túneles IPv6 también se los usa para encapsular paquetes IPv4 en IPv6 y así realizar un túnel a un router que tenga conectividad IPv4. GRE es un protocolo unicast que ofrece ventajas de encapsulación broadcast y trafico Multicast u otros no protocolos IP y otros que están siendo protegidos por IPsec.
Algo muy importante a tomar en cuenta es que no hay autenticación o 'estado' para esta interfaz. El uso del ancho de banda de la interfaz se puede monitorear con la función del monitor desde el menú de la interfaz. La funcionalidad del túnel IP / IPv6 sobre IPv6 se puede configurar desde el menú: /interface gre6 ya que utiliza las mismas propiedades que la versión IPv4. Para crear un túnel se debe especificar la dirección del Router local y del Router remoto en ambos lados del túnel.
Academy Xperts
77
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
El laboratorio a continuación será una simulación del escenario en la red pública para lo cual trabajaremos con dos router principales como medio de acceso a la nube. Los pasos por seguir en este laboratorio son los siguientes: Paso 1 R1 (Router 1) debe de configurar las direcciones IPv6 local (externa) y remota (externa) para armar el túnel. Recuerde que: Local-address se refiere a la IPv6 externa local (R1) Remote-address se refiere a la IPv6 externa remota (R2) • •
/interface gre6 add name=gre6-tunnel1 local-address=2001:db8:be0:7501::2 \ remote-address=2001:db8:be0:7501::1
Academy Xperts
78
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
R2 (Router 2) debe de configurar las direcciones IPv6 local (externa) y remota (externa) para armar el túnel. Recuerde que: Local-address se refiere a la IPv6 externa local (R2) Remote-address se refiere a la IPv6 externa remota (R1) • •
/interface gre6 add name=gre6-tunnel1 local-address=2001:db8:be0:7501::1 remote-address=\ 2001:db8:be0:7501::2
Academy Xperts
79
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
Paso 2 R1 (Router 1) debe de asignar direccionamiento IPv4 en la interface gre6-tunel1 recién generada /ip address add address=10.0.0.1/30 interface=gre6-tunnel1 network=10.0.0.0
R2 (Router 2) debe de asignar direccionamiento IPv4 en la interface gre6-tunel1 recién generada /ip address add address=10.0.0.2/30 interface=gre6-tunnel1 network=10.0.0.0
Academy Xperts
80
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
Paso 3 R1 (Router 1) debe verificar que llega a la IP del túnel remoto ejecutando un ping \ping 10.0.0.2 SEQ HOST SIZE TTL TIME STATUS 0 10.0.0.2 56 64 0ms 1 10.0.0.2 56 64 1ms 2 10.0.0.2 56 64 1ms 3 10.0.0.2 56 64 1ms sent=4 received=4 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms
R2 (Router 2) debe verificar que llega a la IP del túnel remoto ejecutando un ping \ping 10.0.0.1 SEQ HOST SIZE TTL TIME STATUS 0 10.0.0.1 56 64 0ms 1 10.0.0.1 56 64 1ms 2 10.0.0.1 56 64 1ms 3 10.0.0.1 56 64 1ms sent=4 received=4 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms
Paso 4 R1 (Router 1) debe crear una entrada en la tabla de rutas de IPv4 para llegar a la red remota ( 192.168.4.0/24 ) especificando como Gateway la dirección IP de la interface del túnel gre6 remota.
R2 (Router 2) debe crear una entrada en la tabla de rutas de IPv4 para llegar a la red remota ( 192.168.3.0/24 ) especificando como Gateway la dirección IP de la interface del túnel gre6 remota.
Paso 6 R1 (Router 1) debe verificar que llega a la IP de la interfaz LAN remota ejecutando un ping /ping 192.168.4.1
R2 (Router 2) debe verificar que llega a la IP de la interfaz LAN remota ejecutando un ping /ping 192.168.3.1
Academy Xperts
81
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
• • •
PPP soporta delegación de prefijos (PD) para los clientes PPP. Los clientes deben de configurar un DHCPv6 PD Client en la interfaz cliente PPP. El servidor en el PPP Profile debe asignar los pools que se entregaran a los clientes a través de la opción: PPP Profile + DHCPv6 PD Pool !
!
!
Objetivos: Configurar Server PPPoE y Cliente PPPoE Para configurar el Server PPPoE para asignar prefijos IPv6 a los clientes RouterOS debemos configurar lo siguiente: Paso 1 El Server PPPoE debe crear un Pool el cual va ser utilizado para la asignación. /ipv6 pool add name=pool1 prefix=2001:db8:deb::/48 prefix-length=56
Paso 2 Academy Xperts
82
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
Crear un PPP Profile y asignar el Pool creado de IPv6. /ppp profile add dhcpv6-pd-pool=pool1 name=PPP_PD_IPv6
Paso 3 Crear un PPP Secret, donde dond e debemos crear un usuario y contraseña con el nombre: estudiante1.También añadir el profile creado.
Paso 4 pppoe_ipv6 y añadir el Profile creado en el paso anterior. Crear el server PPPoE, colocar un service name: pppoe_ipv6 /interface pppoe-server server add interface=ether2 service-name=pppoe_ipv6
Academy Xperts
default-profile=PPP_PD_IPv6
disabled=no\
83
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
Paso 5 Crear el cliente PPPoE. Especificar el service-name: pppoe_ipv6 pppoe_ipv6 y el usuario y contraseña: estudiante1 /interface pppoe-client add add-default-route=yes disabled=no interface=ether2\ name=pppoeout1 password=estudiante1 service-name=pppoe_ipv6 user=estudiante1
Paso 6 Configurar un cliente IPv6 DHCP PD sobre la interfaz PPPoE cliente. Además, colocar un nombre al pool que quiero recibir, especificar la longitud del prefijo. /ipv6 dhcp-client add add-default-route=yes interface=pppoe-out1 pool-name=pool-clients\ request=prefix
Paso 7 Verificar que se recibió el prefijo y el pool.
Academy Xperts
84
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
Para que el DNS funcione en la versión 6 los cambios que se dieron están definidos en la RFC 3596. Donde los nombres de dominio se mapean a direcciones IPv6 por registros AAAA, donde se los conoce como registros cuádruple-DNS, lo que se hace es dividir el espacio de nombres de una forma jerárquica por cada digito hexadecimal de una dirección IPv6. Así mismo como en IPv4, cada host tiene dos registros DNS, uno directo y otro de resolución inversa que fue agregado como registro PTR al dominio ip6.arpa. Por ejemplo: un servidor X tiene la dirección unicast 2001:db8:3:4:5:6:7:8, su registro cuádruple-A es:
AAAA
2001:db8:3:4:5:6:7:8
Para expresar el registro PTR o IPv6 Reverse DNS está compuesto de 32 entradas, los ceros no deben ser omitidos y al final debe de agregarse ip6.arpa.
PTR
8.0.0.0.7.0.0.0.6.0.0.0.5.0.0.0.4.0.0.0.3.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa.
En MikroTik para colocar los DNS en IPv6 se lo hace en la misma opción de IPv4: IP
Academy Xperts
DNS
!
85
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
2314 56! !%$1%$'
También podemos agregar entradas estáticas yendo a la opción: IP
DNS
!
Static
!
2314 56! !7.7+8 9-7$.&. :;;;;<
Al momento de agregar la entrada de DNS estática y revisar el DNS Cache en la opción IP cuenta de la entrada de PTR o IPv6 Reverse.
DNS
!
Cache nos daremos
!
Si necesitamos configurar un cliente NTP lo podemos realizar tal cual como se lo hacía en IPv4. System
Academy Xperts
SNTP Client
!
86
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
Ciertas características muy utilizadas en RouterOS aún no se encuentran disponibles Políticas de ruteo HotSpot DHCPv6 Server Radius Multicast Routing MPLS Creación automática de túneles • • • • • • •
La mayoría de las herramientas de RouterOS que usamos en IPv4 también la podemos usar en IPv6. Estas herramientas son: Ping
Academy Xperts
87
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
Traceroute
Academy Xperts
88
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 10: Túneles
Torch
Traffic Generator Esta herramienta posee opciones específicas para IPv6 como: ipv6-next-header ipv6-traffic-class ipv6-flow-label E-mail • • •
Netwatch
Traffic Flow Traffic flow en RouterOS soporta la recopilación de estadísticas tanto para IPv4 como IPv6. Es compatible con Cisco NetFlow. Las versiones de NetFlow que son soportadas son la 1,5 y 9. • • •
Academy Xperts
89
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 11: Enrutamiento Dinámico IPv6
Si ya hemos trabajamos día a día con el protocolo IPv4, sabemos que este protocolo trabaja en la Capa de Red y también trabaja IPv6. Esto quiere decir que los cambios que se realicen con IPv6 van estar reflejados en la Capa 3, sin que llegue afectar el funcionamiento de los demás. No obstante, es fundamental entender que en realidad se tratan de dos Capas de Red diferentes e independientes. Esto involucra ciertas consideraciones importantes: En la parte de planificación de las redes: o Si no queremos migrar por completo a IPv6, se puede seguir trabajando con IPv4 e IPv6 al mismo tiempo y esto sería una estructura Dual Stack. o Cuando se trabaja con Dual Stack debes tomar en cuenta que se deben duplicar las configuraciones, por ejemplo, Firewall, enrutamiento, DNS. En el caso de que, si exista fallo en la red, la resolución de problemas debemos analizarlas tanto en IPv4 e IPv6. Los equipos nuevos que se adquieran y las aplicaciones deben soportar los dos protocolos IP. •
• •
Incluso es muy importante entender el funcionamiento básico del router y de qué forma procesa los paquetes que recibe y toma decisiones de donde enviar los paquetes. Para esto vamos a explicar el siguiente ejemplo: 1. Un router acepta una trama ethernet por su interfaz de red. 2. Comprueba la información de la trama, del campo Ethertype ya que este campo indica cual es el protocolo que se usara en la capa superior, en nuestro caso sería IPv6. 3. Se procesa la cabecera IPv6 y se revisa la dirección destino. 4. El router busca la tabla de enrutamiento unicast (RIB – Routing Information Base) si existe una ruta hacia la red destino que se revisó en la cabecera. 5. Se busca una ruta más específica en la tabla de enrutamiento. Por ejemplo: La dirección destino es 2001:db8:8000::3 El router tiene en su tabla las siguientes rutas: 2001:db8:8000:/32 a través de la interfaz A 2001:db8:8000:/36 a través de la interfaz B 2001:db8:8000:/48 a través de la interfaz C • • •
Como vemos los tres prefijos hacen referencia hacia el mismo destino, pero el router escogerá siempre al más específico, que sería /48. 6. Ya escogida la ruta en base al prefijo más específico, el router disminuye el Hop-Limit , arma la trama según la interfaz y se envía el paquete. ¿Qué sucede si existe más de un camino para llegar al mismo destino? Lo que hará el router es buscar en su tabla cuál de las rutas hacia el mismo destino tiene una distancia menor. Los valores de la distancia van del 1 hasta 254. Si no se coloca un valor en la distancia, estos valores por default cambian según el tipo de protocolo de ruteo. connected routes: 0 static routes: 1 eBGP: 20 OSPFv3: 110 RIPng: 120 iBGP: 200 • • • • • •
El RIB contiene la información completa de ruteo el cual incluye: Reglas de rutas estáticas creadas por el usuario. Reglas de políticas de ruteo creadas por el usuario. Información de enrutamiento aprendida a través de otros protocolos. Información de las redes conectadas. El RIB se usa para: Filtrar información de ruteo. Calcular la mejor ruta por cada prefijo de destino. Construir y actualizar la FIB (Forwarding Information Base) Distribuir las rutas entre diferentes protocolos de ruteo. • • • •
• • • •
Academy Xperts
90
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 11: Enrutamiento Dinámico IPv6
El FIB se usa para tomar las decisiones de reenvío de paquetes (packet forwarding), también guarda una copia de la información necesaria de ruteo, que son: Todas las rutas activas Reglas de políticas de ruteo • •
Vimos con un ejemplo que el proceso de seleccionar una ruta es igual tanto en IPv4 como IPv6, pero las tablas de rutas son independientes, hay una tabla RIB para IPv4 y otra para IPv6. Con mecanismos de optimización, las mejores rutas se van agregando a la tabla FIB (Forwarding Information Base). Así mismo si estamos trabajando en nuestro router con IPv4 e IPv6 va existir dos tablas FIB, eso quiere decir que el router tendrá más información que almacenar y procesar. Cuando los routers necesitan actualizar información como escoger el mejor camino hacia un destino, usa protocolos de enrutamiento. Esa información que se recibe de los protocolos enrutamiento es lo que alimenta la RIB y así alimenta a la FIB. Los protocolos de enrutamiento se dividen en dos grupos:
aquí se encuentran los protocolos que distribuyen la información entre Sistema Autónomos. En este grupo se encuentra BGP. aquí se encuentran los protocolos que distribuyen la información dentro de los Sistemas Autónomos. En este grupo se encuentra OSPF y RIP. Los protocolos de enrutamiento dinámico que soporta MikroTik son todos (RIPng, OSPFv3, BGP). Es un protocolo basado en vector distancia (Bellman-Ford) en el cual es basado en RIPv2, el cual tiene uso incorporado de IPsec para IPv6 para autenticación. Utiliza el grupo Multicast ff02::9 que es para comunicarse con todos los routers que trabajan con RIP en la parte de actualizaciones. Otra de las características que podemos mencionar son: El número total de saltos que soporta es 15. Usa el puerto 521/UDP para comunicarse. Usa direcciones link-local de la interfaz del próximo salto. Genera rutas por defecto. Soporta redistribución de rutas estáticas y también de otros protocolos dinámicos. Se debe configurar manualmente una métrica si queremos redistribuir rutas en nuestra red RIPng. • • • • • •
Commad: en este campo se detalla si el mensaje es de respuesta o solicitud. Academy Xperts
91
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 11: Enrutamiento Dinámico IPv6
Versión: donde se indicar que es la versión 1 ya que es la primera versión del protocolo RIPng en IPv6. Must be zero: este es un campo reservado y el valor del campo es cero. Routing table entry (RTE): este campo está compuesto por 20 bytes, donde se detalla cual será el destino en IPv6, el formato es el siguiente:
•
•
•
IPv6 Prefix: este campo tiene 16 bytes y aquí se detallada si es una red IPv6 o un host IPv6 en base a longitud del prefijo. Route Tag: este campo diferencia el origen de la ruta, es decir si el prefijo advertido fue tomado de otro protocolo de enrutamiento. signific ativos del campo de prefix, de izquierda izquier da a derecha. Además, Prefix Lenght: se detalla la cantidad de bits más significativos ese número puede cambiar de 0 a 128 y si llega ser cero se ignora.
Como ya conocemos RIPng es un protocolo de enrutamiento fácil y sencillo de configurar, pero esa facilidad tiene problemas operacionales. Entre E ntre los problemas que se pueden ver es su inhabilidad de detectar loops en topologías topologí as grandes y complejas. Otro de los inconvenientes es que, si existe cambios en la red, converge lentamente y eso es debido que las actualizaciones se envían cada 30 segundos. También esas actualizaciones se envían constantemente no importa si no existe cambios en la red Definido en RFC5340, el protocolo OSPFv3 es una versión actualizada de OSPF para el protocolo IPv6. La mayoría de los algoritmos OSPF para IPv4 se han conservado en OSPF para IPv6. Sin embargo, algunos cambios fueron necesarios, debido a cambios en la semántica del protocolo entre IPv4 e IPv6, o simplemente para manejar el aumento del tamaño de la dirección IPv6. OSPF es un protocolo de estado de enlace que mediante el proceso de flooding (inundación), los routers envía LSA (Link State Advertisments) el cual informa acerca de su estado por todo el Sistema Autónomo. El flooding lo que hace es enviar LSA por todas las interfaces y así el conjunto de todos los LSAs forman una base de datos de estado de enlace de todos los routers, donde cada uno de los routers que está dentro de un Sistema Autónomo contiene contiene una base de datos igual. Con esa información de la base de datos el router lo que hace es construir un mapa de red que ayudara para determinar un árbol de caminos cortos dentro de la red, disponiendo de su propio nodo como raíz. Usa el algoritmo de Dijkstra para seleccionar el mejor camino y facilita agrupar los routers dentro de áreas. OSPF permite trabajar de manera jerárquica, separando los routers de un Sistema Autónomo en en diferentes áreas. Y a esas áreas se les da un identificador único (Area-ID) de 32 bits. De esta forma las bases de datos topológicas se mantienen dentro de una misma área, desconociéndose las bases de datos fuera del área reduciendo la cantidad de trafico de enrutamiento en el Sistema Autónomo. El área de backbone es es la responsable de entregar la información de enrutamiento entre las demás áreas nonbackbone , para identificar el área de backbone hay hay que colocar un ID 0 (o 0.0.0.0). Además, existen varios tipos routers OSPF que son: ASBR (Autonomous System Border Router): son routers que están conectados a más de un Sistema Autónomo, siendo utilizado para distribuir en su Sistema Autónomo las rutas recibidas desde otros Sistemas Autónomos. ABR (Area Border Router): routers que se encuentran conectados a más de un área OSPF y poseen copias de las bases de datos de link-state en memoria, una para cada área. IR (Internal Router): es un router que se encuentra en una sola área. •
•
•
Academy Xperts
92
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 11: Enrutamiento Dinámico IPv6
•
• •
• • • •
Tipos de paquetes: LSA (Link State Advertisement), LSR (Link State Request), LSU (Link State Update), DBD (Database Descriptor), Hello. Mecanismos para formación de adyacencias y descubrimiento de vecinos. Tipos de Interfaces: Broadcast, nbma (non-broadcast multiple access), point-to-point, ptmp y enlaces virtuales. El algoritmo de selección DR (Designated Router) y BDR (Backup Designated Router). Lista de los eventos de las interfaces y sus estados. El envío y edad de las LSAs. Area-ID y Router-ID sigue siendo de 32 bits.
Entre las diferencias que podemos nombrar son las siguientes: OSPFv3 usa el término “link ” (enlace) en vez de “ network ” para comunicarse entre los nodos de la capa de enlace. Varias IPs de subred pueden ser asignadas a un solo enlace y dos nodos pueden comunicarse con otros siempre y cuando los demás no compartan en común una IP de la subred. Se eliminó la información de direccionamiento, ya que las direcciones IPv6 no se encuentran presentes en los paquetes de OSPF, excepto en los paquetes de LSU (Link State Update). Los paquetes LSAs no contienen direcciones de red, pero si información de topología. Se agregó limitación de alcance (scope) para flooding. Hay 3 scopes para los flooding LSAs: Link Local Scope: LSA es solo flood en el enlace local. Area Scope: LSA es solo flood en un área de OSPF. AS Scope: LSA es flood solo en todo el dominio de enrutamiento. OSPFv3 debe de habilitarse en cada interfaz y se comenzara a trabajar en el proceso. La autenticación de OSPF ha sido removida. Esto es debido a que OSPFv3 confía en la Authentication Header (AH) y en Encapsulating Security Payload (ESP) para asegurar la integridad, confidencialidad y autenticidad. Identifica a sus vecinos por su Router-ID, siendo esto valido en las interfaces Broadcast, nbma, point-to-point, ptmp y enlaces virtuales. Soporte explicito para múltiples instancias en cada enlace Utiliza direcciones link-local del rango fe80/10 ya que OSPFv3 requiere que cada interfaz posea una. Un router utiliza la dirección local de enlace como siguiente salto durante el reenvío de paquetes para los vecinos conectados a su enlace. •
•
•
• •
•
• •
Academy Xperts
93
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 11: Enrutamiento Dinámico IPv6
Con los datos del diagrama configuremos una red sencilla de OSPF. Cada uno de los routers deberán configurarse de manera independiente
Paso 1 R1 (Router 1) debe de asignar direccionamiento IP. /ipv6 address add address=2001:db8:be0:7501::2 advertise=no comment="Hacia R2" interface=ether2 add address=2001:db8:be0:7500::1 advertise=no comment="LAN A" interface=ether1
R2 (Router 2) debe de asignar direccionamiento IP. /ipv6 address add address=2001:db8:be0:7501::1 advertise=no comment="Hacia R1" interface=ether2 add address=2001:db8:be0:6501::1 advertise=no comment="LAN B" interface=ether4 add address=2001:db8:be0:8501::2 advertise=no comment="Hacia R3" interface=ether3
R3 (Router 3) debe de asignar direccionamiento IP. /ipv6 address add address=2001:db8:be0:8501::1 advertise=no comment="Hacia R2" interface=ether1 add address=2001:db8:be0:8500::1 advertise=no comment="LAN C" interface=ether2
Academy Xperts
94
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 11: Enrutamiento Dinámico IPv6
Paso 2 Configuración de Interfaces en Router R1 Es importante reconocer en R1 (al igual que los demás routers) lo siguiente: Se debe de especificar un router-id de la red. Por lo tanto, R1 las interfaces que participan son: ether2 La interfaz ether1 que pertenece a la Red LAN no se configura en /routing ospf-v3 interfaces ya que no colinda con ningún otro router o red OSPFv3. Se requiere que la Red LAN se publique hacia los otros routers, se debe realizar a través de /routing ospf-v3 • • •
•
instance /routing ospf-v3 interface add area=backbone interface=ether2
Academy Xperts
95
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 11: Enrutamiento Dinámico IPv6
Para redistribuir redistri buir la red LAN se debe modificar y agregar un Router-ID Router-I D en /routing osp-v3 instance la instancia OSPFv3 por default. NO se debe generar una nueva. Se debe configurar la Redistribución de la Rutas Conectadas como as Type 1. De esta manera la red LAN será distribuida a los demás routers que formarán parte de la red OSPFv3. /routing ospf-v3 instance Set [ find f ind default=yes ] redistribute-connected=as-type-1 router-id=0.0.0.1
Revisaremos la tabla de rutas de R1 (y de los demás routers) para ir analizando el avance. Puesto que es el primer router que configuramos en la red OSPFv3, observamos que la tabla de rutas aparece sin cambios. /ipv6 route print
Tampoco encontraremos información en la revisión de los Neighbors en OSPFv3, ya que no hay otros routers agregados. routing ospf-v3 neighbor print / routing
Academy Xperts
96
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 11: Enrutamiento Dinámico IPv6
Configuración de Interfaces en Router R2 Es importante reconocer en R2 (al igual que los demás routers) lo siguiente: Se debe de especificar un router-id de la red. Por lo tanto, R2 las interfaces que participan son: ether1, ether2, ether3 La interfaz ether1 que pertenece a la Red LAN no se configura en /routing ospf-v3 interfaces ya que no colinda con ningún otro router o red OSPFv3. Se requiere que la Red LAN se publique hacia los otros routers, se debe realizar a través de /routing ospf-v3 • • •
•
instance /routing ospf-v3 interface add area=backbone interface=ether2
Para redistribuir la red LAN se debe modificar y agregar un Router-ID en /routing ospf-v3 instance la instancia OSPFv3 por default. NO se debe generar una nueva. Se debe configurar la Redistribución de la Rutas Conectadas como as Type 1. De esta manera la red LAN será distribuida a los demás routers que formaran parte de la red OSPFv3. Academy Xperts
97
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 11: Enrutamiento Dinámico IPv6
/routing ospf-v3 instance Set [ find f ind default=yes ] redistribute-connected=as-type-1 router-id=0.0.0.2
Revisaremos la tabla de rutas de R2 (y de los demás routers) para ir analizando el avance. La siguientes es la tabla de rutas en R2. Puede observarse que ya aparecen los datos de las redes distribuidas por R1, tanto el prefijo 2001:db8:be0:7500::/64. /ipv6 route print
En la revisión de los Neighbors en OSPFv3 en R2, ya podemos observar que aparece el ID del router R1. /routing ospf-v3 neighbor print
Academy Xperts
98
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 11: Enrutamiento Dinámico IPv6
Configuración de Interfaces en Router R3 Es importante reconocer en R3 (al igual que los demás routers) lo siguiente: Se debe de especificar un router-id de la red. Por lo tanto, R3 las interfaces que participan son: ether1 La interfaz ether2 que pertenece a la Red LAN no se configura en /routing ospf-v3 interfaces ya que no colinda con ningún otro router o red OSPFv3. Se requiere que la Red LAN se publique hacia los otros routers, se debe realizar a través de /routing ospf-v3 • • •
•
instance /routing ospf-v3 interface add area=backbone interface=ether1
Academy Xperts
99
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 11: Enrutamiento Dinámico IPv6
Para redistribuir la red LAN se debe modificar y agregar un Router-ID en /routing ospf-v3 instance la instancia OSPFv3 por default. NO se debe generar una nueva. Se debe configurar la Redistribución de la Rutas Conectadas como as Type 1. De esta manera la red LAN será distribuida a los demás routers que formarán parte de la red OSPFv3. /routing ospf-v3 instance Set [ find f ind default=yes ] redistribute-connected=as-type-1 router-id=0.0.0.3
Revisaremos la tabla de rutas de R3 (y de los demás routers) para ir analizando el avance. La siguientes es la tabla de rutas en R3. Puede observarse que ya aparecen los datos de las redes distribuidas por R1 y R2. /ipv6 route print
routing ospf-v3 ospf-router de R3, ya podemos observar que aparece Verificamos en OSPFv3 en la pestaña de / routing el ID del router R1 y R2. routing ospf-v3 ospf-router print / routing
Observemos lo que registran las tablas de rutas de los equipos R1, R2 Y R3 respectivamente:
Academy Xperts
100
RouterOS v6.42.0.01 - IPv6 con MikroTik RouterOS – Capítulo 11: Enrutamiento Dinámico IPv6
Academy Xperts
101