Tesis IPv6
Tesis IPv6
Tesis IPv6
Proyecto realizado por: Jaime Prieto Bermejo, Eduardo Vegas Calle y Rafael Martnez Torres como Profesor Director.
Curso acadmico 2007/2008 Proyecto de Sistemas Informticos. Facultad de Informtica, Universidad Complutense de Madrid.
ndice Autorizacin de difusin y utilizacin ............................................................................................. 3 Resumen / Summary......................................................................................................................... 4 Palabras clave para la bsqueda bibliogrfica ................................................................................. 4 1. Introduccin ................................................................................................................................... 5 Descripcin del proyecto ................................................................................................................. 5 IPv4 a IPv6 ....................................................................................................................................... 6 Protocolos de red .......................................................................................................................... 6 TCP/IP .......................................................................................................................................... 6 El horizonte que se presenta......................................................................................................... 7 IPv4 .................................................................................................................................................. 8 Limitaciones de IPv4 ................................................................................................................... 8 IPv6 ................................................................................................................................................ 10 Nacimiento de IPv6 .................................................................................................................... 10 Caractersticas IPv6.................................................................................................................... 12 Direccionamiento IPv6 .............................................................................................................. 13 Seguridad en IPv6 ...................................................................................................................... 14 Paquetes IPv6 ............................................................................................................................. 15 2. Mecanismos de transicin ........................................................................................................... 16 Dual Stack ...................................................................................................................................... 16 Traduccin...................................................................................................................................... 16 Tneles ........................................................................................................................................... 16 Definicin................................................................................................................................... 17 6to4............................................................................................................................................. 18 TSP ............................................................................................................................................. 22 Teredo ......................................................................................................................................... 23 3. Estructura de la Red de Datos de la U. Complutense. .............................................................. 25 Estructura ....................................................................................................................................... 25 Simulacin de un entorno IPv4-IPv6. ............................................................................................ 31 Anlisis de la red IPv6 propuesta. .................................................................................................. 32 Implementacin y despliegue......................................................................................................... 34 4. Herramientas para la administracin del sistema .................................................................... 37 Slackware ....................................................................................................................................... 37 Netconfig ........................................................................................................................................ 37 Netconfig6 ...................................................................................................................................... 42 eas6ytunnel..................................................................................................................................... 47 5. Trabajo futuro. ............................................................................................................................. 57 Conectividad nativa, movilidad. .................................................................................................... 57 IPTABLES ..................................................................................................................................... 57 Visita al Centro de Proceso de Datos de la UCM .......................................................................... 58 Manual ....................................................................................................................................... 59 6. Bibliografa ................................................................................................................................... 63
Los alumnos:
autorizan a la Universidad Complutense de Madrid a difundir y utilizar con fines acadmicos, no comerciales y mencionando expresamente a sus autores, tanto la propia memoria, como el cdigo, la documentacin y/o el prototipo desarrollado.
Resumen / Summary
Resumen
A comienzos de los aos 2000 numerosas compaas y agencias nacionales para la comunicacin realizaron un enorme esfuerzo por redefinir y desarrollar las infraestructuras destinadas al transporte nativo de IPv6, conocidas como backbones. En la actualidad, la actividad desarrollada en universidades e instituciones de investigacin constituye un medio excelente para diseminar esta nueva tecnologa. Este documento describe una posible forma de introducir la conectividad IPv6 en la red de nuestro campus universitario. El planteamiento general es conseguirlo de una manera suave y escalonada a corto plazo, teniendo en cuenta la estructura actual. En primer trmino, la conectividad externa es adquirida utilizando una tecnologa fiable, conocida como 6to4 tunneling. Despus la conectividad nativa es introducida progresivamente.
Summary
On the early 2000s a vast effort was made in order to redefine and setup IPv6 backbones infrastructures. owadays, universities and research institutions are considered as excellent
opportunities to disseminate this new technology. This paper describes a proposal to introduce IPv6 connectivity in our campus network. Underlying rationale is to achieve it in a smooth way: on a short term. External connectivity is acquired using a reliable technology, known as 6to4 tunneling. Then, native connectivity is introduced progressively.
1. Introduccin
Descripcin del proyecto
IPv6 ya no es un protocolo en fase de diseo y experimentacin. Tras aos de inversin en la creacin de backbones de carcter pan-europeo, todas las ventajas que introduce este nuevo protocolo (espacio virtualmente ilimitado de direcciones, seguridad a nivel de red, movilidad, multicast) aparecen disponibles ante un mundo que todava no deja de sorprenderse por el impacto de una tecnologa, IPv4, que fue concebida all por los aos 60 con unos objetivos muy distintos de aquellos a los cuales sirve en la actualidad.
La mayora de sistemas operativos estn preparados para el nuevo protocolo y la emigracin al mismo no debera suponer problemas al usuario final. No obstante, desde el punto de vista del profesional existe an cierto recelo a la introduccin de esta nueva tecnologa, temor que con este trabajo pretendemos disipar describiendo esta sencilla propuesta para la introduccin de IPv6 en una compleja red.
En nuestra opinin, la convergencia tecnolgica a medio plazo hacia el nuevo protocolo IPv6 es inevitable. En este contexto las universidades y dems centros de investigacin deberan desplegar servicios de red como apoyo a la docencia y la investigacin, constituyndose as como un seminario ideal para la innovacin y experimentacin con tecnologas que en un futuro no lejano encontraremos integradas plenamente en el resto de la sociedad.
Una vez planteados los aspectos ms generales de nuestro proyecto, comenzaremos en las siguientes pginas a describir de manera detallada las caractersticas de los protocolos de Internet versin 4 (IPv4) y versin 6 (IPv6) y los aspectos que han provocado que IPv6 est predestinado en un futuro, a sustituir a IPv4. En segundo lugar nos centramos en los mecanismos de transicin de IPv4 a IPv6 existentes, entre los cuales nuestro trabajo en este proyecto se ha centrado en las tcnicas de tunneling. A continuacin exponemos la estructura de la Red de Datos de la Universidad Complutense de Madrid, escenario donde llevar a la prctica los planteamientos anteriormente descritos. Para ello nos serviremos de un medio tan comn como un PC, corriendo una distribucin de Linux, Slackware, y dotndole de las herramientas que hemos desarrollado para facilitar su administracin. Por ltimo nos centramos en cul puede ser el trabajo futuro a desarrollar con este proyecto como base, para finalizar con la bibliografa utilizada. 5
IPv4 a IPv6
En este punto describimos en profundidad los protocolos de Internet versin 4 (IPv4) y versin 6 (IPv6) as como los factores que han provocado la necesaria implantacin de IPv6 como futuro protocolo de Internet. Protocolos de red La comunicacin en las redes de informacin es posible gracias a los protocolos de red. Un protocolo es un paquete de bits con una cierta estructura que permite que uno o ms dispositivos se comuniquen entre s. Adems son los encargados del establecimiento y la liberacin de una comunicacin, as como del establecimiento del flujo de informacin entre dos o ms nodos. En Internet, el protocolo ms utilizado es el TCP/IP (Transmission Control Protocol/Internet Protocol).
TCP/IP TCP/IP fue diseado inicialmente para cubrir las necesidades del Departamento de Defensa (DoD) de los EE.UU. A finales de los 60 la ARPA del DoD comenz a establecer acuerdos con universidades de los EE.UU y con la comunidad de investigacin para disear estndares y protocolos abiertos para su red conocida como ARPANET. La inicial ARPANET, la primera red de conmutacin de paquetes, empez su operacin en 1969 conectando cuatro universidades, tres en el estado de California y una en el estado de Utah. Estos primeros cuatro nodos se enlazaron va circuitos de 56 kbps utilizando el protocolo NCP (el predecesor de TCP/IP). El experimento fue un xito permitiendo a la ARPANET continuar con la generacin de proyectos de investigacin de inters militar.
Uno de esos primeros proyectos fue la demanda de una aplicacin de transferencia de archivos, acceso remoto y correo electrnico. En 1973 se inici un proyecto donde se desarrollaran protocolos de capas inferiores debido a que las capas existentes se volvieron inadecuadas. En 1974 el diseo para un nuevo conjunto de protocolos, para la ARPANET, fue propuesto por Vinton G. Cerf y Robert E. Kahn. El nombre oficial para ese conjunto de protocolos fue TCP/IP, el cual fue tomado de los nombres del protocolo de capa de red (Internet Protocol [IP]) y de unos de los protocolos de la capa de transporte (Transmission Control Protocol [TCP]). 6
- Independencia subyacente de los mecanismos de la red y de la arquitectura del host - Conectividad universal a travs de la red - Reconocimientos extremo a extremo - Protocolos estandarizados
As nace el protocolo TCP/IP. La especificacin inicial se fue desarrollando en varias versiones, culminando en la versin 4 en 1979, la cual fue finalmente estandarizada en 1981. El protocolo TCP/IP tuvo gran xito en el mundo UNIX gracias a que la Universidad de California en Berkeley emprendi la implementacin de TCP/IP en la versin 4.2 de su sistema operativo UNIX BSD en 1983, as como a la publicacin del cdigo fuente como un software de dominio pblico.
La versin de IP comnmente usada es la versin 4 (IPv4), la cual no ha sido substancialmente modificada desde que el RFC 791 fue publicado en 1981. Con 32 bits IPv4 ofreca ms de 4.200 millones de direcciones. A principios de los noventa, con la apertura comercial del Internet, la revolucin de PCs, las redes de rea local (LANs) y el mal reparto de las IPs, se vio claramente que estas direcciones no seran suficientes. Por este motivo se desarroll la versin 6 del protocolo IP (IPv6) que est destinado a sustituir a IPv4. En este status quo se desarrolla nuestro proyecto.
El horizonte que se presenta La conversin desde IPv4 a IPv6 supondr un gran esfuerzo para el sector, mayor que la preparacin del efecto Ao 2000. Afectar a prcticamente todas las aplicaciones que se basan en comunicaciones, a los sistemas finales, sistemas de infraestructura y arquitecturas de red. Es esencial que este cambio pueda llevarse adelante con responsabilidad para evitar costosos pasos en falso que comprometan el desarrollo de tecnologas no tiles. A diferencia de lo sucedido con el efecto Ao 2000, la conversin a IPv6 no tiene una frontera temporal definida. No obstante, como se indicaba anteriormente, la tasa de consumo de direcciones de IPv4 est aumentando constantemente.
La simplicidad del paso de IPv4 a IPv6 ser la clave para una rpida adopcin de esta tecnologa.
Al igual que con IPv4 (cuyas primeras instalaciones fueron mayoritariamente transiciones desde redes X.25), el despliegue de IPv6 comenzar en los mrgenes de la red, aprovechando las ventajas de la transmisin sobre cualquier tecnologa de red disponible. Se adelanta ya que los proveedores de servicios de Internet (ISPs) van a reaccionar ante la demanda de sus clientes y ser ste el factor determinante a la hora de decidir cundo se implantar el routing nativo IPv6. En cualquier caso llevar varios aos reemplazar los equipos de comunicaciones, ser por tanto un proceso lento.
Es de esperar que en el futuro la mayora de los fabricantes produzcan sistemas con soporte tanto para IPv4 como IPv6, de forma que las conexiones que no se puedan realizar con IPv6 puedan ser reconducidas utilizando IPv4 (dando por supuesto que existe una conectividad con IPv4 previa a la introduccin de IPv6). El objetivo final es garantizar una transicin e implantacin no traumtica, donde las aplicaciones ya actualizadas puedan aprovechar las ventajas del nuevo protocolo, sin que ello suponga renunciar a las actuales presentes en IPv4.
Dando los primeros pasos en este sentido desarrollamos parte de nuestro proyecto. A continuacin explicamos ms detalladamente las caractersticas y limitaciones de IPv4, as como las caractersticas de IPv6 y la forma de acceder a l mediante diferentes mecanismos de transicin. En particular nuestro proyecto se ha centrado en parte en el estudio y desarrollo de tneles IPv6 sobre IPv4, que permitan utilizar las infraestructuras IPv4 mientras la red IPv6 est siendo implantada.
IPv4
IPv4 es la versin 4 del Protocolo IP (Internet Protocol). Esta fue la primera versin del protocolo que se implement extensamente, y forma la base de Internet. Fue publicado en 1981 en RFC 791. Tiene la capacidad de ofrecer ms de 4.200 millones de direcciones, pero no est capacitado para cubrir la demanda actual existente, no slo por el nmero de direcciones que soporta, sino tambin por la forma en que agrupa los bits en su sistema de numeracin network/host (que desperdicia direcciones y sufre excesiva sobrecarga en el routing). Limitaciones de IPv4 IPv4 usa direcciones de 32 bits, limitndose as a 2^32 = 4.294.967.296 direcciones. Esto, que en un principio puede parecer ms que suficiente, en realidad no lo es tanto. Se estima que en la actualidad se encuentran en uso aproximadamente unos 2/3 de estas combinaciones. 8
Adems hay que tener en cuenta que no todas las combinaciones estn disponibles para el protocolo IP pblico. Hay una serie de combinaciones reservadas para utilizarse como mscaras de subred, una serie de combinaciones que se reservan para los servidores DNS, una serie de combinaciones reservadas para comunicaciones especficas, etc. Esto hace que el nmero real de IP's disponibles no sea tan elevado.
En principio hay que asegurar una serie de combinaciones diferentes para las conexiones a Internet, por lo que a cada proveedor ISP (proveedor de servicios de Internet o ISP por la sigla en ingls de Internet Service Provider) se le asigna un determinado nmero de direcciones IP, asignndolas estos a su vez entre sus clientes. Para optimizar este nmero de conexiones los proveedores ISP recurren al sistema de IP dinmica. Este sistema hace posible que con un nmero limitado de IP's se atienda a un nmero bastante superior de usuarios, a condicin de que el nmero de conexiones simultaneas no supere el nmero de IP's asignadas (por poner un ejemplo, con 1.000 direcciones IP asignadas un proveedor ISP puede dar servicio a 2.000 clientes que se conecten en tandas de 12 horas cada uno).
Adems hay que tener en cuenta que este tipo de conexiones es cada vez ms empleado. No slo por ordenadores, sino tambin por dispositivos de otro tipo, tales como, por ejemplo, cmaras IP, comunicaciones de voz del tipo VoIP, telfonos mviles, PDA, etc., lo que ha provocado, junto al cambio de hbitos en las conexiones (hemos pasado de conexiones por un corto periodo de tiempo cuando conectbamos por RTB a tener conectado el ordenador las 24 horas, o al menos 8 horas diarias) y el incremento en el nmero de usuarios (que prcticamente se duplica cada ao desde 1.988), que el nmero de conexiones disponibles no slo no sea exagerado, sino que no se encuentre lejos de su agotamiento.
Una de las consecuencias de este sistema es la necesidad de utilizar para conectarse a la red (Internet) un sistema que permita una sola IP por conexin (independientemente de los ordenadores que luego se conecten a travs de esta conexin). Este sistema es el denominado NAT ( etwork Address Translator), y permite mediante un router (o enrutador) tener una red interna (direcciones IP privadas) apuntando a una sola direccin de Internet (IP pblica).
Esta serie de limitaciones han ayudado a estimular el impulso hacia IPv6, que est actualmente en las primeras fases de implementacin, y se espera que termine reemplazando a IPv4. Pasamos a describir IPv6 con detalle en las siguientes pginas.
IPv6
IPv6 es la versin 6 del Protocolo de Internet (Internet Protocol). Est destinado a sustituir al estndar IPv4. Su implantacin no slo ampliar el nmero de direcciones IP disponibles, sino que mejorar el servicio globalmente; por ejemplo, proporcionando a futuras celdas telefnicas y dispositivos mviles direcciones propias y permanentes. Recordemos que a da de hoy se calcula que ms de las dos terceras partes de las direcciones que ofrece IPv4 ya estn asignadas.
Nacimiento de IPv6 A principios de la dcada de los 90, en Julio de 1991, el Internet Engineering Task Force (IETF) comenz a trabajar para desarrollar un nuevo protocolo que resolviera en primer lugar el problema de saturacin de direcciones de IPv4 y que adems aportara mejoras en las comunicaciones.
ext
Generation (IPng) comisionada por el IETF para estudiar formalmente las diferentes propuestas para el desarrollo de este nuevo protocolo. En diciembre de 1993 fue distribuido el RFC 1550, el cual invitaba a todas las partes interesadas a participar dando sus comentarios acerca de cualquier requerimiento especfico que consideraran pertinente incluir durante el proceso de seleccin de IPng. Veintiuna respuestas fueron recibidas, las cuales contenan puntos de vista de diferentes tipos de industrias, tales como la industria celular, televisin por cable y seguridad, slo por mencionar algunas.
Ya en el RFC 1726 , el grupo de investigacin IPng defini un conjunto de criterios que seran usados para el proceso de evaluacin del IPng. Fueron los siguientes:
Escalabilidad: El nuevo protocolo debera ser capaz de identificar y direccionar por lo menos 10^12 sistemas finales y 10^9 redes individuales. Flexibilidad topolgica: La arquitectura de enrutamiento y protocolos para IPng deba permitir utilizar una gran cantidad de distintas topologas de red. Rendimiento: Para IPng los host deberan ser capaces de transferir datos a tasas comparables a las alcanzadas con IPv4 utilizando niveles similares de recursos mquina. Servicio robusto: Servicio de red y protocolos de control y enrutamiento robustos. 10
Transicin: Deban existir mecanismos para realizar la transicin de IPv4 hacia IPng de manera transparente para los protocolos y aplicaciones de las capas superiores. Independencia del medio: El protocolo debe de trabajar con diferentes medios LAN, WAN y MAN, as como distintas velocidades de conexin, (desde bits/segundo hasta giga bits/segundo. Configuracin, Operacin y Administracin: Este nuevo protocolo tambin deba permitir conexiones fciles, adems de operacin y configuracin ampliamente distribuida. Tambin deba permitir la configuracin automtica de hosts y enrutadores. Operaciones seguras: IPng tambin deba proveer una capa de red segura (IPSec). Acceso y documentacin: Los protocolos que definen a IPng, deberan ser publicados en los RFCs, as como estar disponibles libremente y no requerir licencia para su implementacin. Nombrado nico: IPng deba asignar nombres nicos a todos los objetos de la capa IP. Multicast: IPng deba soportar transmisin de paquetes Unicast y Multicast. Extensibilidad: IPng deba ser capaz de evolucionar para cubrir las necesidades futuras de Internet, permitiendo desarrollar nuevas versiones de l que pudieran coexistir sobre la misma red. Servicio de red: IPng deba permitirle a la red asociar paquetes con clases de servicio. Movilidad: El protocolo deba soportar huspedes, redes e inter-redes mviles. Protocolo de control: El protocolo deba incluir soporte elemental para probar y depurar redes. Redes privadas: Por ltimo, IPng deba permitir a los usuarios construir redes privadas sobre la infraestructura bsica de red, soportando ambas, redes basadas o no basadas en IP.
En base a estos criterios varias propuestas fueron revisadas y en enero de 1995, el RFC 1752 fue publicado. En l se resuman las evaluaciones hechas en tres propuestas para el IPng:
Arquitectura Comn para el Protocolo de Internet de la Siguiente Generacin (CATNIP). Protocolo de Internet Simple Plus (SIPP). TCP/IP con Direcciones ms Grandes (TUBA).
CATNIP propona una concordancia entre Internet, OSI y los protocolos Novell. Para lograrlo integraba protocolos de red tales como IP, Novells Internetwork Packet Exchance (IPX) e ISO Connectionless etwork Protocol (CLNP). El diseo de CATNIP permita un gran nmero de
protocolos de transporte, tales como el ISO Transport Protocol class 4 (TP4), Connectionless Transport Protocol (CLTP), TCP, UDP, y Novells Sequenced Packet Exchange (SPX). Sin embargo los revisores de esta propuesta sintieron que CATNIP slo cumpla con cinco de los criterios establecidos, dos ms no eran cumplidos y no tenan una conclusin acerca de los criterios restantes. 11
SIPP, por su parte propona una evolucin a IPv4, por esto, todas las funciones de IPv4 que les parecieron buenas fueron mantenidas en su nueva propuesta, tambin fue aumentado el tamao de las direcciones de 32 a 64 bits de longitud y lo mejor de todo, su instalacin sera como una actualizacin de software. SIPP adems sera interoperable con IPv4. En cuanto a esta propuesta, los revisores decidieron que SIPP cumpla con diez de los criterios clave, dos criterios no eran cumplidos y no tenan una conclusin acerca de los criterios restantes.
TUBA propona remplazar IPv4 con CLNP, lo cual traa consigo dos beneficios inmediatos: incremento en el espacio de direcciones y permitir a protocolos de la capa de transporte operar de manera transparente. Los revisores de TUBA determinaron que esta propuesta cumpla con cinco de los criterios clave, no cumpla un criterio y no tenan una conclusin acerca de los criterios restantes.
Como resultado de las revisiones a estas tres propuestas se decidi elegir como base el Protocolo de Internet Simple Plus (SIPP) e incorporarle direcciones de 128 bits de longitud adems de alguna otra modificacin. El resultado final es lo que se conoce actualmente como IPv6 o versin 6 del Protocolo de Internet y que pasamos a explicar detalladamente a continuacin.
Caractersticas IPv6 La primera y ms importante mejora que IPv6 presenta frente a IPv4, como ya hemos indicado anteriormente, es el incremento en el tamao de las direcciones que este maneja, 128 bits de IPv6 frente a 32 bits de IPv4. Este incremento permite soportar ms niveles de direccionamiento
jerrquico y tener muchos ms nodos direccionables. Otra mejora en el diseo de IPv6 es la simplificacin del formato del encabezado. Se eliminaron, y en otros casos se hicieron opcionales, algunos de los campos del encabezado, reduciendo as las tablas de enrutamiento y mejorando el rendimiento de los enrutadores. Otra mejora aparece en el soporte para extensiones y opciones en el encabezado, gracias al uso de encabezados opcionales. Se incrementa as la flexibilidad del protocolo IP permitiendo aadir nuevas caractersticas en un futuro, sin que sea necesario redisear por completo toda la estructura del paquete IP. Otra mejora destacable en IPv6 son las capacidades en la Calidad de Servicio, ya que este permite etiquetar paquetes pertenecientes a un flujo particular para el cual el emisor desea un trato especial por parte de los enrutadores IPv6 que intervengan en la comunicacin. Mejoran tambin la autentificacin y privacidad gracias a dos encabezados opcionales que en conjunto nos brindan integridad de datos y confidencialidad. 12
IPv6
usa
direcciones
de
128
bits, (
ofreciendo 340
as
2^128 direcciones
340.282.366.920.938.463.463.374.607.431.768.211.456
sextillones)
disponiendo as de miles de direcciones por pulgada cuadrada de la superficie de La Tierra, que parecen ser ya s ms que suficientes para cubrir las necesidades de comunicacin existentes y futuras.
No obstante la adopcin de IPv6 ha sido frenada por la traduccin de direcciones de red (NAT), que alivia parcialmente el problema de la falta de direcciones IP. Pero NAT hace difcil o imposible el uso de algunas aplicaciones P2P, como son la voz sobre IP (VoIP) y juegos multiusuario. Adems, NAT rompe con la idea originaria de Internet donde todos pueden conectarse con todos. Actualmente, el gran catalizador de IPv6 es la capacidad de ofrecer nuevos servicios, como la movilidad, Calidad de Servicio (QoS), privacidad, etc.
Se espera que IPv4 se siga soportando hasta por lo menos el 2011, dado que hay muchos dispositivos heredados que no se migrarn a IPv6 nunca y que seguirn siendo utilizados por mucho tiempo. IPv6 es la segunda versin del Protocolo de Internet que se ha adoptado para uso general. Tambin hubo un IPv5, pero no fue un sucesor de IPv4. Fue un protocolo experimental orientado al flujo de streaming que intentaba soportar voz, video y audio. En la actualidad se sigue experimentando y desarrollando versiones superiores de Protocolos de Internet.
Direccionamiento IPv6 De acuerdo como est definido en el RFC 1884 existen tres tipos de direcciones IPv6 y son:
Unicast: Definidas en el RFC 1887 identifican una sola interfaz. Cuando un paquete es enviado a una direccin unicast, ste solamente es entregado a la interfaz que tenga dicha direccin. Existen tres tipos de direcciones Unicast y estos son: Global: Las direcciones Unicast Globales son direcciones de Internet, es decir, tienen significado y pueden ser enrutadas por Internet, ya sea de manera nativa si as lo permite la infraestructura de red, o por medio de tneles. Sitio: Este tipo de direcciones identifica una interfaz dentro de un dominio IPv6, pero no pueden ser enrutadas fuera de l, ya que pierden significado. Local: Este tipo de direcciones sirven para identificar una interfaz nicamente dentro de un mismo segmento de red (LAN), fuera de l pierden totalmente su valor. 13
Multicast: Identifica a un conjunto de interfaces. Este tipo de direcciones son muy parecidas a las direcciones de difusin que maneja IPv4, es decir, un paquete que es enviado a una direccin Multicast es entregado a todas las interfaces identificadas por dicha direccin.
Anycast: Identifica a un conjunto de interfaces. A diferencia de las direcciones multicast, un paquete que es enviado a una direccin anycast es entregado a una de las interfaces identificadas por dicha direccin (la ms cercana de acuerdo al protocolo de enrutamiento). El RFC 1884 da una referencia sobre posibles usos para este tipo de direcciones, entre ellos estn: Identificacin de un conjunto de enrutadores pertenecientes a un Proveedor de Servicio de Internet (ISP). Identificacin de un conjunto de enrutadores agregados a una subred particular. Identificacin de un grupo de enrutadores que sirven como entrada a un dominio en particular.
Seguridad en IPv6 Los diseadores de IPv4 en un principio no tuvieron que preocuparse por implementar mecanismos de seguridad en IP ya que Internet era utilizado por muy pocas personas; sin embargo, en la actualidad es uno de los medios ms recurridos para realizar no slo transacciones monetarias, sino tambin utilizacin de informacin delicada. Debido a esto, se han desarrollado protocolos para tratar de asegurar los datos que son transmitidos por Internet, algunos ejemplos son SSL y S/MIME. Dichos protocolos no aseguran del todo la informacin transmitida ya que su efectividad se limita a las capas superiores a la capa de red. Esto hace que la informacin transmitida sea vulnerable a los ataques que se realizan en la capa de red. IPv6 incorpora los servicios de seguridad de IPSec (Internet Protocol Security) definido en el RFC 1825 mediante dos encabezados de extensin:
Encabezado de Autenticacin (AH): El Encabezado de Autenticacin como lo define el RFC 1826 provee integridad de datos y autentificacin del origen de los datagramas IP, obteniendo as proteccin contra reenvo de paquetes.
Encapsulado de seguridad de la carga (ESP): ESP, definido por el RFC 1827, est diseado para proveer confidencialidad, autentificacin del origen de los datos, integridad sin conexin y servicio contra reenvo de paquetes.
14
Un paquete en IPv6 est compuesto principalmente de dos partes: la cabecera y los datos.
La cabecera est en los primeros 40 bytes del paquete y contiene las direcciones de origen y destino (128 bits cada una), la versin de IP (4 bits), la clase de trfico (8 bits, Prioridad del Paquete), etiqueta de flujo (20 bits, manejo de la Calidad de Servicio), longitud del campo de datos (16 bits), cabecera siguiente (8 bits), y lmite de saltos (8 bits, Tiempo de Vida).
Despus est el campo de datos, con los datos que transporta el paquete, que puede llegar a 64k de tamao en el modo normal. Hay dos versiones de IPv6 levemente diferentes. La ahora obsoleta versin inicial, descrita en el RFC 1883, difiere de la actual versin propuesta de estndar, descrita en el RFC 2460, en dos campos: 4 bits han sido reasignados desde "etiqueta de flujo" (flow label) a "clase de trfico" (traffic class). El resto de diferencias son menores.
Actualmente el protocolo IPv6 est soportado en la mayora de los sistemas operativos modernos, en algunos casos como una opcin de instalacin. Linux, Solaris, Mac OS, NetBSD, OpenBSD, FreeBSD, Windows (2000, XP y VISTA de forma nativa) y Symbian (dispositivos mviles), etc. 15
2. Mecanismos de transicin
Como ya hemos indicado anteriormente el cambio de IPv4 a IPv6 ya ha comenzado y es en esta lnea de trabajo donde se ha desarrollado nuestro proyecto. Durante veinte aos se espera que convivan ambos protocolos y que la implantacin de IPv6 sea paulatina.
Existen una serie de mecanismos que permitirn la convivencia y la migracin progresiva tanto de las redes como de los equipos de usuario. Los podemos clasificarse en tres grupos:
Dual Stack
La pila dual (Dual Stack) hace referencia a una solucin de nivel IP con pila dual (RFC 2893), que implementa las pilas de ambos protocolos, IPv4 e IPv6, en cada nodo de la red. Cada nodo de pila dual en la red tendr dos direcciones de red, una IPv4 y otra IPv6.
Traduccin
La traduccin es necesaria cuando un nodo slo IPv4 intenta comunicar con un nodo slo IPv6. Los mecanismos de traduccin pueden ser divididos en dos grupos basndonos en si la informacin de estado est guardada con estado ( AT-PT, TCP-UDP Relay, Socks-based Gateway) o sin estado (Bump-in-the-Stack, Bump-in-the-API).
Tneles
Los tneles permiten conectarse a redes IPv6 "saltando" sobre redes IPv4. Estos tneles trabajan encapsulando los paquetes IPv6 en paquetes IPv4. De esta manera, los paquetes IPv6 pueden ser enviados sobre una infraestructura IPv4. Hay muchas tecnologas de tneles disponibles. La principal diferencia est en el mtodo que usan los nodos encapsuladores para determinar la direccin a la salida del tnel. Entre los mecanismos de transicin descritos nuestro proyecto se ha centrado en los tneles. 16
Tneles Definicin Los tneles proporcionan un mecanismo para utilizar las infraestructuras IPv4 mientras la red IPv6 est siendo implantada. Este mecanismo consiste en enviar datagramas IPv6 encapsulados en paquetes IPv4. Los extremos finales del tnel siempre son los responsables de realizar la operacin de encapsulado de paquetes. Estos tneles pueden ser utilizados de formas diferentes:
Router a router. Routers con doble pila (IPv6/IPv4) se conectan mediante una infraestructura IPv4 y transmiten trfico IPv6. El tnel comprende un segmento que incluye la ruta completa, extremo a extremo, que siguen los paquetes IPv6.
Host a router. Hosts con doble pila se conectan a un router intermedio (tambin con doble pila), alcanzable mediante una infraestructura IPv4. El tnel comprende el primer segmento de la ruta seguida por los paquetes.
Host a host. Hosts con doble pila interconectados por una infraestructura IPv4. El tnel comprende la ruta completa que siguen los paquetes.
Router a host. Routers con doble pila que se conectan a hosts tambin con doble pila. El tnel comprende el ltimo segmento de la ruta.
Los tneles se clasifican segn el mecanismo por el que el nodo que realiza el encapsulado determina la direccin del nodo extremo del tnel. En los dos primeros casos (router a router y host a router), el extremo final es un router intermedio que debe desencapsular el paquete IPv6 y reenviarlo a su destino final. La direccin del extremo final del tnel ha de ser determinada a travs de informacin de configuracin en el nodo que realiza el tnel. Es lo que se denomina tnel configurado, describiendo aquel tipo de tnel cuyo extremo final es explcitamente configurado. En los otros dos casos (host a host y router a host), el extremo final del tnel es el nodo destino del paquete, y por tanto, la direccin IPv4 est contenida en la direccin IPv6, este caso se denomina tnel automtico.
6to4 Los tneles 6to4 permiten que ubicaciones IPv6 aisladas se comuniquen mediante un tnel automtico a travs de una red IPv4 que no admite IPv6. Para utilizar tneles 6to4 se debe configurar un router o encaminador de lmite de sistema en la red IPv6 como un punto final del tnel automtico 6to4. Despus, el encaminador 6to4 puede participar en un tnel hasta otra ubicacin 6to4, o, si es necesario, hasta un ubicacin IPv6 nativa, no 6to4.
La figura muestra dos redes 6to4 independientes, Site A y Site B. Cada ubicacin tiene configurado un encaminador con una conexin externa a una red IPv4. Un tnel 6to4 a travs de la red IPv4 conecta las dos ubicaciones 6to4.
Antes de que una ubicacin IPv6 pueda convertirse en 6to4, debe configurar al menos una interfaz de encaminador para que admita 6to4. Esta interfaz debe proporcionar la conexin externa a la red IPv4. La direccin configurada en qfe0 debe ser nica globalmente. En esta figura, la interfaz qfe0 del encaminador de lmite de sistema Router A conecta la ubicacin Site A con la red IPv4. La interfaz qfe0 ya debe estar configurada con una direccin IPv4 antes de que sea posible configurar qfe0 como una pseudo-interfaz 6to4. 18
En la figura, la ubicacin 6to4 Site A est compuesta de dos subredes, que estn conectadas a las interfaces hme0 y hme1 del encaminador Router A. Todos los hosts IPv6 de ambas subredes de la ubicacin Site A se reconfiguran automticamente con direcciones derivadas 6to4 al recibir el anuncio del encaminador Router A. La ubicacin Site B es el punto final del tnel opuesto a Site A. Para recibir trfico de Site A, debe haber un encaminador de lmite de sistema en Site B configurado para admitir 6to4. De no ser as, los paquetes que reciba el encaminador de Site A no se reconocen y se descartan.
A continuacin describimos el flujo de paquetes entre un hosts en una ubicacin 6to4 y un host en una ubicacin 6to4 remota. Este ejemplo utiliza la configuracin de la figura anterior, considerando que los encaminadores y hosts 6to4 ya estn configurados.
- Un host en la subred 1 (Subnet 1) de la ubicacin 6to4 Site A enva una transmisin, con un host de la ubicacin 6to4 Site B como destino. El encabezado de cada paquete del flujo tiene una direccin de origen derivada de 6to4 y una direccin de destino derivada de 6to4.
- El encaminador 6to4 Router A recibe los paquetes salientes y crea un tnel a travs de una red IPv4 hasta la ubicacin 6to4 Site B.
- En encaminador de la ubicacin Site A encapsula cada paquete 6to4 dentro de un encabezado IPv4. Despus, el encaminador utiliza procedimientos estndar IPv4 para reenviar los paquetes a travs de la red IPv4.
- Cualquier encaminador IPv4 que encuentren los paquetes en su camino utilizar la direccin de destino IPv4 del paquete para reenviarlo. Esta direccin es la direccin IPv4 globalmente nica de la interfaz del encaminador Router B, que tambin funciona como pseudo-interfaz 6to4.
- Los paquetes de Site A llegan al encaminador Router B, que desencapsula los paquetes IPv6 del encabezado IPv4.
- A continuacin, Router B utiliza la direccin de destino del paquete IPv6 para reenviar los paquetes al receptor en Site B.
19
En la siguiente figura vemos un tnel desde una ubicacin 6to4 hasta una ubicacin IPv6 nativa.
La figura muestra la ruta de trfico desde Site A hasta un tnel 6to4 a travs de una red IPv4. Los puntos finales del tnel son el encaminador 6to4 Router A y un encaminador de reenvo 6to4. Ms all del encaminador de reenvo 6to4 se encuentra la red IPv6, a la que est conectada la ubicacin IPv6 Site B.
A continuacin a su vez describimos el flujo de paquetes desde una ubicacin 6to4 hasta una ubicacin IPv6 nativa, utilizando la configuracin de la anterior figura.
- Un host en la ubicacin 6to4 Site A enva una transmisin que especifica como destino un host en la ubicacin IPv6 nativa Site B. El encabezado de cada paquete del flujo tiene una direccin derivada 6to4 como direccin de destino. La direccin de destino es una direccin IPv6 estndar.
- El encaminador 6to4 Router A recibe los paquetes salientes y crea un tnel a travs de una red IPv4 hasta un encaminador de reenvo 6to4.
Los encaminadores de reenvo 6to4 que forman parte del grupo de difusin por proximidad de encaminador de reenvo 6to4 tienen la direccin IP 192.88.99.1 . Esta direccin de difusin por proximidad es la direccin predeterminada de encaminadores de reenvo 6to4. Si necesita utilizar un encaminador de reenvo 6to4 especfico, puede anular la direccin predeterminada y especificar la direccin IPv4 del encaminador. 20
- El encaminador 6to4 de la ubicacin Site A encapsula cada paquete dentro de un encabezado IPv4, que tiene la direccin IPv4 del encaminador de reenvo 6to4 como destino. El encaminador 6to4 utiliza procedimientos IPv4 estndar para reenviar el paquete a travs de la red IPv4. Cualquier encaminador IPv4 que encuentren los paquetes en su camino los reenviar al encaminador de reenvo 6to4.
- El encaminador de reenvo 6to4 de difusin por proximidad ms cercano fsicamente a la ubicacin Site A recibe los paquetes destinados al grupo de difusin por proximidad 192.88.99.1.
- El encaminador de reenvo desencapsula el encabezado IPv4 de los paquetes 6to4 y, de este modo, revela la direccin de destino IPv6 nativa.
- A continuacin, el encaminador de reenvo enva los paquetes, que ahora son slo IPv6, a la red IPv6, donde los recibe un encaminador de la ubicacin Site B. El encaminador reenva los paquetes al nodo IPv6 de destino.
Los tneles 6to4 slo son vlidos con direcciones IPv4 pblicas. Durante el desarrollo del proyecto hemos dispuesto de una IP pblica en uno de los laboratorios de la Facultad de Informtica de la UCM para desarrollar los scripts que nos dan acceso a IPv6 mediante tneles 6to4. Tras las numerosas pruebas realizadas hemos podido comprobar que la electrnica de nivel-2 funciona correctamente. Gracias a ello hicimos una visita al Centro de Proceso de Datos de la UCM para mostrar nuestro trabajo. Explicaremos en profundidad la visita al CPD al final de la memoria.
Por ltimo destacar que el requisito imprescindible de tener una direccin IP pblica hace que la mayora de usuarios no puedan trabajar con tneles 6to4 ya que slo disponen de IP's privadas, las proporcionadas por los proveedores ISP (Internet Service Provider). Sern estos usuarios los que se accedan a IPv6 mediante los tneles TSP o Teredo desarrollados tambin en el proyecto y que describimos detalladamente en las siguientes pginas.
21
TSP Tunnel Setup Protocol (TSP) es un protocolo de seal usado para establecer los parmetros de configuracin de un tnel IPv6. TSP est basado en una arquitectura cliente-servidor. En nuestro proyecto hemos orientado la investigacin sobre TSP hacia Freenet6.
Freenet6 es un servicio de acceso IPv6 gratuito. Este servicio permite a cientos de usuarios de todo el planeta experimentar con el protocolo IPv6. Los usuarios de Freenet6 pueden obtener conectividad IPv6 desde cualquier punto, incluyndose aquellos que se encuentran detrs de una NAT. Es un proyecto que fue desarrollado por una compaa canadiense llamada Viagnie, la cual se uni a los esfuerzos por estandarizar IPv6 a partir de 1996 y cuya meta principal es desarrollar IPv6 a gran escala por medio de tneles configurados. Actualmente est disponible en http://go6.net
Freenet6 en lugar de ofrecer una interfaz Web, como usualmente hacen otros tunnel brokers, utiliza un modelo innovador basado en una arquitectura cliente-servidor. El cliente Gateway6 es software que habitualmente funciona correctamente en un PC y que implementa TSP (Tunnel Setup Protocol). El cliente Gateway6 es usado para negociar automticamente un tnel configurado entre un PC o router y el tunnel broker de Freenet6, facilitando as la instalacin y mantenimiento de IPv6. El cdigo fuente del cliente Gateway6 tiene licencia pblica bajo GPL (General Public License). Existe tambin una versin con licencia comercial.
En la siguiente figura mostramos la arquitectura cliente servidor por medio de un modelo de broker IPv6 de los tneles configurados.
22
En un modelo de Tunnel Broker, es el broker el responsable de toda la comunicacin entre los servidores de tnel y los clientes de tnel. Los clientes solicitan tneles al broker y ste encuentra un servidor de tnel apropiado, realiza la peticin para el establecimiento de un tnel al servidor y enva la informacin de vuelta al cliente.
Freenet6 puede ser utilizado en dos modos: registrado o annimo. Para obtener acceso al modo registrado hemos de crear una cuenta a travs del portal http://go6.net. As obtendremos una serie de datos de configuracin necesarios para acceder al servicio Freenet6. Tambin es posible acceder sin realizar registro alguno, accederemos as a Freenet6 en modo annimo. En los scripts desarrollados en el proyecto hemos incluido un sencillo interfaz que permitir al usuario elegir entre ambos modos de manera cmoda y sencilla y acceder as al servicio ofrecido por Freenet6. Se explicar con ms detalle en los siguientes puntos de la memoria.
Teredo Teredo es una tecnologa de transicin IPv6 que habilita la direccionabilidad directa de equipos detrs de una NAT ( etwork Address Traducer). As en presencia de dispositivos NAT no compatibles con IPv6 donde slo estn disponibles direcciones privadas, hay disponible una tecnologa, llamada Teredo, tambin conocida como "NAT Traversal", que permite hacer tunneling de trfico IPv6 sobre NAT incluyendo una cabecear UDP (User Datagram Protocol) que se puede emplear para establecer un mecanismo de tnel sobre IPv4 entre sistemas finales. Ser la situacin (IP privada detrs de una NAT) en la que se encuentren la mayora de usuarios.
Teredo se basa en el uso de un servidor que puede ser enrutado pblicamente y globalmente para trabajar con conexiones potenciales. El servidor de Teredo da al servidor y cliente de la aplicacin un punto de reunin comn en el que pueden intercambiar informacin de conexin. Los equipos solicitan a continuacin una direccin Teredo temporal y los paquetes se pasan mediante tneles a travs de la red existente. La compatibilidad de Teredo en WCF requiere la habilitacin de la compatibilidad con Teredo e IPv6 en el sistema operativo. Windows XP y los sistemas operativos posteriores admiten Teredo. Windows Vista y los sistemas operativos posteriores admiten IPv6 de forma predeterminada y slo requieren que el usuario habilite Teredo. Windows XP SP2 y Windows Server 2003 requieren que el usuario habilite IPv6 y Teredo. En el caso de UNIX, entorno en el que hemos desarrollado nuestro proyecto, se desarrolla Miredo. Es una implementacin open-source de Teredo con la que hemos trabajado. 23
Miredo fue originalmente desarrollado, y es activamente mantenido por Rmi Denis-Courmont. Incluye todos los componentes de la arquitectura Teredo que a continuacin explicaremos detalladamente. Actualmente es distribuido bajo los trminos GNU (General Public License) y es ejecutable en GNU/Linux kernel, FreeBSD, NetBSD y MacOS X.
Arquitectura Teredo
La arquitectura Teredo est formada por los siguientes componentes Cliente Teredo Servidor Teredo Teredo relays Teredo host-specific relays
Cliente Teredo Un cliente Teredo es un nodo IPv6/IPv4 que soporta un interfaz de tnel Teredo cuyos paquetes son enviados con otros clientes Teredo o con nodos IPv6 (a travs de un Teredo relay). El cliente Teredo enva una peticin a un nodo IPv6, ste enva la peticin encapsulado en UDP/IPv4 al servidor Teredo, quien lo dirige a IPv6 nativo y enva la respuesta al cliente.
Servidor Teredo Un servidor Teredo es un nodo IPv6/IPv4 que se conecta tanto a IPv4 como a IPv6. Soporta una interfaz de tneles sobre la cual son recibidos los paquetes. La funcin principal del servidor Teredo es asistir en la configuracin de direcciones de los clientes Teredo, as como facilitar la comunicacin inicial entre varios clientes Teredo o entre clientes Teredo y hosts IPv6.
Teredo relay Por Teredo relay nos referimos a un router IPv6/IPv4 capaz de enviar paquetes entre los clientes Teredo de IPv4 y los hosts IPv6. En algunos casos interacta con el servidor Teredo para facilitar la comunicacin inicial entre los clientes Teredo y los hosts IPv6.
Teredo host-specific relay La comunicacin entre clientes Teredo y hosts IPv6 que son configurados con una direccin global deben pasar necesariamente a travs de un Teredo relay. Un Teredo host-specific relay es un nodo IPv6/IPv4 que tiene un interfaz que proporciona conectividad tanto con nodos IPv4 como con nodos IPv6. 24
En la anterior figura se puede observar grosso modo la estructura de la Red de Datos (RR.DD) de la Universidad Complutense.
La Universidad recibe un prefijo de red de tipo B (147.96.0.0/16) del ente REDIRIS, proveedor de servicios de Internet para las Instituciones Universitarias y de Investigacin en Espaa, a travs de su concesionaria regional RedIris-Madrid. REDIMadrid se conecta a Internet a travs de la Red Acadmica Nacional (RedIRIS) mediante un enlace de 2,5Gb de ancho de banda. Y cuya topologa de conexin se muestra en la siguiente figura.
25
La RR.DD se trata de una red fuertemente centralizada, a diferencia de otras estructuras de carcter ms federal en otras instituciones similares. Como se puede apreciar, el ncleo de la red lo constituye el Campus de Moncloa, al que se conectan eventualmente otras redes de campus satlite (Somosaguas, Colegios Mayores) interconectando todos sus edificios mediante tecnologa Gigabit Ethernet, tambin conocida como GigE.
GigE es una ampliacin del estndar Ethernet (concretamente la versin 802.3ab y 802.3z del IEEE) que consigue una capacidad de transmisin de 1 gigabit por segundo, correspondientes a unos 1000 megabits por segundo de rendimiento contra unos 100 de Fast Ethernet (Tambin llamado 100-Base/T); en cuanto a las dimensiones de red que ofrece esta tecnologa, no hay lmites respecto a extensin fsica o nmero de nodos. Gigabit Ethernet soporta diferentes medios fsicos, con distintos valores mximos de distancia. Se han identificado tres objetivos especficos de distancia de conexin:
Conexin de fibra ptica multimodo con una longitud mxima de 500m; Conexin de fibra ptica monomodo con una longitud mxima de dos kilmetros; Conexin basada en cobre con una longitud de al menos 25m. Adems, se est trabajando para soportar distancias de al menos 100m en cableado UTP de categora 5.
Los enlaces verticales que unen los centros de distribucin de cableado dentro de cada edificio o grupo de edificios conexos forman una estrella que parte del centro de distribucin de cableado principal de cada edificio (el que se une con la red troncal), siempre con capacidad mnima de Gigabit Ethernet sobre fibra ptica.
Se proporciona a cada puesto de trabajo una capacidad de acceso a la red de 100 Mbps, siempre conmutados. Se establece el requisito de que un punto de conexin a la red slo puede servir a un nico equipo de usuario.
26
En la siguiente tabla se ofrecen las cifras de los puntos de conexin a la red y puertos de electrnica de red instalados, y de los puntos que actualmente estn activos dando servicio a los usuarios para los dos campus y centros remotos.
Puntos de
: Noviembre 2007
cableado estructurado
TOTAL
43867
El nivel 3 se corresponde a la capa de red, es una capa que proporciona conectividad y seleccin de ruta entre dos sistemas de hosts que pueden estar ubicados en redes geogrficamente distintas, cuya misin es conseguir que los datos lleguen desde el origen al destino aunque no tengan conexin directa.
Existe un nico punto de entrada y salida por el que el trfico es derivado hacia Internet. Este punto es un sistema router-firewall con un interfaz que sirve de enlace WAN hacia RedIris-Madrid. El equipo tcnico suele referirse a l como troncal.
A continuacin se encuentra un router, referido como CPD, en el que se practica a nivel 3 una fragmentacin o subneting lgico con ms de 30 redes de clase C, (prefijo /24) facilitando la gestin y monitorizacin de las redes. En una red de clase C, se asignan los tres primeros octetos para identificar la red, reservando el octeto final (8 bits) para que sea asignado a los hosts, de modo que la cantidad mxima de hosts es 28 - 2, o 254 hosts. Estas redes tienen su medio de transmisin en las correspondientes estructuras de nivel 2, de la que se habla en el siguiente apartado.
27
El objetivo del nivel de enlace (nivel 2) es conseguir que la informacin fluya, libre de errores, entre dos mquinas que estn conectadas directamente (servicio orientado a conexin). Para lograr este objetivo tiene que montar bloques de informacin (llamados tramas en este nivel), dotarles de una direccin de nivel de enlace, gestionar la deteccin o correccin de errores y ocuparse del control de flujo entre equipos (para evitar que un equipo ms rpido desborde a uno ms lento). Cuando el medio de comunicacin est compartido entre ms de dos equipos es necesario arbitrar el uso del mismo
Una red tan grande como la que nos ocupa, con ms de 20.000 nodos, forzosamente ha de producir un elevado nmero de colisiones en su intento por acceder al medio compartido, lo que ha de redundar en los tiempos de latencia. A tal efecto, en cada edifico existen equipamientos de switching, capaces de fragmentar toda la red de nivel 2 en VLAN por puertos, aislando el trfico redundante. Paralelamente a este aumento del rendimiento se consigue una incipiente forma de movilidad, permitiendo a dispositivos de una misma VLAN conectarse desde edificios distintos.
Una VLAN es un mtodo de crear redes lgicamente independientes dentro de una misma red fsica. Varias VLANs pueden coexistir en un nico conmutador fsico o en una nica red fsica. Son tiles para reducir el dominio de colisin y ayudan en la administracin de la red separando segmentos lgicos de una red de rea local (como departamentos de una empresa) que no deberan intercambiar datos usando la red local (aunque podran hacerlo a travs de un enrutador).
Se puede observar como las conexiones se agrupan en torno a dos polos o estrellas, cada una de ellas con el smbolo router. El segundo de estos polos lo constituye el router identificado como Rectorado, planteado para entrar en accin en caso de eventual cada o inoperatividad del CPD. El protocolo empleado para coordinarse entre s los dos routers es el VRRP (Virtual Routing Redundancy Protocol).
Detalle conexiones 28
El VRRP, es un protocolo de redundancia no propietario definido en el RFC 3768, diseado para aumentar la disponibilidad de la puerta de enlace por defecto dando servicio a mquinas en la misma subred. El aumento de fiabilidad se consigue, mediante el anuncio de un router virtual, como una puerta de enlace por defecto en lugar de un router fsico. Dos o ms routers fsicos se configuran representando al router virtual, con slo uno de ellos realizando realmente el enrutamiento. Si el router fsico actual que est realizando el enrutamiento falla, el otro router fsico negocia para sustituirlo. Se denomina router maestro al router fsico que realiza realmente el enrutamiento, y routers de respaldo a los que estn en espera de que el maestro falle.
Toda la red se basa en elementos modulares, compatibles e intercambiables entre s, lo cual permite una gran facilidad de adaptacin a los cambios que requieran ampliacin o actualizacin de las conexiones. Adems, esta caracterstica mejora sustancialmente las condiciones de mantenimiento de la red en su conjunto.
La electrnica cuenta con elementos redundantes, como las fuentes de alimentacin, con capacidad de reparto de la carga, y todos los mdulos son reemplazables en caliente, sin interrupcin del servicio.
La capacidad de los mecanismos de conmutacin es suficiente para soportar el uso de al menos el 80% del ancho de banda agregado del mximo nmero de puntos instalables en cada mdulo y chasis, sin congestin.
Los chasis modulares aceptan la inclusin de mdulos que soportan los siguientes protocolos y estndares:
o o o o o o
Ethernet, Fast Ethernet, Gigabit Ethernet, FDDI. Gestin SNMP y RMON. Redes virtuales (802.1 Q). Calidad de servicio (802.1 p). Control de flujo (802.3 x). Soporte multicast.
Agregacin de lneas o port trunking. Port mirroring, que permita redirigir el trfico en una puerta a otra puerta para ser observado.
o o
Establecimiento de filtros de acceso sobre la informacin de niveles 2, 3 y 4. Establecimiento de polticas de seguridad asociadas a cada puerto. 29
o o
Control de los umbrales de trfico de broadcast. Limitacin del uso del ancho de banda por puerto.
El mapa anterior muestra la topologa lgica de la red de datos de la UCM. Estn representados los diferentes nodos y los enlaces que los unen. Cada enlace entre dos nodos se representa por dos flechas que indican el sentido del trfico y que estn coloreadas en funcin del estado de ocupacin del mismo. Cada flecha tiene un indicador numrico que representa el porcentaje actual de ocupacin del enlace en ese sentido.
30
Este ltimo enfoque es el que hemos adoptado en nuestro planteamiento de transicin a IPv6 de la RR.DD de la UCM, valorando que el usuario final no vea perturbado su actividad cotidiana usando los servicios tradicionales sobre IPv4 (Web, correo, ftp, mensajera, etc.) Como soporte a la toma de decisin, el equipo tcnico valor la posibilidad de realizar simulaciones sobre la topologa especificada, y dentro de las limitaciones que un simulador ofrece, verificar la compatibilidad y coexistencia sin interferencia de los dos protocolos.
Para ello empleamos la conocida herramienta de simulacin de redes desarrollada por Escuela Tcnica Superior de Ingeniera Telecomunicacin (ETSIT) de la Universidad Politcnica de Madrid: VNUML.
VNUML es una coleccin de scripts en Perl que permite arrancar y configurar una serie de mquinas virtuales de acuerdo a una topologa de red indicada previamente en un fichero de configuracin XML.
En la figura anterior se puede observar una escena de la simulacin, con una muestra representativa de 25 nodos alojados en cada una de las VLAN.
Plan de direccionamiento.
Al igual que se hace en IPv4, procedemos a realizar el subneting lgico en redes de clase C. Nuestro criterio fue asignar a cada VLAN de nivel 2 una red de prefijo /64.
32
Autoconfiguracin RADVD. El direccionamiento que persiste en la actual infraestructura IPv4 es esttico, lo que quiere decir que cada usuario es responsable, en coordinacin con el personal del CPD, de configurar manualmente su equipo con una direccin previamente asignada.
Este planteamiento no es asumible con direcciones IPv6 de 128 bits, donde la especificacin de direcciones IPv6 tales como 2002:9360:1926:00fe:e409:fe05:c21b:c670 puede ser tediosa y proclive a errores tipogrficos.
Afortunadamente, este factor fue tenido en cuenta por los diseadores del protocolo, dotando al mismo de posibilidades de autoconfiguracin, segn se dicta en la especificacin RFC 2461. Gracias a ello, la asignacin de una direccin se realiza automticamente al conectar un equipo a la red, sin perjuicio de la direccin esttica que por su papel adquieren algunos nodos dedicados a funciones especficas (servidores Web, agentes SNMP de monitorizacin, etc.).
En este sentido, en nuestro planteamiento, el mismo agente encargado de enrutar el trfico IPv6 se erige como anunciante de prefijos de red. Exactamente cada uno de los prefijos anunciados coincide con los descritos anteriormente sobre los planes de direccionamiento. Actualmente, el sistema operativo Windows Vista, las distintas distribuciones de sistemas Linux e incluso plataformas MAC, vienen preparadas por defecto para reaccionar a estos mensajes.
Una vez cubierta la infraestructura de los servicios de red, el primer servicio de aplicacin ms urgente es el de DNS, encargado de trasladar los nombres de dominio a sus correspondientes direcciones IPv6. Las direcciones de IPv6 tienen reservadas un tipo especial de registro (AAAA), pero el mismo protocolo de aplicacin DNS puede estar definido utilizando como transporte TCP/IPv4 o TCP/IPv6.
De este modo, en un entorno hbrido como el que nos afecta, no es imprescindible a corto plazo la implementacin de un servidor de nombres sobre TCP/IPv6: la consulta al DNS se hace por IPv4. A medio-largo plazo consideraremos la migracin del resto de servicios de aplicacin (SMPP, IMAP4, POP3, HTTP) al nuevo protocolo, pero siempre teniendo en cuenta que en una red de estas caractersticas los servidores efectan un balanceo de carga sobre la misma IP. Por tanto no siempre ser posible contar con versiones habilitadas para el nuevo protocolo.
Implementacin y despliegue.
A la hora de plantearse la inyeccin de conectividad IPv6 en la actual infraestructura, corresponde al equipo tcnico la valoracin del impacto que puede tener en la red en produccin la sustitucin de elementos troncales, como routers, por otros capaces de procesar el nuevo protocolo. En este sentido, no parece realista la propuesta de cambiar estos elementos de tanta importancia de forma inmediata. El escepticismo de esta prctica hace que muchas organizaciones con una poltica de seguridad conservadora posterguen de forma reiterada la introduccin del protocolo IPv6.
En el caso de la RR.DD de la UCM, este es un punto de significativa importancia, habida cuenta de la gran inversin que supone la adquisicin de equipamiento electrnico. Afortunadamente, no sucede lo mismo con los equipos de switching; dado que estos elementos procesan el nivel 2, para ellos es transparente el uso de un protocolo de nivel 3 como IPv6. Tampoco parece razonable desplegar la conectividad IPv6 sobre algunos sectores VLAN estratgicos, a falta de la elaboracin de un plan de seguridad perimetral ms sofisticado.
34
Una primera solucin de compromiso consiste en ofrecer conectividad IPv6 a travs de equipo plataforma-hardware muy comn -PC- corriendo el sistema operativo Linux, al punto muy optimizado (compilacin de kernel, configuracin de servicios) para desempear funciones de enrutamiento, y excepcionalmente dotado de 6 tarjetas de Red Ethernet convencionales conectadas a las VLAN que se desea autoconfigurar segn el planteamiento anteriormente expuesto.
En esta fase no adoptaremos conectividad nativa, sino que como nico requisito plantearemos que una de estas tarjetas est dotada de una direccin IPv4 pblica, factor indispensable para poder experimentar con tcnicas de tunneling.
complu6ix.ucm.es
representa el appliance que sirve de agente enroutador de IPv6. Cada una de sus tarjetas aparece conectada a una red VLAN.
IPv6
TUNNEL IPv6/IPv4 Router CPD
SIT0 Complu6ix.ucm.es
RS RA
RS
RA RA RS RA RS
VLAN0
VLAN1
VLAN2
VLAN3
35
Teniendo en cuenta que nuestro sistema adquiere conectividad mediante tcnicas de tunneling, compromete el control de dos focos: el router virtual, encargado de gestionar el enrutado interior y la codificacin de paquetes IPv6 usando IPv4, y el router CPD, desde donde se gobierna el trfico IPv4 hacia o desde el exterior.
En el nodo que acta como router virtual, podemos controlar mediante las reglas de filtrado del cortafuegos todo lo relativo al trfico IPv6 de entrada-salida originado o con destino a la Red de Datos de la Universidad Complutense, en sus diversas modalidades, ya sea por puertos, o por direcciones. Esto se consigue mediante la conocida herramienta iptables, que se describe ligeramente en el captulo siguiente.
Por otro lado, al objeto de impedir que cualquier nodo del espacio IPv4 de la RR.DD puede erigirse como router virtual, pudiendo de este modo burlar la anterior poltica de seguridad, corresponde al router central del CPD filtrar todo intento de trfico IPv6 por otros tneles distintos al que se ha propuesto como oficial.
36
Netconfig
etconfig es un complejo script. Es muy utilizado para la administracin de sistemas UNIX. Est escrito en lenguaje shell. La definicin que podemos dar de etconfig sera la de un instrumento a base de texto para la configuracin simple de dispositivos ethernet. La funcin desempeada por este script es la de recopilacin de informacin de usuario, para la configuracin de una tarjeta (IP, gateway, dhcp, caso esttico, etc.). etconfig original solicita informacin para una tarjeta (eth0).
Esta informacin es guardada en el fichero de configuracin /etc/rc.d/rc.inet1.conf., el cual tambin puede ser editado manualmente
En este caso, nuestra tarea es meramente poner la informacin correcta entre las comillas (por ejemplo para habilitar el DHCP escribiremos YES en USE_DHCP). Estas variables son llamadas por /etc/rc.d/rc.inet1 al inicio para configurar las interfaces de red.
37
El script /etc/rc.d/rc.inet1 tiene una serie de rdenes que se ejecutan sobre lneas de comandos. Los comandos disponibles son: start, up: levanta todas las interfaces configuradas. stop, down: detiene todas las interfaces. restart: levanta de nuevo las interfaces. ethi_start, ethi_up: levanta la interfaz ethi especificada. ethi_stop, ethi_down: detiene la interfaz ethi. ethi_restart: detiene ethi y la inicia de nuevo.
etconfig nos ofrece distintos esquemas de direccionamiento IP para configurar las tarjetas.
o
IP Esttico: Las direcciones IP estticas son direcciones fijas, que slo cambian cuando se modifican manualmente. stas se utilizan cuando el administrador no desea que la informacin IP cambie, ya sea en servidores internos de una LAN, cualquier servidor conectado a Internet, y enrutadores en red.
DHCP: Es el medio a travs del cual las direcciones IP pueden ser asignados a una computadora al arrancar. Cuando el cliente DHCP arranca, pone una solicitud de la Red de rea Local (LAN) para el servidor DHCP, para que le asigne una direccin IP. El servidor DHCP tiene un fondo de direcciones IP disponibles. El servidor va a responder a esta solicitud con una direccin IP del fondo, junto con un tiempo de arrendamiento. Una vez este tiempo para una direccin IP dada haya expirado, el cliente debe contactar al servidor de nuevo y repetir la negociacin. El cliente entonces aceptar la direccin IP que le brinda el servidor y configurar la interfaz de red que lo solicit con la direccin IP.
Con
etconfig slo tenemos la posibilidad de configurar una tarjeta. Como parte de nuestro
proyecto hemos ampliado el script original para que se detecten todas las tarjetas existentes en la mquina. stas se almacenarn en un array, el cual ser recorrido pidiendo para cada tarjeta los datos de configuracin necesarios al usuario.
38
A continuacin describimos las acciones que un usuario podr realizar sobre configurar las tarjetas que desee sobre su mquina. Primeramente debemos introducir el nombre que vamos a asignar a nuestro host.
etconfig para
A continuacin debemos introducir el nombre de dominio. Despus, una vez reconocidas todas las tarjetas que tiene la mquina, el script pregunta una por una la configuracin que queremos dar a cada tarjeta. Las opciones de configuracin que se ofrecen son las explicadas con anterioridad: Static IP: caso esttico, en el que debemos introducir una IP y la mscara. DHCP: mecanismo de auto asignacin, o auto configuracin en IPv4. Disable: si queremos dejar deshabilitada esa tarjeta.
39
Una vez concluida la configuracin de esa tarjeta nos mostrar un cuadro con la informacin que hemos introducido, en el que podremos editar algn cambio de ltima hora.
40
Una vez configuradas todas las tarjetas nos pedir informacin para el ameServer.
41
Netconfig6
etconfig6 es un nuevo script homlogo a etconfig. Tiene su misma funcionalidad (la
configuracin de tarjetas) orientada en este caso a IPv6. Su estrucutra es similar a la de etconfig original, para as poder implantarlo en un futuro en la distribucin de Slackware. Consta de un fichero de configuracin donde se almacenan los datos de las tarjetas (rc.inet1v6.conf). Y un script rc.inet1v6 de comandos que ejecutar las rdenes sobre las tarjetas que decida el usuario leyendo los datos de configuracin necesarios del fichero citado anteriormente (rc.inet1v6.conf). etconfig6 se ejecuta de la misma forma que su hermano mayor. Primero detecta todas las tarjetas conectadas a la mquina, (almacenndolas en arrays), para despus pedir la informacin de configuracin para cada una de las tarjetas existentes. Las opciones que da este script para la configuracin de las tarjetas son: Static IP: similar al caso en IPv4, pero con los datos en IPv6. El usuario tendr que introducir la IP y la mscara. AUTOCO F: es un mecanismo de auto asignacin basado en radvd utilizado para la auto configuracin de IPv6. Es un demonio que trata solicitudes de router (RS) de los host y responde con anuncios de router (RA). Estos anuncios contienen informacin, que es usada por los host para configurar sus interfaces. DHCPv6: anlogo al mecanismo de auto asignacin de IPv4 pero para IPv6. Disable: si queremos dejar la tarjeta deshabilitada. etconfig6 es la de verificacin de direcciones y mscaras, ya
que es capaz de detectar si una direccin o mscara introducida se corresponde con el formato correcto en IPv6. De no ser as se comunicar al usuario la incorreccin detectada y se pedirn los nuevos datos correctos.
Fichero de configuracin rc.inet1v6.conf El fichero de configuracin donde se recopila la informacin es rc.inet1v6.conf. La informacin recopilada puede ser editada manualmente.
42
Consta de los siguientes campos: IPADDR[i]-> Contiene la IP en IPv6 de la tarjeta i, slo se necesita en el caso esttico. ETMASK[i]-> La mscara en IPv6 de la tarjeta i. USE_AUTOCO F[i]-> Slo cuando expresamente se ponga a no estar desactivada, si no es la opcin que est por defecto (RADVD). USE_DHCPv6[i]-> Otro mecanismo de auto asignacin, slo cuando sea yes estar activada.(No est implementado). DHCP_HOST AME[i]-> Nombre del Host para DHCP.(No est implementado). Una vez explicados todos los campos del fichero de configuracin mostramos un ejemplo de cmo sera dicho fichero si todas las tarjetas estuvieran configuradas a autoconf (radvd). # Config information for eth0: IPADDR[0]=" ETMASK[0]="64 USE_AUTOCO F[0]=" USE_DHCPv6[0]=" DHCP_HOST AME[0]=" # Config information for eth1: IPADDR[1]=" ETMASK[1]="64 USE_AUTOCO F[1]=" USE_DHCPv6[1]=" DHCP_HOST AME[1]=" # Config information for eth2: IPADDR[2]=" ETMASK[2]="64 USE_AUTOCO F[2]=" USE_DHCPv6[2]=" DHCP_HOST AME[2]=" 43
# Config information for eth3: IPADDR[3]=" ETMASK[3]="64 USE_AUTOCO F[3]=" USE_DHCPv6[3]=" DHCP_HOST AME[3]="
Existe la posibilidad de que no todas las tarjetas estn configuradas del mismo modo. A continuacin mostramos un ejemplo en el que las tarjetas 0 y 1 estn configuradas como estticas, y las restantes con autoconf. # Config information for eth0: IPADDR[0]="ipv6 ETMASK[0]="64 USE_AUTOCO F[0]="no USE_DHCPv6[0]=" DHCP_HOST AME[0]=" # Config information for eth1: IPADDR[1]="ipv6 ETMASK[1]="64 USE_AUTOCO F[1]="no USE_DHCPv6[1]=" DHCP_HOST AME[1]=" # Config information for eth2: IPADDR[2]=" ETMASK[2]="64 USE_AUTOCO F[2]=" USE_DHCPv6[2]=" DHCP_HOST AME[2]=" # Config information for eth3: IPADDR[3]=" 44
Ficheros de ordenes rc.inet1v6 Este script fue creado para poder ejecutar distintas acciones sobre las tarjetas previamente configuradas en IPv6. Sigue la estructura de rc.inet1, el cual trabaja sobre tarjetas en IPv4. Est adaptado a las necesidades y requisitos existentes en IPv6. Los comandos disponibles son: start,up: levanta todas las interfaces configuradas. Stop,down: detiene todas las interfaces. restart: levanta de nuevo las interfaces. ethi_start, ethi_up: levanta la interfaz ethi especificada. ethi_stop, ethi_down: detiene la interfaz ethi. ethi_restart: detiene ethi y la inicia de nuevo.
A continuacin describimos las acciones que un usuario podr realizar sobre configurar las tarjetas que desee sobre su mquina.
etconfig6 para
45
Como vemos, nos pide la configuracin para la tarjeta0 (eth0). Despus se repetir el proceso para las siguientes tarjetas que sean detectadas. Las posibles configuraciones que podemos seleccionar son las ya citadas en la descripcin del script, y son las siguientes: Static IP: similar al caso en IPv4, pero con los datos en IPv6. El usuario tendr que introducir la IP y la mscara. AUTOCO F: es un mecanismo de auto asignacin basado en radvd. DHCPv6: anlogo al mecanismo de auto asignacin de IPv4 pero para IPv6. Disable: si queremos dejar la tarjeta deshabilitada.
Dependiendo de cul de las siguientes opciones elijamos se nos pedirn unos datos u otros.
Eligiendo radvd todo ya est auto configurado, y slo tendremos que confirmar la configuracin. Si por el contrario eligiramos el caso esttico tendramos que introducir los datos del mismo modo que veamos en IPv4, aunque ahora trabajando en IPv6 tambin deberemos introducir la mscara.
Por ltimo nos mostrar la configuracin que hemos elegido. En este punto tendremos la posibilidad de editar los datos de configuracin introducidos. Finalmente se mostrar una confirmacin de que el proceso ha concluido correctamente. 46
eas6ytunnel
Como parte de nuestro proyecto y con el objetivo de configurar y levantar los tneles descritos en el punto 2 de la memoria de una manera sencilla y eficaz hemos desarrollado los siguientes scripts: - eas6ytunnel - rc.eas6ytunnel que a continuacin describimos detalladamente.
eas6ytunel
El script eas6ytunnel permite configurar distintos tipos de tneles de manera rpida y sencilla. Con l el usuario puede consultar el estado actual del archivo de configuracin de tneles (/etc/rc.d/rc.eas6ytunnel.conf que describimos ms adelante) e ir aadiendo los datos de configuracin de nuevos tneles (6to4, TSP y Teredo) de una manera cmoda gracias al uso de Dialog que brinda gran flexibilidad al lenguaje de scripting por ser una interfaz de ventanas.
A continuacin describimos las acciones que un usuario podr realizar sobre eas6ytunnel para configurar los tneles que desee sobre su mquina.
En este mensaje de bienvenida se da la opcin al usuario de ejecutar el propio script eas6ytunnel para configurar nuevos tneles (este proceso de configuracin es explicado en las siguientes pginas) o de salir del mismo (en el caso de que el usuario no est seguro de las acciones que quiere realizar, en este caso el archivo de configuracin existente no se ver modificado).
47
Para configurar nuevos tneles el usuario acceder seleccionando <eas6ytunnel>. Si los tneles ya estaban configurados y por tanto el archivo de configuracin /etc/rc.d/rc.eas6ytunnel.conf ya estaba generado correctamente, el usuario seleccionar <Exit> para terminar la ejecucin sin hacer ningn cambio.
Una vez que accedemos se muestra el men principal en el que podemos seleccionar entre configurar un nuevo tnel, consultar el estado del archivo de configuracin, consultar la ayuda y finalmente generar el archivo de configuracin de los tneles.
Para empezar a configurar nuevos tneles seleccionaremos BEGIN/CONTINUE, accediendo as a un men en el que el usuario elegir el tipo de tnel que desea configurar.
48
Cada tipo de tnel necesita unos datos de configuracin concretos. Un dato comn que se pide es el nombre que el usuario desea dar al tnel. Deber ser un nombre vlido (no vaco) y que no haya sido elegido anteriormente. Si no es as se mostrar un ventana de error.
Tras introducir el nombre del tnel se pedirn los datos de configuracin necesarios para cada tnel.
En el caso del 6to4: Primero se ha de introducir una direccin IPv4 (recordemos que como indicbamos al describir los tneles 6to4 sta ha de ser una direccin pblica).
En caso de no introducir ninguna direccin o de que sta no sea vlida se mostrar una advertencia por pantalla.
49
Para continuar con la configuracin del tnel el usuario deber introducir una IPv4 vlida o bien seleccionar <Cancelar> para volver al men principal sin configurar el actual tnel.
Una vez introducida una IPv4 vlida se mostrarn estos datos de configuracin por pantalla. En este punto se permite la posibilidad de editar esta informacin (seleccionando la opcion <Edit>) por si se hubiera cometido algn error en el proceso de configuracin. Vemos un ejemplo de posible configuracin.
Seleccionando <Aceptar> confirmamos que la informacin de configuracin es correcta y por tanto ser almacenada de manera temporal (hasta que el usuario decida generar finalmente el archivo de configuracin) y podr ser consultada desde el men principal seleccionando CONFIG FILE.
50
El archivo contiene los datos de configuracin del tnel que ya hemos configurado. Esta informacin es almacenada en distintos arrays (para tneles 6to4: TUTYPE para el tipo de tnel, TUNAME para el nombre del tnel, TUIPv4 para la direccin IPv4, TUIPv6 para la direccin IPv6 que nuestro script traduce de forma automtica a partir de la direccin IPv4 introducida y TUNETMASK para la mscara) en la posicin 0 ya que es el primer tnel configurado. El siguiente tnel que configuremos ser almacenado en la posicin 1 de los distintos arrays, el siguiente en la posicin 2 y as sucesivamente. Estamos trabajando por tanto con arrays de N posiciones dispuestas de 0 a N-1.
Esta informacin es para configurar un tnel 6to4. En el caso de configurar un tnel TSP la informacin que el usuario deber introducir ser pedida tambin por pantalla. En primer lugar el usuario debe seleccionar entre los dos tipos de tneles TSP disponibles (annimo o registrado).
51
A continuacin se introducir el nombre del tnel (del mismo modo explicado para el 6to4). En el caso de que deseemos configurar un tnel TSP annimo (seleccionando <ANONYMOUS>) los datos de configuracin estn disponibles en el propio script y simplemente se mostrarn por pantalla.
En el caso de que tengamos una cuenta en http://go6.net y queramos configurar un tnel TSP con registro (seleccionando <REGISTERED>) los datos de configuracin obtenidos tras el registro debern ser introducidos. Son UserId, Password y Gateway6.
UserId
Password
52
Gateway6
Una vez introducidos los datos de configuracin, sern mostrados por pantalla. En este punto se permite la posibilidad de editar esta informacin (seleccionando la opcion <Edit>) por si se hubiera cometido algn error en el proceso de configuracin. Vemos un ejemplo de posible configuracin.
Seleccionando <Aceptar> confirmamos que esta informacin de configuracin es correcta. En este punto el archivo de configuracin contendra la informacin introducida por el usuario para cada tnel configurado. Como ya hemos indicado anteriormente esta informacin ser almacenada en el archivo de configuracin /etc/rc.d/rc.eas6ytunnel.conf. 53
Otra opcin disponible en el men principal nos muestra unas sencillas y tiles instrucciones para utilizar el script eas6ytunnel. Podemos acceder a ello seleccionando <HOWTO>.
Por ltimo indicar que en cualquier punto del proceso de configuracin el usuario podr salir bien de la configuracin de un tnel concreto o bien de la configuracin general ya realizada seleccionando <Cancelar>.
La informacin introducida slo ser almacenada correctamente en el archivo de configuracin de tneles rc.eas6ytunnel.conf cuando el usuario seleccione FINISH en el men principal. En este punto se mostrar el contenido del archivo de configuracin generado.
En este punto el usuario ya ha configurado los tneles deseados. Es el momento de levantar los tneles. Para ello hemos desarrollado el script rc.eas6ytunnel que accediendo a los datos de configuracin almacenados en /etc/rc.d/rc.eas6ytunnel.conf levantar los tneles en la mquina. Explicamos el script rc.eas6ytunnel ms detalladamente en las siguientes pginas.
54
rc.eas6ytunnel
Este script accede a los datos de configuracin de los tneles almacenados en el archivo /etc/rc.d/rc.eas6ytunnel.conf. Lee los datos de configuracin de los distintos tneles y procede a ejecutar las acciones necesarias para levantar los tneles indicados por el usuario.
Para levantar todos los tneles configurados haremos: ~# ./rc.eas6ytunnel start Para levantar un tnel en particular haremos: ~# ./rc.eas6ytunnel nombreTnel_start
A modo informativo se mostrarn por lnea de comandos una descripcin de las acciones realizadas al levantar los distintos tneles.
Por ejemplo: /etc/rc.d/rc.eas6ytunnel: /sbin/ifconfig sit0 up /etc/rc.d/rc.eas6ytunnel: /sbin/ifconfig sit0 add 2002:0102:0304::1/16 /etc/rc.d/rc.eas6ytunnel: /sbin/route -A inet6 add 2000::/3 gw ::192.88.99.1 dev sit0
Para comprobar que los tneles han sido bien levantados slo hay que hacer: ~# ifconfig que desplegar numerosos parmetros de los interfaces de redes existentes en la mquina.
sit0
Link encap:UNSPEC HWaddr 00-00-00-00-00-00-65-74-00-00-00-00-00-00-00-00 inet6 addr: 2002:9360:5144::1/16 Scope:Global inet6 addr: ::147.96.81.68/96 Scope:Compat inet6 addr: ::127.0.0.1/96 Scope:Unknown UP RUNNING NOARP MTU:1480 Metric:1 RX packets:435016 errors:0 dropped:0 overruns:0 frame:0 TX packets:870414 errors:20590 dropped:0 overruns:0 carrier:20581 collisions:0 txqueuelen:0 RX bytes:492112835 (469.3 MiB) TX bytes:92503487 (88.2 MiB)
55
Una vez configurados y levantados los tneles slo queda acceder al mundo IPv6. As por ejemplo haremos: ~# ping6 www.euro6ix.org y estaremos accediendo a travs de nuestro tnel a la pgina en IPv6 www.euro6ix.org En la consola se mostrar la informacin de la conexin que se est produciendo:
PING www.euro6ix.org(ns1.euro6ix.com) 56 data bytes 64 bytes from ns1.euro6ix.com: icmp_seq=1 ttl=62 time=156 ms 64 bytes from ns1.euro6ix.com: icmp_seq=2 ttl=62 time=123 ms 64 bytes from ns1.euro6ix.com: icmp_seq=3 ttl=62 time=129 ms 64 bytes from ns1.euro6ix.com: icmp_seq=4 ttl=62 time=139 ms
--- www.euro6ix.org ping statistics --4 packets transmitted, 4 received, 0% packet loss, time 3000ms rtt min/avg/max/mdev = 123.140/137.161/156.304/12.446 ms
En caso de fallo en la conexin (bien porque el tnel no est bien configurado, bien porque la pgina no est disponible, etc.) se nos indicar por pantalla de las siguientes formas: etwork is unreachable, unknown host , etc. Si esto ocurriese hay que repasar las acciones anteriores para ver que todo est correcto y volver entonces a establecer una conexin.
Para detener un tnel ya existente slo es necesario escribir por lnea de comandos ~# ./rc.eas6ytunnel nombreTnel_stop o bien ~# ./rc.eas6ytunnel stop que detendr todos los tneles existentes.
56
5. Trabajo futuro.
Conectividad nativa, movilidad.
Este documento slo es una propuesta para valorar la introduccin de conectividad IPv6 en la RR.DD de la Universidad Complutense utilizando tcnicas de tunneling, sin acometer grandes cambios en la infraestructura actual. Pasado un tiempo de evaluacin, juzgando el uso y valorando posibles problemas de configuracin por parte del usuario, el paso siguiente sera la negociacin con el actual proveedor de Internet para la Universidad, el ente RedIris, para obtener un enlace nativo.
A partir de ah se abre un mundo de posibilidades para experimentar con IPv6: movilidad, seguridad a nivel de red, integracin con otros dispositivos alternativos al computador, como telfonos mviles, y aprovechamiento de la optimizacin de multicast, en escenarios como la videoconferencia.
IPTABLES
Para ejercer un control sobre el trfico IPv6, podemos utilizar la conocida herramienta IPTABLES. Iptables permite al administrador del sistema definir reglas acerca de qu hacer con los paquetes de red. Las reglas se agrupan en cadenas: cada cadena es una lista ordenada de reglas. Las cadenas se agrupan en tablas: cada tabla est asociada con un tipo diferente de procesamiento de paquetes. Cada regla especifica qu paquetes la cumplen (match) y un destino que indica qu hacer con el paquete si ste cumple la regla. Cada paquete de red que llega a una computadora o que se enva desde una computadora recorre por lo menos una cadena y cada regla de esa cadena se comprueba con el paquete.
57
Si la regla cumple con el datagrama, el recorrido se detiene y el destino de la regla dicta lo que se debe hacer con el paquete. Si el paquete alcanza el fin de una cadena predefinida sin haberse correspondido con ninguna regla de la cadena, la poltica de destino de la cadena dicta qu hacer con el paquete. Si el paquete alcanza el fin de una cadena definida por el usuario sin haber cumplido ninguna regla de la cadena o si la cadena definida por el usuario est vaca, el recorrido contina en la cadena que hizo la llamada (lo que se denomina implicit target RETUR o RETORNO de destino implcito). Solo las cadenas predefinidas tienen polticas.
En iptables, las reglas se agrupan en cadenas. Una cadena es un conjunto de reglas para paquetes IP, que determinan lo que se debe hacer con ellos. Cada regla puede desechar el paquete de la cadena (cortocircuito), con lo cual otras cadenas no sern consideradas. Una cadena puede contener un enlace a otra cadena: si el paquete pasa a travs de esa cadena entera o si cumple una regla de destino de retorno, va a continuar en la primera cadena. No hay un lmite respecto de cun anidadas pueden estar las cadenas. Hay tres cadenas bsicas (I PUT, OUTPUT y FORWARD: ENTRADA, SALIDA y REENVO) y el usuario puede crear tantas como desee.
Un trabajo futuro interesante, seria desarrollar lo expuesto anteriormente, debido a que la seguridad es una herramienta fundamental. Iptables es una buena herramienta, pero se tiene que configurar por lnea de comandos, una labor tediosa y sobretodo difcil para usuarios inexpertos. En este sentido un posible trabajo futuro sera desarrollar una herramienta similar a etconfig, o a etconfig6, que obtenga y almacene
A continuacin mostramos el manual que les entregamos para trabajar de manera rpida y sencilla con nuestro proyecto.
58
Manual
RADVD
A continuacin se dan una serie de procedimientos a seguir para poder manejar RADVD. Indicando en cada caso, los pasos necesarios para acciones bsicas como su arranque y su detencin. As como los pasos a seguir para comprobar su correcto comportamiento y la ruta y contenido de sus archivos de configuracin. 1. Cmo arrancar RADVD? RADVD se arranca automticamente al iniciar el sistema mediante el script que se encuentra en la ruta /etc/rc.d/rc.local. Si se necesita arrancar otra vez, basta con ejecutar dicho script asegurndose de que no est ya en ejecucin o volver a iniciar la mquina. 2. Cmo parar RADVD? RADVD se para como otro proceso cualquiera, mediante el comando ps. 3. Cmo comprobar que se ha ejecutado bien RADVD? Se puede comprobar el correcto comportamiento de RADVD utilizando el comando etconfig. En cada tarjeta eth, tiene que aparecer la direccin IPv6 de dicha tarjeta, segn la configuracin que se ha dado a RADVD. Para nuestro caso, estas son las direcciones que tienen que aparecen en cada tarjeta: ETH0=>inet6 addr: 2002:9360:5144:6:204:75ff:fef5:8fa8/64 Scope:Global ETH1=> inet6 addr: 2002:9360:5144:7:204:75ff:fef5:8fa8/64 Scope:Global ETH2=> inet6 addr: 2002:9360:5144:8:204:75ff:fef5:8fa8/64 Scope:Global ETH3=> inet6 addr: 2002:9360:5144:9:204:75ff:fef5:8fa8/64 Scope:Global 4. Cmo funciona el archivo de configuracin? El archivo de configuracin se encuentra en /etc/radvd.conf y contiene la informacin necesaria para que se autoconfigure cada una de las 4 tarjetas. Para cada una de ellas, el contenido de archivo es el siguiente:
interface ethY { AdvSendAdvert on; prefix 2002:9360:5144:X::0/64 { AdvOnLink on; AdvAutonomous on; }; };
Dnde la Y es el nmero de cada tarjeta y la X es el nmero de cada subred. Si se necesita aadir otra tarjeta, nicamente hay que elegir la Y del nmero de tarjeta y cualquier X que no estuviera ya utilizada. Para eliminar una tarjeta, simplemente basta con eliminar la parte del archivo dedicada a esta tarjeta. 59
Tarjetas
En este manual se dan una serie de procedimientos a seguir para poder manejar y configurar las tarjetas de la mquina.
Cmo ver las tarjetas de la mquina Para ver las tarjetas que dispone la mquina, es necesario ejecutar la instruccin o comando ifconfig y nos mostrar todas las tarjetas de la maquina. Configuracin de las tarjetas Para configurar cada tarjeta hay que ir al archivo de configuracin /etc/rc.d/rc.inet1v6.conf, en l se podr configurar manualmente cada tarjeta. CASO CO FIGURACI TARJERTA i COMO ESTTICA
IPADDR[i]-> Contiene la IP en IPv6 de la tarjeta i, slo se rellenar en el caso de que configuremos la tarjeta i como esttica.
ETMASK[i]-> La mscara en IPv6 de la tarjeta i. Slo se rellenar si la configuracin para la tarjeta i es esttica. CASO CO FIGURACI TARJETA i COMO AUTOCO F(RADVD)
USE_AUTOCO F[i]-> Slo cuando expresamente se ponga a no estar desactivada, en caso contrario ser la que est por defecto, estando as esa tarjeta configurada con autoconf (radvd).
OTROS CASOS
Operaciones posibles
start, up: levanta todas las interfaces configuradas. Stop, down: para todas las interfaces. restart: levanta de nuevo las interfaces. ethi_start, ethi_up: levanta la interfaz ethi especificada. ethi_stop, ethi_down: para o tira la interfaz ethi. ethi_restart: primero para ethi y luego es levantada de nuevo.
60
Tneles
1. Configuracin tneles La informacin de configuracin de los distintos tneles se almacena en el archivo de configuracin /etc/rc.d/rc.eas6ytunnel.conf Este archivo puede ser editado manualmente o por medio del script desarrollado eas6ytunnel. En concreto la mquina entregada ya contiene este archivo editado con la informacin necesaria para levantar un tnel 6to4 que nos permitir acceder a IPv6. En concreto el archivo de configuracin proporcionado es el siguiente:
########################################## Config information complu6ix tunnel: ########################################## TUTYPE[0]=6to4 TUNAME[0]=complu6ix TUIPv4[0]= 147.96.81.68 TUIPv6[0]= 2002:9360:5144::1 # Note that the prefix length for a 6to4 address is 16 TUNETMASK[0]=16 # Note thaw we are using the all-6to4-routers IPv4 anycast address GATEWAY=::192.88.99.1
El atributo TUNAME contiene el nombre del tnel. En este caso el archivo contiene los datos de configuracin de un tnel de nombre complu6ix. Slo queda levantar el tnel. 2. Levantar tneles configurados Para levantar un tnel cuyos datos de configuracin ya estn almacenados slo es necesario escribir por lnea de comandos ~# ./rc.eas6ytunnel nombreTnel_start En el caso de la mquina entregada levantaremos el tnel complu6ix haciendo: ~# ./rc.eas6ytunnel complu6ix_start o bien ~# ./rc.eas6ytunnel start que levantar todos los tneles configurados en rc.eas6ytunnel.conf (en definitiva complu6ix). 3. Comprobacin tneles levantados Para comprobar que los tneles han sido bien levantados slo hay que hacer: ~# ifconfig que desplegar numerosos parmetros de los interfaces de redes existentes en la mquina. Para el caso de los tneles 6to4 nos interesa ver que contamos con el interfaz sit0 que para el caso concreto en el que levantamos el tnel complu6ix tendr los siguientes parmetros:
sit0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-65-74-00-00-00-00-00-00-00-00 inet6 addr: 2002:9360:5144::1/16 Scope:Global inet6 addr: ::147.96.81.68/96 Scope:Compat inet6 addr: ::127.0.0.1/96 Scope:Unknown UP RUNNING NOARP MTU:1480 Metric:1 RX packets:435016 errors:0 dropped:0 overruns:0 frame:0 TX packets:870414 errors:20590 dropped:0 overruns:0 carrier:20581 collisions:0 txqueuelen:0 RX bytes:492112835 (469.3 MiB) TX bytes:92503487 (88.2 MiB)
61
Vemos que el interfaz sit0 muestra la direccin IPv4 147.96.81.68 y la direccin IPv6 2002:9360:5144::1 lo que nos indica que ha sido levantado con los parmetros del tnel complu6ix. La informacin que se muestra en ltimo trmino (RX packets, TX packets) mostrar los paquetes enviados, recibidos, perdidos, etc. por lo que ir variando en funcin de las conexiones que se hagan con la mquina. 4. Acceder a IPv6 Una vez configurados y levantados los tneles slo queda acceder al mundo IPv6. Slo hay que hacer ping6 (recordamos que con ping accedemos a IPv4 y con ping6 a IPv6). As por ejemplo haremos: ~# ping6 www.euro6ix.org y estaremos accediendo a travs de nuestro tnel a la pgina en IPv6 www.euro6ix.org En la consola se mostrar la informacin de la conexin que se est produciendo:
PING www.euro6ix.org(ns1.euro6ix.com) 56 data bytes 64 bytes from ns1.euro6ix.com: icmp_seq=1 ttl=62 time=156 ms 64 bytes from ns1.euro6ix.com: icmp_seq=2 ttl=62 time=123 ms 64 bytes from ns1.euro6ix.com: icmp_seq=3 ttl=62 time=129 ms
En caso de fallo en la conexin (bien porque el tnel no est bien configurado, bien porque la pgina no est disponible, etc.) se nos indicar por pantalla de las siguientes formas: etwork is unreachable, unknown host , etc. Si esto ocurriese hay que repasar los pasos anteriores para ver que todo est correcto y volver entonces a establecer una conexin. 5. Eliminar tneles existentes Para eliminar un tnel ya existente slo es necesario escribir por lnea de comandos ~# ./rc.eas6ytunnel nombreTnel_stop En el caso de la mquina entregada al CPD eliminaremos el tnel complu6ix haciendo: ~# ./rc.eas6ytunnel complu6ix_stop o bien ~# ./rc.eas6ytunnel stop que eliminar todos los tneles existentes (en definitiva complu6ix). Una vez eliminado podramos volver a levantarlo volviendo al punto 2. De forma ms resumida mostramos un manual rpido para los tneles de la mquina. 1- ~# ./rc.eas6ytunnel start 2- ~# ifconfig 3- ~# ping6 ... -----> (levantar tneles)
-----> (comprobar que han sido levantado correctamente) -----> (acceder al mundo IPv6)
6. Bibliografa
[1] IPv6 core protocols implementation / Qing Li, Tatuya Jinmei, Keiichi Shima San Francisco : Morgan Kaufmann, cop. 2007 [2] IPv6 in practice : a Unixer's guide to the next generation Internet / Benedikt Stockebrand. ew York : Springer, 2006 [3] Understanding IPv6 / Joseph Davies Redmond : Microsoft Press, cop. 2003 [4] IPv6 networks / Marcus Goncalves, Kitty Niles ew York [etc.] : McGraw-Hill, cop. 1998 [5] Application Performance Analysis In Transition Mechanism From Ipv4 to IPv6, Ettikan Kandasamy Karuppiah, Gopi Kurup, Takefumi Yamazaki, Proceedings APA Conf. 2000, Tsukuba, Japan, Feb. 14-18, 2000. [6] Transition Mechanism Between IPv4 & IPv6 and deciding your choice, Ettikan Kandasamy, Tong Hui Tee, Seow Chen Yong, APA Conf. 2002, Jan. 22-25. [7] "IPv4 Address Lifetime Expectations in IPng: Internet Protocol Next Generation" , S. Bradner, A. Mankin, ed. Adddison Wesley, 1996. [8] The Recommendation for the IPng Protocol, S. Bradner, A. Mankin, RFC 1752. [9] IP Versin 6 Addressing Architecture, Hinden, R. and S. Deering, RFC 1884. [10] Get IPv6 Now with Freenet6 ,Peter Todd, Linux Journal , 2003. [11] Security Architecture for the Internet Protocol, R. Atkinson, RFC 1825. [12] IP Authentication Header, R. Atkinson, RFC 1826. [13] Format for Literal IPv6 Addresses in URL's, R. Hinden, B. Carpenter, RFC 2732. [14] Transition Mechanisms for Ipv6 Hosts and Routers , R. Gilligan, E. ordmark, RFC 2893. [15] Network Address Translation Protocol Translation (NAT-PT) G. Tsirtsis, P. Srisuresh. [16] IPv6 Tunnel Broker, A. Durand, P. Fasano, I. Guardini, D. Lento, RFC 3053. [17] Internet Protocol Version 6 (Ipv6) Specification, S. Deering, R. Hinden, RFC 2460. [18] Connection of IPv6 Domains via IPv4 Clouds, B. Carpenter, K. Moore, RFC 3056. Adems de las siguientes pginas web:
www.ipv6.org www.go6.net www.euro6ix.org www.remlab.net/miredo/ www.linuxhq.com/IPv6/ www.wikipedia.org
63