Capítulo 4 Planificación de una red IPv6 (tareas)

Implementar IPv6 en una red nueva o ya configurada supone un importante esfuerzo de planificación. En este capítulo se presentan las tareas principales imprescindibles para poder configurar IPv6. En el caso de redes ya configuradas, la implementación de IPv6 se debe establecer por fases. Los temas de este capítulo ayudan a implantar IPv6 en fases en una red que, por otro lado, es de sólo IPv4.

En este capítulo se tratan los temas siguientes:

• Planificación de IPv6 (mapas de tareas)

• Situación hipotética de topología de red IPv6

• Preparación de la red ya configurada para admitir IPv6

• Preparación de un plan de direcciones IPv6

Para obtener una introducción a los conceptos relativos a IPv6, consulte el Capítulo 3Introducción a IPv6 (descripción general). Para obtener información detallada, consulte el Capítulo 11IPv6 en profundidad (referencia).

Planificación de IPv6 (mapas de tareas)

Efectúe en el orden que se indica las tareas del mapa de tareas siguiente para realizar las tareas de planificación relativas la implementación de IPv6.

La tabla siguiente muestra diferentes tareas para la configuración de la red IPv6. La tabla incluye una descripción de lo que hace cada tarea y la sección de la documentación actual en que se detalla el procedimiento correspondiente.

Tarea	Descripción	Para obtener instrucciones
1. Preparar el hardware para admitir IPv6.	Compruebe que el hardware se pueda actualizar a IPv6.	Preparación de la topología red para admitir IPv6
2. Disponer de un ISP que admita IPv6.	Compruebe que el ISP que utiliza admita IPv6. De no ser así, busque uno que sea compatible con IPv6. Puede utilizar dos ISP, uno para IPv6 y otro para comunicaciones de IPv4.
3. Comprobar que las aplicaciones estén preparadas para funcionar con IPv6.	Verifique que las aplicaciones puedan funcionar en un entorno IPv6.	Cómo preparar servicios de red para admitir IPv6
4. Disponer de prefijo de sitio.	Solicite al ISP o al RIR más próximo un prefijo de sitio de 48 bits.	Obtención de un prefijo de sitio
5. Crear un plan de direcciones de subredes.	Se debe planificar la topología de red IPv6 global y el esquema de direcciones para poder configurar IPv6 en los distintos nodos de la red.	Creación de un esquema de numeración para subredes
6. Diseñar un plan para el uso de túneles.	Establezca los enrutadores que deben ejecutar túneles a otras subredes o redes externas.	Planificación de túneles en la topología de red
7. Crear un plan de direcciones para entidades de la red.	Se debe planificar la dirección de servidores, enrutadores y hosts antes de configurar IPv6.	Creación de un plan de direcciones IPv6 para nodos
8. Desarrollar directrices de seguridad de IPv6.	A la hora de desarrollar directrices de seguridad de IPv6, consulte las funciones de filtro IP, arquitectura de seguridad IP (IPsec), Internet Key Exchange (IKE) y otras funciones de seguridad de Oracle Solaris.	Parte IV, Seguridad IP
9. (Opcional) Configurar una DMZ.	Por motivos de seguridad, se precisa un plan de direcciones para la DMZ y sus entidades antes de configurar IPv6.	Aspectos relacionados con la seguridad en la implementación de IPv6
10. Habilitar los nodos para que admitan IPv6.	Configure IPv6 en todos los hosts y enrutadores.	Configuración de IPv6 en enrutadores (mapa de tareas)
11. Activar servicios de red.	Compruebe que los servidores puedan admitir IPv6.	Tareas de administración principales de TCP/IP (mapa de tareas)
12. Actualizar nombres de servidor para la compatibilidad con IPv6.	Compruebe que los servidores DNS, NIS y LDAP se actualicen con las nuevas direcciones IPv6.	Configuración de la compatibilidad con el servicio de nombres para IPv6

Situación hipotética de topología de red IPv6

Las tareas de todo el capítulo explican la forma de planificar servicios de IPv6 en una red empresarial estándar. En la figura siguiente se muestra la red a la que se hace referencia a lo largo del capítulo. La red IPv6 que se propone puede incluir varios o todos los vínculos que aparecen en esta figura.

Figura 4–1 Situación hipotética de topología de red IPv6

La situación hipotética de red empresarial se compone de cinco subredes con cuatro direcciones IPv4 ya configuradas. Los vínculos de la red se corresponden directamente con las subredes administrativas. Las cuatro redes internas se muestran con direcciones IPv4 privadas en formato RFC 1918, solución habitual ante la falta de direcciones IPv4. Estas redes internas se basan en el siguiente esquema de direcciones:

• La subred 1 es la red principal interna 192.168.1 .

• La subred 2 es la red interna 192.168.2, con LDAP, sendmail y servidores DNS.

• La subred 3 es la red interna 192.168.3, con los servidores NFS de la empresa.

• La subred 4 es la red interna 192.168.4, que contiene hosts para los empleados de la empresa.

La red pública externa 172.16.85 funciona como DMZ de la corporación. Esta red contiene servidores web, servidores FTP anónimos y demás recursos que la empresa ofrece al entorno exterior. El enrutador 2 ejecuta un cortafuegos y separa la red pública 172.16.85 de la red principal interna. En el otro extremo de la DMZ, el enrutador 1 ejecuta un cortafuegos y actúa como enrutador de límite de la empresa.

En la Figura 4–1, la DMZ pública presenta la dirección privada RFC 1918 172.16.85. En un entorno real, la DMZ pública debe tener registrada una dirección IPv4. La mayoría de los sitios de IPv4 emplean una combinación de direcciones públicas y direcciones privadas RFC 1918. Sin embargo, en el ámbito de IPv6 el concepto de direcciones públicas y privadas es distinto. Debido a que IPv6 dispone de mucho más espacio de direcciones, las direcciones públicas IPv6 se utilizan en redes públicas y privadas.

Preparación de la red ya configurada para admitir IPv6

---

Nota –

La pila doble de protocolos de Oracle Solaris permite operaciones simultáneas de IPv4 e IPv6. Puede ejecutar sin ningún problema operaciones relacionadas con IPv4 en la red, durante la implementación de IPv6 y tras ésta.

---

IPv6 incorpora funciones adicionales a una red ya configurada. Así pues, la primera vez que implemente IPv6, compruebe que no se interrumpan las operaciones que funcionan con IPv4. Los temas que se tratan en esta sección muestran detalladamente un procedimiento para incorporar IPv6 en una red ya configurada.

Preparación de la topología red para admitir IPv6

El primer paso al implementar IPv6 consiste en detectar las entidades de la red que sean compatibles con IPv6. La mayoría de las veces, la implementación de IPv6 no modifica la topología de red (cables, enrutadores y hosts). Ahora bien, antes de configurar direcciones IPv6 en interfaces de red, quizá deba preparar para IPv6 el hardware y las aplicaciones.

Verifique que el hardware de la red se pueda actualizar a IPv6. Por ejemplo, consulte la documentación de los fabricantes sobre la compatibilidad con IPv6 respecto a los siguientes tipos de hardware:

• Enrutadores

• Servidores de seguridad

• Servidores

• Conmutadores

---

Nota –

Todos los procedimientos de esta parte dan por sentado que el equipo, en especial los enrutadores, se pueden actualizar a IPv6.

---

Algunos modelos de enrutador no se pueden actualizar a IPv6. Para obtener más información y una solución alternativa, consulte El enrutador IPv4 no puede actualizarse a IPv6.

Preparación de servicios de red para admitir IPv6

Los siguientes servicios de red IPv4 típicos de la versión actual de Oracle Solaris admiten IPv6:

• sendmail

• NFS

• HTTP (Apache 2.x u Orion)

• DNS

• LDAP

El servicio de correo IMAP sólo es apto para IPv4.

Los nodos configurados para IPv6 pueden ejecutar servicios de IPv4. Al activar IPv6, no todos los servicios aceptan conexiones IPv6. Los servicios conectados a IPv6 aceptarán una conexión. Los servicios que no estén conectados a IPv6 seguirán funcionando con la mitad de IPv4 de la pila de protocolos.

Al actualizar los servicios a IPv6 pueden surgir algunos problemas. Para obtener más información, consulte Problemas tras la actualización de servicios a IPv6.

Preparación de servidores para admitir IPv6

Debido a que los servidores se consideran hosts de IPv6, el protocolo ND configura automáticamente sus direcciones IPv6. No obstante, muchos servidores tienen varias tarjetas de interfaz de red que quizá tenga la intención de extraer para mantener o reemplazar. Si se reemplaza una tarjeta de interfaz de red, el protocolo ND genera automáticamente un ID de interfaz nuevo para dicha tarjeta. Algún servidor en concreto podría no aceptar este comportamiento.

Por lo tanto, no descarte la configuración manual de la parte correspondiente al ID de interfaz de las direcciones IPv6 en cada interfaz del servidor. Para obtener instrucciones, consulte Cómo configurar un token IPv6 especificado por el usuario. Más adelante, cuando deba reemplazar una tarjeta de interfaz de red, se aplica la dirección IPv6 que ya estaba configurada a la tarjeta nueva.

Cómo preparar servicios de red para admitir IPv6

1. Actualice los servicios de red siguientes para que admitan IPv6:

   • Servidores de correo

   • Servidores NIS

   • NFS

     ---

     Nota –

     LDAP admite IPv6 sin tener que realizar tareas de configuración propias de IPv6.

     ---

2. Verifique que el hardware del cortafuegos ya esté preparado para IPv6.

   Para obtener instrucciones, consulte la documentación pertinente sobre servidores de seguridad.

3. Verifique que otros servicios de la red se hayan conectado a IPv6.

   Para obtener más información, consulte la publicidad adicional y la documentación relativa al software.

4. Si el sitio implementa los servicios siguientes, asegúrese de haber tomado las medidas apropiadas:

   • Servidores de seguridad

     Para poder admitir IPv6, quizá deba incrementar la severidad de las directrices ya establecidas para IPv4. Para otros aspectos sobre seguridad, consulte Aspectos relacionados con la seguridad en la implementación de IPv6.

   • Correo

     En los registros MX para DNS, quizá deba agregar la dirección IPv6 del servidor de correo.

   • DNS

     Para cuestiones específicas de DNS, consulte Cómo preparar DNS para admitir IPv6.

   • IPQoS

     En un host, emplee las mismas directrices DiffServ que se usaban en IPv4. Para obtener más información, consulte Módulo Classifier.

5. Audite los servicios de red que ofrezca un nodo antes de convertir a IPv6 dicho nodo.

Cómo preparar DNS para admitir IPv6

La versión actual de Oracle Solaris admite resolución de DNS desde el lado del cliente y del servidor. Efectúe el procedimiento siguiente con el fin de preparar IPv6 para servicios de DNS.

Para obtener más información relativa a la compatibilidad de DNS con IPv6, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).

1. Compruebe que el servidor DNS que ejecuta la resolución de nombres recursivos esté en una pila doble (IPv4 e IPv6) o sólo en IPv4.

2. En el servidor DNS, rellene la base de datos de DNS con los pertinentes registros AAAA de base de datos de IPv6 en la zona de reenvío.

   ---

   Nota –

   Los servidores que ejecutan varios servicios fundamentales necesitan atención especial. Verifique que la red funcione correctamente. Compruebe también que todos los servicios fundamentales tengan conexión con IPv6. A continuación, agregue la dirección IPv6 del servidor a la base de datos de DNS.

   ---

3. Incorpore los registros PTR relativos a los registros AAAA en la zona inversa.

4. Agregue datos sólo de IPv4, o de IPv6 e IPv4, en el registro NS que describe zonas.

Planificación de túneles en la topología de red

La implementación de IPv6 permite varias configuraciones de túneles para actuar como mecanismos de transición cuando la red migra a una combinación de IPv4 e IPv6. Los túneles posibilitan la comunicación entre redes IPv6 aisladas. Como en Internet se ejecuta mayoritariamente IPv4, los paquetes de IPv6 del sitio deben desplazarse por Internet a través de túneles hacia las redes IPv6 de destino.

A continuación se presentan varias de las situaciones hipotéticas más destacadas sobre el uso de túneles en la topología de red IPv6:

• El ISP del que adquiere servicios IPv6 permite crear un túnel desde el enrutador de límite del sitio hasta la red del ISP. La Figura 4–1 muestra un túnel de esta clase. En tal caso, se debe ejecutar IPv6 manual a través de un túnel de IPv4.

• Se administra una red distribuida de gran tamaño con conectividad IPv4. Para conectar los sitios distribuidos que utilizan IPv6, puede ejecutar un túnel de 6to4 desde el enrutador de límite de cada subred.

• En ocasiones, un enrutador de la infraestructura no se puede actualizar a IPv6. En tal caso, la alternativa es crear un túnel manual en el enrutador de IPv4 con dos enrutadores de IPv6 como puntos finales.

Para obtener información sobre configuración de túneles, consulte Tareas de configuración de túneles para compatibilidad con IPv6 (mapa de tareas). Para obtener información conceptual relativa a túneles, consulte Túneles de IPv6.

Aspectos relacionados con la seguridad en la implementación de IPv6

Al implementar IPv6 en una red ya configurada, debe tener la precaución de no poner en riesgo la seguridad del sitio. Durante la sucesivas fases en la implementación de IPv6, tenga en cuenta los siguientes aspectos relacionados con la seguridad:

• Los paquetes de IPv6 e IPv4 necesitan la misma cantidad de filtrado.

• A menudo, los paquetes de IPv6 pasan por un túnel a través de un cortafuegos. Por lo tanto, debe aplicar cualquiera de las siguientes situaciones hipotéticas:

  • Haga que el cortafuegos inspeccione el contenido en el túnel.

  • Coloque un cortafuegos de IPv6 con reglas parecidas en el punto final del túnel del extremo opuesto.

• Determinados mecanismos de transición utilizan IPv6 en UDP a través de túneles de IPv4. Dichos mecanismos pueden resultar peligrosos al cortocircuitarse el cortafuegos.

• Los nodos de IPv6 son globalmente asequibles desde fuera de la red empresarial. Si la directiva de seguridad prohíbe el acceso público, debe establecer reglas más estrictas con relación al cortafuegos. Por ejemplo, podría configurar un cortafuegos con estado.

Este manual proporciona funciones de seguridad válidas en una implementación de IPv6.

• La función de IPsec (IP architecture security, arquitectura de seguridad IP) posibilita la protección criptográfica de paquetes IPv6. Para obtener más información, consulte el Capítulo 19Arquitectura de seguridad IP (descripción general).

• La función IKE (Internet Key Exchange, intercambio de claves en Internet) permite el uso de autenticación de claves públicas para paquetes de IPv6. Para obtener más información, consulte el Capítulo 22Intercambio de claves de Internet (descripción general).

Preparación de un plan de direcciones IPv6

Desarrollar un plan de direcciones es importante en la transición de IPv4 a IPv6. Para esta tarea se necesitan los siguientes requisitos previos:

• Obtención de un prefijo de sitio

• Creación del esquema de numeración de IPv6

Obtención de un prefijo de sitio

Debe obtenerse un prefijo de sitio antes de configurar IPv6. El prefijo de sitio se emplea en la derivación de direcciones IPv6 para todos los nodos de la implementación de IPv6. En Prefijos de IPv6 se proporciona una introducción a los prefijos de sitio.

Un ISP que admita IPv6 puede brindar a las empresas prefijos de sitio de IPv6 de 48 bits. Si el ISP sólo admite IPv4, se puede buscar otro que sea compatible con IPv6 y mantener el ISP actual para IPv4. En tal caso, existen las siguientes soluciones alternativas. Para obtener más información, consulte El ISP actual no admite IPv6.

Si su organización es un ISP, los prefijos de sitio de sus clientes se obtienen del pertinente registro de Internet. Para obtener más información, consulte la página de IANA (Internet Assigned Numbers Authority).

Creación del esquema de numeración de IPv6

A menos que la red IPv6 que se proponga sea totalmente nueva, la topología de IPv4 ya configurada sirve de base para el esquema de numeración de IPv6.

Creación de un esquema de numeración para subredes

Inicie el esquema de numeración asignando las subredes IPv4 ya configuradas a subredes IPv6 equivalentes. Por ejemplo, fíjese en las subredes de la Figura 4–1. Las subredes 1–4 utilizan la designación de redes privadas IPv4 de RFC 1918 para los primeros 16 bits de sus direcciones, además de los dígitos 1–4 para indicar la subred. A modo de ejemplo, suponga que el prefijo de IPv6 2001:db8:3c4d/48 se ha asignado al sitio.

La tabla siguiente muestra la asignación de prefijos de IPv4 privados a prefijos de IPv6.

Prefijo de subred IPv4	Prefijo de subred IPv6 equivalente
192.168.1.0/24	2001:db8:3c4d:1::/64
192.168.2.0/24	2001:db8:3c4d:2::/64
192.168.3.0/24	2001:db8:3c4d:3::/64
192.168.4.0/24	2001:db8:3c4d:4::/64

Creación de un plan de direcciones IPv6 para nodos

En la mayoría de los hosts, la configuración automática sin estado de direcciones IPv6 para sus interfaces constituye una estrategia válida y eficaz. Cuando el host recibe el prefijo de sitio del enrutador más próximo, el protocolo ND genera de forma automática direcciones IPv6 para cada interfaz del host.

Los servidores necesitan direcciones IPv6 estables. Si no configura manualmente las direcciones IPv6 de un servidor, siempre que se reemplaza una tarjeta NIC del servidor se configura automáticamente una dirección IPv6. Al crear direcciones para servidores debe tenerse en cuenta lo siguiente:

• Proporcione a los servidores unos ID de interfaz descriptivos y estables. Un método consiste en aplicar un sistema de numeración consecutiva a los ID de interfaz. Por ejemplo, la interfaz interna del servidor LDAP que aparece en la Figura 4–1 podría ser 2001:db8:3c4d:2::2.

• Si habitualmente no cambia la numeración de la red IPv4, es buena idea utilizar como ID de interfaz las direcciones IPv4 ya creadas de los enrutadores y servidores. En la Figura 4–1, suponga que la interfaz del enrutador 1 con la DMZ tiene la dirección IPv4 123.456.789.111. La dirección IPv4 puede convertirse a hexadecimal y aplicar el resultado como ID de interfaz. El nuevo ID de interfaz será ::7bc8:156F.

  Este planteamiento se utiliza sólo si se es el propietario de la dirección IPv4 registrada, en lugar de haber obtenido la dirección de un ISP. Si utiliza una dirección IPv4 proporcionada por un ISP, se crea una dependencia que puede causar problemas en caso de cambiar los ISP.

Debido al número limitado de direcciones IPv4, antes un diseñador de redes debía tener en cuenta si iba a utilizar direcciones registradas globales y direcciones RFC 1918 privadas. No obstante, el concepto de direcciones IPv4 globales y privadas no es aplicable a las direcciones IPv6 . Puede utilizar direcciones unidifusión globales, que incluyen el prefijo de sitio, en todos los vínculos de la red, incluida la DMZ pública.