Seminario de IPv6 con MikroTik RouterOS
-
Upload
prozcenter -
Category
Technology
-
view
519 -
download
24
Transcript of Seminario de IPv6 con MikroTik RouterOS
![Page 1: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/1.jpg)
Seminario de IPv6 con Seminario de IPv6 con MikroTik RouterOSMikroTik RouterOS
![Page 2: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/2.jpg)
2014 © Prozcenter 2
Contenidos
Objetivos
Modulo 1: Introducción a IPv6IntroducciónIPv6 vs IPv4Formato de paqueteDireccionamientoEjemplo de una red simpleHabilitando IPv6
Modulo 2: Direccionamiento IPv6Direcciones Link-localIdentificador EUI-64MulticastSubnetting
Modulo 3: Mecanismos IPv6ICMPv6Neighbor Discovery (ND)AutoconfiguraciónAutoconfiguración son servidor
Modulo 4: Routing v6Ruteo estáticoOSPFv3BGP4
Module 5: Firewall v6FilterMangle
Module 6: Resumen final
![Page 3: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/3.jpg)
2014 © Prozcenter 3
Objetivos
Conocer la arquitectura de IPv6
Estructura de paquete
Esquema de direccionamiento
Mecanismos de IPv6
Configuración y resolución de problemas de redes RouterOS que utilizan este nuevo protocolo.
![Page 4: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/4.jpg)
2014 © Prozcenter 4
Modulo 1Modulo 1Introducción a IPv6
![Page 5: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/5.jpg)
2014 © Prozcenter 5
Introducción
IPv6 es un protocolo capa 3 que se diseño para resolver algunas limitaciones de IPv4 (se puede decir que IPv6 es un reemplazo directo de IPv4).
Provee un espacio de direccionamiento mucho más amplio, algo asi como trillones de direcciones por ser humano! (nunca mas se acabarían las direcciones IP).
Provee conectividad real extremo a extremo (NAT ya no es requerido).
Reduce la complejidad del encabezado IP (mayor performance).
"IPv6 es en muchos aspectos como IPv4,pero estos protocolos no son iguales"
![Page 6: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/6.jpg)
2014 © Prozcenter 6
IPv6 vs. IPv4
![Page 7: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/7.jpg)
2014 © Prozcenter 7
IPv6 vs. IPv4 – Espacio de IPs
En IPv4 (232) hay 4.294.967.296 direcciones disponibles.
En IPv6 (2128) hay
340.282.366.920.938.463.463.374.607.431.768.211.456 direcciones disponibles (serían 340 sextillones).
"Todas las IPv4 'entrarian' en un cuadrado de 4 x 4 cms. En cambio para las IPv6 necesitaríamos un cuadrado del
tamaño del sistema solar!"
![Page 8: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/8.jpg)
2014 © Prozcenter 8
Recordando IPv4...
![Page 9: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/9.jpg)
2014 © Prozcenter 9
Formato de un paquete IPv6
TEMA
CLAVE
![Page 10: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/10.jpg)
2014 © Prozcenter 10
Formato de un paquete IPv6
Campos excluidos de IPv6:
IHL
Identification
Flags
Fragment offset
Header checksum
Options (existen en IPv6 pero NO en el encabezado).
![Page 11: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/11.jpg)
2014 © Prozcenter 11
Formato de un paquete IPv6
Campos de IPv4 que se mantienen en IPv6:
Version (mismo nombre)Traffic Class (llamado ToS / DSCP)Payload lenght (llamado Total Lenght)Next Header (llamado Protocol)Hop Limit (llamado Time to Live)Src and Dst Address
Campo nuevo en IPv6:
Flow Label (20 bits)
![Page 12: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/12.jpg)
2014 © Prozcenter 12
Formato de un paquete IPv6
En RouterOS, se puede leer estos campos en las reglas de IPv6 Firewall:
![Page 13: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/13.jpg)
2014 © Prozcenter 13
Formato de un paquete IPv6
En RouterOS, se puede leer estos campos en las reglas de IPv6 Firewall:
![Page 14: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/14.jpg)
2014 © Prozcenter 14
Formato de un paquete IPv6
También se puede leer el campo Flow Label con reglas en la sección Switch:
![Page 15: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/15.jpg)
2014 © Prozcenter 15
Direccionamiento – Tipos
IPv6 soporta los siguientes tipos de direcciones:
- Unicast- Global- Link-local
- Anycast (es como unicast)
- Multicast
Broadcast ya no es soportado, todas las tareas son resueltas usando diferentes direcciones Multicast.
TEMA
CLAVE
![Page 16: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/16.jpg)
2014 © Prozcenter 16
Direccionamiento – Tipos
Cada equipo IPv6 tiene al menos los siguientes tipos de direcciones:
Una dirección unicast para la interfaz loopback.
Una dirección unicast link-local por interfaz.
Cada interfaz debería estar "unida" a algunos grupos multicast.
Opcionalmente una o más direcciones unicast global. Estas pueden configurarse de tres formas (se verán más adelante).
![Page 17: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/17.jpg)
2014 © Prozcenter 17
Direccionamiento – Tipos
![Page 18: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/18.jpg)
2014 © Prozcenter 18
Direccionamiento – Estructura
Las direcciones IPv6 tienen 128 bits de longitud, de modo que los diseñadores optaron por la notación hexadecimal y dividiendo la dirección en grupos de 16 bits.
- Dirección IPv6 en "crudo", separada en 4 partes de 32 bits:
00100000000000000000000000000000000000000000000000000001001000100000110000110100000000000011111101010100110010100000000000001011
- Misma dirección IPv6, pero expresada en hexadecimal:
2000:0000:0000:0122:0C34:003F:54CA:000B(Esta dirección se puede comprimir como se vera en breve.)
![Page 19: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/19.jpg)
2014 © Prozcenter 19
Direccionamiento – Estructura
El espacio de direcciones esta dividido en prefijos, uno para cada tipo de dirección.
Cada prefijo se indenfifica mirando los PRIMEROS bits de una dirección IPv6.
El parámetro prefix-lenght, indica cuantos bits pertenecen al prefijo, por ejemplo:
2000:0000:0000:0122:0C34:003F:54CA:000B/64(los primeros 64 bits corresponden al prefijo)
TEMA
CLAVE
![Page 20: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/20.jpg)
2014 © Prozcenter 20
En resumen, una dirección v6 tiene dos partes, una es el Prefijo, y el resto es la identificación de la interfaz en particular, es decir el Interface ID.A veces, vamos a disponer de unos bits extra conocidos como Subnet ID.Interface ID tienen que estar en un formato especial conocido como EUI-64 (mas detalles en breve).
Direccionamiento – Estructura
![Page 21: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/21.jpg)
2014 © Prozcenter 21
Direccionamiento – Estructura
77% del espacio total de direcciones IPv6 esta aún reservado para futuros usos.
Resumen de los prefijos más importantes:
0000::/8 - Sin especificar, Lookback (similar a 0.0.0.0/0 o 127.0.0.0/8)
2000::/3 - Global Unicast Addresses (similar a las públicas IPv4)
FC00::/7 - Unique Local Addresses (similar a las privadas IPv4)
FE80::/10 - Link-Local Unicast Addresses (similar al rango 169.254.0.0/16)
FF00::/8 - Multicast Adresses (similar al rango 224.0.0.0/4)
TEMA
CLAVE
![Page 22: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/22.jpg)
2014 © Prozcenter 22
Direccionamiento – Estructura
Ejemplos con sus sinónimos IPv4
0.0.0.0/0 es ahora ::/0 (0000:0000:0000:0000:0000:0000:0000:0000/0)
127.0.0.1 es ahora ::1 (0000:0000:0000:0000:0000:0000:0000:0001)
Redes IPv4 / IPv6 (mismo concepto)
200.127.151.0/ 24... los primeros 24 bits indican la red y no pueden cambiar.
2001:1291:02EB::/48... los primeros 48 bits indican la red y no pueden cambiar.
![Page 23: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/23.jpg)
2014 © Prozcenter 23
Direccionamiento - Representación
Las direcciones IPv6 pueden comprimirse para una fácil lectura y escritura mediante tres métodos.
(1) Grupos con todos "ceros", puede reemplazarse con un sólo cero.
Ejemplo:
Antes -> 2001:1291:0200:8738:0000:0000:0000:0001
Después -> 2001:1291:0200:8738:0:0:0:0001
![Page 24: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/24.jpg)
2014 © Prozcenter 24
Direccionamiento - Representación
(2) Quitar los ceros de la izquierda en los grupos que corresponda.
Ejemplo:
Antes -> 2001:1291:0200:8738:0:0:0:0001
Después -> 2001:1291:200:8738:0:0:0:1
![Page 25: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/25.jpg)
2014 © Prozcenter 25
Direccionamiento - Representación
(3) Multiples grupos de ceros, pueden ser comprimidos utilizando los dos puntos (":").
Este método puede ser utilizado una vez, preferentemente donde cause más efecto.
Ejemplo:
Antes -> 2001:1291:200:8738:0:0:0:1
Después -> 2001:1291:200:8738::1
![Page 26: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/26.jpg)
2014 © Prozcenter 26
Direccionamiento - Representación
Otro ejemplo con la siguiente IPv6:
2800:0000:0000:0456:0000:0000:0000:00AB
(1) 2800:0:0:0456:0:0:0:00AB
(2) 2800:0:0:456:0:0:0:AB
(3) 2800:0:0:456::AB
![Page 27: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/27.jpg)
2014 © Prozcenter 27
Habilitando IPv6
RourteOS soporta IPv4 por defecto.
IPv6 se puede activar en una forma sencilla y sin costo!:
- Se puede tener ambas versiones de IP en el mismo router, para hacer lo que se llama "router dual stack".
- Tambié se puede migrar completamente a IPv6.
Requerimientos:
Paso 1: Instalar o habilitar el paquete ipv6.npk.
Paso 2: Reiniciar el router.
(Si, eso es todo!)
![Page 28: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/28.jpg)
2014 © Prozcenter 28
Habilitando IPv6
![Page 29: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/29.jpg)
2014 © Prozcenter 29
Habilitando IPv6
La implementación de IPv6 sobre RouterOS nos brinda las siguiente posibilidades:
IP estática, autoconfiguración, DHCP Client.
DHCP Server (sólo trabajando como DHCP-PD).
Firewall (Filter / Mangle)
Ruteo estática y dinámico (RIPng, OSPFv3 and BGP-4)
Soporte para protocolos PPP.
Cliente DNS, DNS Cache, herramientas de Ping, SSH, NTP.
![Page 30: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/30.jpg)
2014 © Prozcenter 30
Ejemplo de red simple
![Page 31: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/31.jpg)
2014 © Prozcenter 31
Ejemplo de red simple
PC
Router A
![Page 32: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/32.jpg)
2014 © Prozcenter 32
¿Dudas?
![Page 33: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/33.jpg)
2014 © Prozcenter 33
Modulo 2Modulo 2Direccionamiento IPv6
![Page 34: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/34.jpg)
2014 © Prozcenter 34
Identificador EUI-64
IPv6 fue diseñado para ser sencillo.
Por ende, no siempre vamos a tener que escribir direcciones IPv6 en hexadecimal para cada dispositivo.
Se utiliza un identificador que se obtiene de las interfaces para construir la dirección completa.
TEMA
CLAVE
![Page 35: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/35.jpg)
2014 © Prozcenter 35
Identificador EUI-64
Los routers, cuando sea posible, utilizaran la dirección MAC de las interfaces para construir una dirección IPv6 completa.
La mayoría de los prefijos, desde 2000::/3 a E000::/3 requieren que la porción Interface ID de la IP, este en formato EUI-64.
TEMA
CLAVE
![Page 36: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/36.jpg)
2014 © Prozcenter 36
Identificador EUI-64
En caso de Ethernet, las direcciones MAC estan en formato EUI-48, ergo se necesita una conversión.
Esta conversión se realiza agregando 16 bits (0xFFFE) a la dirección MAC.
También se invierte el séptimo bit del primer byte de una dirección MAC.
TEMA
CLAVE
![Page 37: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/37.jpg)
2014 © Prozcenter 37
Identificador EUI-64
TEMA
CLAVE
![Page 38: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/38.jpg)
2014 © Prozcenter 38
Identificador EUI-64
Por ejemplo, se puede agregar una dirección unicast solamente especificando el prefijo, el resto se completa usando el EUI-64 obtenido desde la dirección MAC.
![Page 39: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/39.jpg)
2014 © Prozcenter 39
Direcciones Link-local
Se utiliza el prefijo FE80::/10.Sólo una dirección link-local debería existir por interfaz.Permite comunicación entre dispositivos ubicados en el mismo enlace (link), es decir mismo dominio L2.Se autoconfiguran a penas se habilita IPv6.El Interface ID se toma de la dirección MAC.
TEMA
CLAVE
![Page 40: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/40.jpg)
2014 © Prozcenter 40
Direcciones Link-local
Que se puede hacer con una dirección link-local?
Supongamos que tenemos un dispositivo Mikrotik conectado a una PC (todo con IPv6 habilitado):
![Page 41: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/41.jpg)
2014 © Prozcenter 41
Direcciones Link-local
![Page 42: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/42.jpg)
2014 © Prozcenter 42
Todas las direcciones link-local estan conectadas a la misma red, es decir la FF80::/10.
De modo que hay que especificar un identificador de interfaz.
Por ejemplo, cuando se desea enviar tráfico a cualquier dispositivo conectado directamente usando direcciones locales, o si desea comunicarse con herramientas como ping (más ejemplos más adelante).
Direcciones Link-local
![Page 43: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/43.jpg)
2014 © Prozcenter 43
Multicast
Como no hay soporte para broadcast, se utiliza como reemplazo el modo de comunicación multicast.
Existen muchas direcciones multicast.
Un formato especial es utilizado:
TEMA
CLAVE
![Page 44: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/44.jpg)
2014 © Prozcenter 44
Multicast
Flags: 4 bits (00PT), sólolos últimos 2 son usados: el bit T (Transient) y el bit P (Prefix).
- T = se pone en 1 para indicar direcciones multicast temporales, de lo contrario se considera como una dirección permanente (llamadas también "direcciones multicast conocidas").- P = se pone en 1 para indiar que el resto de la dirección (112 bits) hace referencia a un prefijo en particular.
Scope: 4 bits (XXXX), que identifican el alcance del mensaje.- 1 (0001) = node (nodo).- 2 (0010) = link (enlace).- 5 (0101) = site (sitio).- 8 (1000) = organization (organización).- E (1110) = global (global).
![Page 45: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/45.jpg)
2014 © Prozcenter 45
Multicast
Direcciones multicast conocidas:
FF01::1 – Todos los nodos (node-local)
FF01::2 – Todos los routers (node-local)
FF02::1 – Todos los nodos (link-local)
FF02::2 – All routers (link-local)
FF02::5 – OSPFv3 (Hellos, LSAs) (link-local)
FF02::6 – OSPFv3 (Designated Routers) (link-local)
FF02::C – Servidores DHCP (link-local)
![Page 46: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/46.jpg)
2014 © Prozcenter 46
Multicast
Pueden hacer ping a ladirección multicast FF02::1(todos los nodos del enlace)para descubrir vecinos IPv6.Se puede utilizar elparámetro interfacepara filtrar el resultado.
![Page 47: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/47.jpg)
2014 © Prozcenter 47
Subnetting
Recordando la estructura de una dirección v6, por cada dirección tenemos un prefix y un interface ID.
Para las direcciones global unicast, el prefijo tienen 64 bits, de los cuales 16 se usan como subnet ID, que se puede utilizar para hacer subnetting. Con 16 bits tenemos posibilidad de hacer 65536 subredes!
![Page 48: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/48.jpg)
2014 © Prozcenter 48
Subnetting
NOTA: aunque matematicamente es posible hacer subnetting dentro del interface ID, no es recomendable porque la mayoría de los rangos estan pensados para respetar el formato EUI-64.
![Page 49: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/49.jpg)
2014 © Prozcenter 49
Como se puede observar, un prefijo Global the Global Prefix, esta dividido en:
Registry Prefix (ARIN, LACNIC, RIPE)ISP Prefix, Site Prefix (Carriers, ISPs)Subnet Prefix (donde los Carriers/ISP hacen subnetting)
Subnetting
TEMA
CLAVE
![Page 50: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/50.jpg)
2014 © Prozcenter 50
LACNIC tiene asignados
2001:1200::/232001:1200:: ~ 2001:13FF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
Los primeros 23 bits permanecen fijos, recordar que cada cifra es hexadecimal y cuenta como 4 bits.
2800::/122800:: ~ 280F:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
Los primeros 12 bits permanecen fijos, recordar que cada cifra es hexadecimal y cuenta como 4 bits.
Subnetting
![Page 51: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/51.jpg)
2014 © Prozcenter 51
Si LACNIC nos asigna la red 2001:1291:02EB::/48, donde tenemos 16 bits extras para usar con Subnet ID.
Descomprimiendo: 2001:1291:02EB:XXXX::/48.
Esas 4 cifras hexadecimales (16 bits) nos da 65536 posibilidades para definir subredes. Al igual que en IPv4, variando la mascara se subnetea.
2001:1291:02EB:0000::/64 (primer subred)2001:1291:02EB:0001::/64 (segunda subred)2001:1291:02EB:0002::/64 (tercer subred)2001:1291:02EB:0003::/64 (cuarto subred)
Subnetting
![Page 52: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/52.jpg)
2014 © Prozcenter 52
Otro ejemplo:
2001:1291:02EB:0000::/63 (primer subred)2001:1291:02EB:0002::/63 (segunda subred)2001:1291:02EB:0004::/63 (tercer subred)2001:1291:02EB:0006::/63 (cuarto subred)
Más ejemplos:
2001:1291:02EB:0000::/62 (primer subred)2001:1291:02EB:0004::/62 (segunda subred)2001:1291:02EB:0008::/62 (tercer subred)2001:1291:02EB:000C::/62 (cuarto subred)
Subnetting
![Page 53: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/53.jpg)
2014 © Prozcenter 53
¿Dudas?
![Page 54: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/54.jpg)
2014 © Prozcenter 54
Module 3Module 3Mecanismos IPv6
![Page 55: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/55.jpg)
2014 © Prozcenter 55
ICMPv6
Es una nueva versión del ICMP que soporta IPv6.
Provee lo siguiente:Diagnostico de red
- Echo Request / Echo Reply (ping y traceroute)
Mensajes de error
- Destination unreachable / Time exceeded
Descubrimiento de MTU (MTU Discovery)
- Lo hace a traves de unos mensaje de eror denominados "Packet too big" (paquete muy grande).
![Page 56: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/56.jpg)
2014 © Prozcenter 56
ICMPv6
Tener en cuenta que alHacer ping a una direcciónlink-local se deberespecificar la interfaz.Esto se debe a que todaslas interfaces estanconectadas a la red FE80::/10.
![Page 57: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/57.jpg)
2014 © Prozcenter 57
ICMPv6 – MTU Path Discovery
La fragmentación de un paquete IPv6 es sólo permitida en los equipos, los routers ya no tienen esa función.Entonces los host realizan lo que se conoce como MTU Path Discovery, el cual funciona leyendo los mensajes de error de ICMPv6, particularmente el mensaje "Packet too big".Básicamente los equipos intentan comunicarse y sólo ajustan su MTU si reciben un mensaje de error ICMP.El MTU elegido en principio, es el de la interfaz de red del equipo que inicia la comunicación.
![Page 58: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/58.jpg)
2014 © Prozcenter 58
ICMPv6 – MTU Path Discovery
![Page 59: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/59.jpg)
2014 © Prozcenter 59
Neighbor Discovery (ND)
ND es el remplazo directo de ARP, aunque trae nuevas funciones.
Provee:
1- Resolución de direcciónes de capa 2.
2- Detección de dirección duplicada.
3- Autoconfiguración de dirección IP.
4- Descubrimiento de routers.
TEMA
CLAVE
![Page 60: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/60.jpg)
2014 © Prozcenter 60
Neighbor Discovery (ND)
Mensajes ND:
NS - Neighbor Solicitation (solicitud de vecino)
NA - Neighbor Advertisement (publicación de vecino)
RS - Router Solicitation (solicitud de router)
RA - Router Advertisment (publicación de router)
![Page 61: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/61.jpg)
2014 © Prozcenter 61
1- Resolución de direcciónes de capa 2
Se hace con dos mensajes ICMPv6: NS (similar al ARP Request) y NA (similar al ARP Reply).
En particular el mensaje NS se envia a una dirección multicast especial, llamada "solicited-node" o "nodo solicitado".
El formato de esta dirección especial es:
FF02::1:FFxx:xxxx, donde xx:xxxx son los últimos 24 bits de la dirección IP del nodo buscado.
Neighbor Discovery (ND)
![Page 62: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/62.jpg)
2014 © Prozcenter 62
1- Resolución de direcciónes de capa 2
Por ejemplo, si un equipo necesita la MAC de otro equipo con IP 2800:1::500:1AB:CDEF, la IP multicast resultante donde se enviaria el NS seria:
FF02::1:FFAB:CDEF
(Explicación: porque se toman sólo los últimos 24 bits, en este ejemplo: 2800:1::500:1AB:CDEF).
Neighbor Discovery (ND)
![Page 63: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/63.jpg)
2014 © Prozcenter 63
Neighbor Discovery (ND)
1- Resolución de direcciónes de capa 2
NS además tiene un campo interno llamado "target address" que contiene tiene la IP buscada de forma completa.
NA es enviado en forma unicast al equipo que realizo la consulta NS.
![Page 64: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/64.jpg)
2014 © Prozcenter 64
Neighbor Discovery (ND)
1- Resolución de direcciónes de capa 2 (ejemplo)
![Page 65: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/65.jpg)
2014 © Prozcenter 65
Neighbor Discovery (ND)
1- Resolución de direcciónes de capa 2 (ejemplo)
Nodo A quiere enviar datos a Nodo B, entonces envia un NS a la dirección multicast FF02::1:FFAA:BBBB.Este mensaje NS incluye el target address (dirección completa de Nodo B) para evitar conflictos.Nodo B y Nodo C escuchan y procesan el mensaje enviado a FF02::1:FFAA:BBBB (porque los últimos 24 bits de su IP coincide).
Pero sólo Nodo B responde con un mensaje NA, porque Nodo C lee el campo target address y se da cuenta que el mensaje es para otro nodo.
![Page 66: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/66.jpg)
2014 © Prozcenter 66
Neighbor Discovery (ND)
1- Resolución de direcciónes de capa 2
Para ver la tabla de vecinos, que es similar a la tabla ARP, se usa el comando ipv6 neighbor print. No confundir esta tabla con ip neighbor, son dos cosas distintas!
![Page 67: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/67.jpg)
2014 © Prozcenter 67
Neighbor Discovery (ND)
2- Detección de dirección duplicada - DAD
Se realiza con mensajes NS.
Si un nodo quiere saber si cierta dirección se está utilizando en el enlace, transmitirá un mensaje NS pidiendo la dirección en cuestión.
Si no hay respuesta (mensaje NA), entonces la dirección se puede utilizar.
Si hay una respuesta, esa dirección no será utilizada por el dispositivo.
![Page 68: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/68.jpg)
2014 © Prozcenter 68
Configuración de direcciones IPv6
Existen tres métodos:
Asignación de dirección estáticaConfiguración manual.
Autonconfiguración sin estado (Stateless)Usando mensajes ND y DAD (RS / RA / NS / NA).
Autonconfiguración con servidor (Stateful)Usando DHCPv6.
![Page 69: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/69.jpg)
2014 © Prozcenter 69
Configuración de direcciones IPv6
/ipv6 address add address=prefix eui-64=yes
Con este comando se construye la dirección completa a partir de un prefijo y la dirección MAC de la interfaz.
TEMA
CLAVE
![Page 70: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/70.jpg)
2014 © Prozcenter 70
Autoconfiguración sin estado
Se realiza utilizando mensajes ND, precisamente RS y RA.
Los routers publican periodicamente o mediante una solicitud el prefijo /64 de la interfaz correspondiente. Esta publicación se hace con el mensaje RA.
De modo que los dispositivos que se conecten con ese router pueden configurarse sólo una IPv6 y demás parámetros.
TEMA
CLAVE
![Page 71: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/71.jpg)
2014 © Prozcenter 71
Autoconfiguración sin estado
/ipv6 address add address=prefix advertise=yes
Con este comando se habilita la autoconfiguración sin estado de los dispositivos conectados a la interfaz. Sólo se puede utilizar con prefijos / 64.
TEMA
CLAVE
![Page 72: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/72.jpg)
2014 © Prozcenter 72
Autoconfiguración sin estado
Ejemplo:
Un dispositivo envía un mensaje de RS, routers en el enlace responden con un mensaje RA indicando el prefijo / 64.
Si hay más de un router, el dispositivo que solicita toma todos los anuncios que recibe.
El dispositivo solicitante usa su identificador EUI-64 para completar su dirección.
Antes de finalizar la configuración de la dirección, el dispositivo solicitante llevará a cabo un DAD.
Si DAD indica que la dirección es única, entonces el dispositivo se configura y utiliza esa dirección.
TEMA
CLAVE
![Page 73: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/73.jpg)
2014 © Prozcenter 73
Autoconfiguration con servidor
Puede usar DHCPv6 para asignar direcciones IP a los hosts de forma "stateful".
Por ahora, RouterOS soporta servidor DHCP-PD.
DHCP-PD es un servidor que asigna prefijos a clientes DHCPv6.
Estos clientes pueden utilizar el prefijo adquirido desde el servidor DHCP-PD, usándolo como un Pool vinculado a los servicios de PPP (como PPPoE).
![Page 74: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/74.jpg)
2014 © Prozcenter 74
¿Dudas?
![Page 75: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/75.jpg)
2014 © Prozcenter 75
Module 4Module 4Routing v6
![Page 76: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/76.jpg)
2014 © Prozcenter 76
Ruteo estático
Usa las mismas reglas que IPv4.
Algoritmo de selección de ruta.
El prefijo más especifico es el utilizado primero.
Distancia administrativa.
Tipo de rutas: A, S, D, C, b, o, r.
La herramienta Check Gateway continua existiendo pero sólo comprueba por ICMP.
![Page 77: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/77.jpg)
2014 © Prozcenter 77
Ruteo estático
Ejemplo de configuración de un default gateway:
Si el gateway de cualquier rutaes una IP tipo link-local, hay queusar el identificador %interface.
![Page 78: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/78.jpg)
2014 © Prozcenter 78
Ruteo dinámico
El ruteo dinámico IPv6 se puede realizar con los siguiente protocolos:
RIPng
OSPFv3
BGP4
Si bien no hay grandes cambios, es conveniente considerar algunas modificaciones hechas en estos protocolos.
![Page 79: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/79.jpg)
2014 © Prozcenter 79
OSPFv3
OSPFv3 utiliza casi los mismos mecanismos que OSPFv2, pero se debe considerar como un nuevo protocolo.
Mejoras importantes de OSPFv3:
Cabecera de protocolo es más simple.
Retira la autenticación, delegando esa responsabilidad a la capa 3 (IPv6 con IPSec).
El procesamiento interno del protocolo se realiza por enlace (interfaz) en vez de por subred.
![Page 80: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/80.jpg)
2014 © Prozcenter 80
Una configuración sencilla de un sólo area requiere:
1) Configurar router-id.2) Agregar interfaces indicando el area .3) Opciones de distribución (opcional).
OSPFv3
![Page 81: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/81.jpg)
2014 © Prozcenter 81
BGP4
Para configurar un par de peers BGP se requiere:
1) Configurar router-id.2) Agregar al menos un peer, especificando IPv6 como "address family".3) Prefijos de red a distribuir (opcional).
![Page 82: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/82.jpg)
2014 © Prozcenter 82
¿Dudas?
![Page 83: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/83.jpg)
2014 © Prozcenter 83
Module 5Module 5Firewall v6
![Page 84: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/84.jpg)
2014 © Prozcenter 84
Firewall v6
No hay más NAT!, ergo la solapa NAT y Service Ports desaparece.
Filter y Mangle se conservan con sus mismos principios de funcionamiento.
Hay soporte para listas de direcciones (Address List).
Connection Traking se mantiene sin cambios.
Por ahora no hay soporte para Layer 7.
![Page 85: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/85.jpg)
2014 © Prozcenter 85
Firewall v6 - Filter
Protejer el router o los dispositivos asociados de accesos no autorizados.
Ejemplo a continuación:
Permitir sólo acceso WinBOX, ICMP y conexiones establecidas al router desde la WAN.
Permitir conectividad TCP 443 a servidor con IP 2001:1291:200:8738:5054:ff:fe90:a5d1, denegar el resto.
![Page 86: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/86.jpg)
2014 © Prozcenter 86
Firewall v6 - Filter
/ipv6 firewall filter
add action=accept chain=input protocol=icmpv6add action=accept chain=input dst-port=8291 protocol=tcpadd action=accept chain=input connection-state=establishedadd action=drop chain=input
/ipv6 firewall filter
add action=accept chain=forward dst-port=443 protocol=tcp dst-address=2001:1291:200:8738:5054:ff:fe90:a5d1/128add action=drop chain=forward
![Page 87: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/87.jpg)
2014 © Prozcenter 87
Firewall v6 - Mangle
Permite identificar y marcar conexiones o paquetes para su posterior procesamiento en Filter o en Queues (Qos).
Ejemplo a continuación:
Marcar cualquier paquete originado en el servidor 2001:1291:200:8738:5054:ff:fe90:a5d1.
![Page 88: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/88.jpg)
2014 © Prozcenter 88
Firewall v6 - Mangle IPv6
/ipv6 firewall mangle
add action=mark-connection chain=forward \connection-mark=no-marknew-connection-mark=conn_servidorv6 passthrough=nosrc-address=2001:1291:200:8738:5054:ff:fe90:a5d1/128
add action=mark-packet chain=forward \connection-mark=conn_servidorv6 \new-packet-mark=mp_servidorv6 passthrough=no
![Page 89: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/89.jpg)
2014 © Prozcenter 89
¿Dudas?
![Page 90: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/90.jpg)
2014 © Prozcenter 90
Module 6Module 6Resumen final
![Page 91: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/91.jpg)
2014 © Prozcenter 91
IPv6 hoy
![Page 92: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/92.jpg)
2014 © Prozcenter 92
Para arrancar con IPv6
Tres opciones:
Contratar conexión a un ISP IPv6
Configurar un tunel IPv6(con un "tunnel broker")
Hacer tu propia red privada IPv6(con IPs "Unique Local" o "Link Local")
![Page 93: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/93.jpg)
2014 © Prozcenter 93
Para arrancar con IPv6
Mas sitios:http://wiki.mikrotik.com/wiki/Manual:IPv6 (manual)
https://www.sixxs.net (tunnel broker)
https://tunnelbroker.net (tunnel broker)
http://portalipv6.lacnic.net (portal IPv6 de LACNIC)
http://www.subnetonline.com/pages/ipv6-network-tools.php (herramientas IPv6)
http://www.worldipv6launch.org (portal del día de lanzamiento de IPv6, que fue el 06/06/2012)
![Page 94: Seminario de IPv6 con MikroTik RouterOS](https://reader031.fdocumento.com/reader031/viewer/2022013111/55aedaf31a28ab2c3c8b47e3/html5/thumbnails/94.jpg)
2014 © Prozcenter 94
¡Muchas gracias!
/prozcenter /company/prozcenter /prozcenter