Introducción a IPv6 y mecanismos de transición Sofía Silva Arturo Servín
Derechos de Copia de este material } Algunos de los slides de esta presentación han sido creados a través del proyecto de 6Deploy de la Unión Europea www.6deploy.org del cual LACNIC es partipante.
Por qué IPv6?
Hechos Históricos } 1983 : Red académica con ~ 100 computadoras } 1992 : Inernet se abre al sector comercial: } Crecimiento exponencial } El IETF llama a trabajar en una nueva generación del protocolo de IP } 1993 : } Terminación del espacio de clases B } Predicción del colapso de la red para 1994 } Se publica RFC 1519 (CIDR) } 1995 : } Se publica RFC 1883 (IPv6 specs) } Primer RFC acerca de IPv6
Evolución del Pool Central de IANA 120 100 80 60 40 20 0 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 /8
Espacio disponible en LACNIC (Junio 2011) Disponible hoy /32 71.879.680 Disponible Hoy /8 4,284 Reserva último /10-25% Total 4.034 /8 = 67.685.376 IPs
Terminación IPv4 en RIRs Fuente: Geoff Huston http://www.potaroo.net/tools/ipv4/
Medidas Emergentes } CIDR (Classless Interdomain Routing) } Direcciones Privadas (RFC1918) } NAT (Network Address Translation) } Multiplexión de Direcciones IPv4 } Translación IP - IP } o IP - IP+puerto (NAT-PT) } Estas medidas dieron tiempo para el desarrollo de IPv6
IPv4 Header 32 bits Ver. IHL ToS Total Length Identifier flags fragment TTL Protocol Checksum Source Address Destination Address 20 Bytes Options 9
IPv6 Header simplificado 32 bits Ver. Traffic Class Payload length Flow label Next Header Hop Limit Source Address 40 Bytes Destination Address (Extensions) Data 10
Extensiones Opcionales (1) } Nuevo mecanismo que reemplaza IPv4 options } Una extensión IPv6: } Cada extensión tiene su propio formato } Es un n x 8 datagrama } Empieza con campo de 1 byte Next Header y que apunta a otra extensión a un protocolo de capa 4 } Hop-by-hop (jumbogram, router alert) } Siempre la primera extensión } Analizado por cada router
Extensiones Opcionales (2) } Destination } Routing (loose source routing) } Fragmentation } Security } Authentication (AH) } Encapsulating Security Payload (ESP) : confidentiality
Addressing } IPv6 usa direcciones de 128 bit } Similares a IPv4 } Las direcciones pueden ser agregadas en un prefijo para simplicar el ruteo } Se definen diferentes tipos de direcciones } unicast, anycast, multicast } Las direcciones tienen diferenes alcances } link-local, global } Una host puede usar diferentes direcciones de diferentes tipos y alcances al mismo tiempo
Formato de Direcciones } Preferred Form (a 16-byte Global IPv6 Address): 2001:0DB8:3003:0001:0000:0000:6543:210F } Compact Format: 2001:0DB8:3003:0001:0000:0000:6543:210F 2001:DB8:3003:1:0:0:6543:210F 2001:DB8:3003:1::6543:210F } IPv4-mapped: ::FFFF:134.1.68.3 } Literal representation } [2001:DB8:3003:2:a00:20ff:fe18:964c] } http://[2001:db8::43]:80/index.html
Tipos de Prefijos de direcciones IPv6 Address Type Binary Prefix IPv6 Notation Unspecified 00 0 (128 bits) ::/128 Loopback 00 1 (128 bits) ::1/128 Multicast 1111 1111 FF00::/8 Link-Local Unicast 1111 1110 10 FE80::/10 ULA 1111 110 FC00::/7 Global Unicast (everything else) IPv4-mapped 00 0:1111 1111:IPv4 ::FFFF:IPv4/128 Site-Local Unicast (deprecated) 1111 1110 11 FEC0::/10 IPv4-compatible (deprecated) 00 0 (96 bits) ::IPv4/128 Global Unicast assigments actually use 2000::/3 (001 prefix) Anycast addresses allocated from unicast prefixes
Comparando IPv4 / IPv6 en un slide } IPv4 and IPv6 have very similar features. However the way these features is implemented is different IPv4 Addressing 32 bits 128 bits HW address resolution Host autoconfiguration ARP DHCP & ICMP RS/RA IPv6 ICMPv6 ND/NA ICMPv6 RS/RA & DHCPv6 (optional) IPsec Optional Recommended (not mandatory) Fragmentation Both hosts and routers can fragment Only hosts fragment packets
Extensiones de DNS para Pv6 } RFC 1886 RFC 3596 } AAAA : forward lookup ( Name IPv6 Address ): } Equivalente a registro A } Ejempo: www.lacnic.net. IN A 200.3.14.10 www.lacnic.net. IN AAAA 2001:13c7:7002:4000::10 } PTR : reverse lookup ( IPv6 Address Name ): } Main tree: ip6.arpa } Reverse tree equivalente a in-addr.arpa } Former tree: ip6.int ( deprecated ) } Ejemplo: 0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.2.0.0.7.7.c.3.1.1.0.0.2.ip6.arpa. 86400IN PTR www.lacnic.net.
Sólo IPv6? } Al desplegar IPv6, tienes 2 opciones: } Solo-IPv6 } Desplegar IPv6 junto con } IPv6 no está lo suficientemente desplegado en muchos productos, sin embargo esa soportado en muchos equipos de redes y prácticamente cualquier OS de computador } Esto lleva a desplegar Dual-Stack } Esto mejorará con el tiempo
Dual-Stack } Soporte de los dos protocolos en los enlaces y nodos seleccionados Support both protocols on selected links } Requiere soporte en: } Hosts } Routers } Aplicaciones y servidores (e.g. web, DNS, SMTP) } Añade consideraciones para: } Componentes de seguridad } Nuevas políticas dependientes de cualiades especificas de IPv6 } Puede correr IPv6 junto con NAT-ed IPv4
Túneles } Paquete IPv6 dentro de paquete de IPv4 } Manuales } Tunnel Brokers } Site a Site } Automáticos } 6to4 } Teredo } Hoy IPv6 en IPv4, en el futuro IPv4 en IPv6
NAT64 } NAT64 es una técnica de traduccion de protocolos } Permite la conexion a sistemas que solo tienen pila IPv4 desde hosts que solo tienen pila IPv6 } A muy alto nivel: } El mapeo de direcciones obviamente no es 1 a 1 } Se define (por cada instalación) un prefijo v6 en el cual mapear todo el espacio IPv4 } Un /96 alcanza, usualmente se utiliza 64:ff9b::/96 } La caja NAT64 realiza la conversión de protocolos, en particular de las direcciones
El problema Homes con IPv6 habilitado (OSs) CPEs Access DSLAMs BRAs RADIUS AAA IPv6 Core habiliado IPv4 / IPv6 Internet IPv4 Only
IPv6 Rapid Deployment on IPv4 Infrastructures (6rd) } Implementación incremental de IPv6 } Implementado a través de redes solo-ipv4 donde IPv6 no puede habilitarse } Definido en RFC5569 y RFC5969 } Es un super set de 6to4 pero sin sus problemas
Arquitectura 6rd 6rd Border Routers (BR) 6rd CPE Tunnel IPv6 Internet Dual Stack Home Conexión directa o a través de un CGN (Carrier Grade NAT) IPv4 Internet
Dual Stack-Lite (DS-lite) } IPv4-IPv6 coexistencia } IPv4 in IPv6 encapsulation } IPv4 NAT } Enfocado a redes de banda ancha e IPv4 Exhaustion } Estandarizado en IETF-Softwire } draft-ietf-softwire-dual-stack-lite-11
Arquitectura DS-Lite IPv6 Enabled Core Dual Stack Home Bridging Broadband element (B4) Address Family Transition Router element (AFTR) IPv6 Internet Tunnel IPv4 in IPv6 IPv4 Internet
RIPng } Similar a IPv4 } Basado en RIPv2 } Distance vector, max. 15 hop, split-horizon, } Solo IPv6 } En dual-stack usando RIP, se necesita RIP (IPv4) y RIPng (IPv6) } Usa IPv6 para transporte } IPv6 prefix, next-hop IPv6 address } Para RIP updates, usa dirección multicast FF02::9
OSPFv3 } OSPFv3 = OSPF para IPv6 } Basado en OSPFv2 } La topología de una área es invisible desde afuera del área } LSA flooding está limitadap por área } Cálculo de SPF es realizado por cada área } Todas las áreas deben conectarse al backbone Internet Area #1 Backbone Area #0 Area #2
IS-IS } OSI Protocol L1 } Basado en 2 niveles } L2 = Backbone } L1 = Stub L2 } L2L1= interconecta L2 y L1 L1 } Corre arriba de CNLS } Cada dispositivo IS envía LSP (Link State Packets) } Envía información vía TLV s (Tag/Length/values) } Proceso de vecinos no cambia } La operación permanece sin cambios } En muchos ISPs está sustituyendo OSPF L1
BGP Multi-protocolo } Exterior Gateway Protocol } Conecta dominios de ruteo separados que tienen políticas de ruteo independientes (y ASNs) } Lleva una secuencia de números de ASN que indica el path de cada prefijo } Soporta las mismas funcionalidades que IPv4 BGP } Múltiples familias de direcciones: IPv4, IPv6, unicast, multicast
Vulnerabilidades y Ataques } Vulnerabilidades Inherentes } Neighbor Discovering Protocol } DoS attacks } Autoconfiguración } Rogue Router Advertisements } DoS attacks } Mecanismos de Transición } Protocol 41 } Túneles no autorizados
Vulnerabilidades y Ataques (2) } Modelo End-to-End } No NATs } IPv6 en redes IPv4 } Aunque no tenga IPv6, debe preocuparse
Recomendaciones } SEND } Direccionamiento estático } Direcciones no adivinables para evitar escaneos } Tablas de resolución estáticas } RA snooping, RAMOND, NDPMon } Filtros de Bogons } Firewalls } Cuidado en reglas de ICMPv6
Para saber más y solicitar IPv6 } General } http://portalipv6.lacnic.net } http://www.nro.net } Estadísticas } http://www.labs.lacnic.net } Solicitud de IPv6 } http://www.lacnic.net/sp/registro/
Preguntas sofia@lacnic.net aservin@lacnic.net