Día del idioma español
Plan de implementación de IPv6
Introducción
Probablemente la primera pregunta que se uno se hace al querer implementar IPv6 es ¿Qué debo hacer?, por lo que se abordará las diferentes acciones y cuidados que debe seguir para una transición sin complicaciones.
La transición se realiza implementado el llamado "Dual Stack", en que cada equipo, o a lo menos aquellos que lo permitan, cuenten con soporte de IPv4 e IPv6 simultáneamente, y el Sistema Operativo se encarga de gestionar la comunicación, en general primero con IPv6 y luego intenta con IPv4. Por ésta misma razón, no es necesario migrar toda la red, por lo pronto podemos dejar postergados algunos de los equipos que no lo soporten, y más aun si no son de gran relevancia o son de uso interno, como Impresoras o Cámaras de Vigilancia.
¿Por qué debo preocuparme ahora?
Tal vez al día de hoy, la situación no es crítica, gracias al uso de NAT, podemos contar con una gran cantidad de equipos locales con acceso Internet utilizando un único IP de salida, pero ¿Por cuanto tiempo más segiremos así?, una de los grandes problemas de NAT es que no permite la comunicación a cada equipo al interior de la Red, un puerto de entrada puede ser dirigido a un único destino, lo que dificulta el uso de algunos servicios como VoIP, IoT, Juegos On-Line y otros. Con IPv6, desaparece el uso de NAT y cada equipo queda conectado directamente a Internet, lo que permite dar servicios con cada uno de ellos.
La migración a IPv6 no es opcional, se debe realizar tarde o temprano, pero debemos contemplar que es mejor hacerlo con tiempo y poder detectar los problemas en forma temprana y no tener que hacer implementaciones a última hora. El impacto en la transición en estos momentos es menor que cuando se tenga 50% de los usuarios operando con IPv6, más aun si nuestro sitio web es un proveedor de contenidos (Noticias, Información, Trámites/Transacciones en línea, Juegos, etc.).
Hasta Junio de 2016, se observa el siguiente avance de despliegue en América, según estadísticas otorgada por Google en http://www.google.com/intl/es/ipv6/statistics.html#tab=per-country-ipv6-adoption&tab=per-country-ipv6-adoption:
País | Avance |
---|---|
EE.UU. | 28.78% |
Ecuador | 18.36% |
Perú | 14.07% |
Canadá | 8.97% |
Brasil | 8.90% |
Bolivia | 4.17% |
Mexico | 0.09% |
Argentina | 0.03% |
Uruguay | 0.02% |
Paraguay | 0.01% |
Chile | 0.01% |
Colombia | 0.01% |
Venezuela | 0.01% |
Puntos a considerar
Verificar Disponibilidad de Segmento de red IPv6
Desde hace uno años, LACNIC ha incluido bloques IPv6 en las solicitudes de IPv4, por lo que ya podría tener algún segmento asignado para su empresa/institución.
En el caso de PYMEs o Departamentos más pequeños, que cuentan con un único proveedor de Internet, probablemente deberá solicitar un segmento a su ISP, lo cual tiene el riesgo que al cambiar de proveedor, deberá cambiar toda su numeración. Podría ser que ISP solicite algún pago o subcripción, por lo que conviene conocer con antelación.
Capacitación
Se debe considerar la capacitación temprana del personal técnico: Ingeniería, Operación y Mantenimiento.
Dimensionamiento
Dependiendo de la estructura y de la cantidad de nodos de su red, se deberá hacer un dimensionamiento de la red para determinar cuantos segmentos requiere, debiendo considerar que las redes locales son de 64 bits, que a pesar que tiene capasidad de sobra, se debe tener en cuenta que existe una limitante por los switch, que en general no permiten más de 8.000 equipos por red. Por otra parte, no olvidar que debe contar con un IP Público por cada equipo, dado que IPv6 no implementa NAT. Según la cantidad de segmentos requeridos la dimensión a solicitar será:
Bits | Prefijos /64 |
---|---|
64 | 1 |
63 | 2 |
62 | 4 |
61 | 8 |
60 | 16 |
59 | 32 |
58 | 64 |
Equipos
Naturalmente necesitamos que los equipos en nuesta red soporten protocolo IPv6, que para nuestar sorpresa podremos ver que la gran mayoría de los equipos fabricados desde el año 2012 lo soportan, principalmente los PC para usuarios y Servidores ya soportan IPv6.
Equipos | Observaciones |
---|---|
PC Usuarios |
|
Servidores |
|
Móviles y Tablets |
|
Router |
Router básicos como D-Link™, Linksys™, TP-Link™ o Asus™, Podrían soportarlo si han sido fabricados del año 2014 en adelante, lo que deberá confirmar en su documentación. Otros equipos más profesionales como Cisco™, Juniper™, Mikrotik™ u otros, podrían requerir la inclusión de algún módulo y/o liciencia adicionales. |
Impresoras | Probablemente pueda ser considerado como opcional, dado que no se pierde la operación de IPv4 y las impresoras son principalmente de uso local. |
VoIP | Los equipos de VoIP (SIP) tendrán algunos beneficios en la incorporación de IPv6, dado que dejan de utilizar NAT, pero será conveniente que su proveedor o Gateway a la PSTN también lo soporte. |
Cámaras de Vigilancia | Verificar soporte con el fabricante |
No está de más considerar que cualquier compra de equipos a partir de hoy deberá soportar de IPv6, o a lo menos un compromiso para un futuro cercano.
Servicios y Aplicaciones
Debemos contemplar los servicios y aplicaciones utilizados dentro de nuestra red, de manera de poder aprovechar sus ventajas.
Servicio | Observaciones |
---|---|
DNS | De suma importancia que nuestro servicios DNS opere sobre IPv6 y soporte la inscripción de registros AAAA para la asignación de nombres sobre IPv6. El tradicional bind (Berkeley Internet Name Domain) o named lo soporta desde la versión 9. |
Web (HTTPD) | Los servicios web Públicos y Privados, muchos de los servicios HTTPD ya soportar requerimientos vía IPv6, a lo menos los más utilizados ya le soportan:
|
|
Seguridad
Con IPv6, todos nuestros equipos se conectan directamente a Internet, por lo que se debe contemplar políticas de seguridad y plataforma (Firewall o filtros) que nos permita limitar las conexiones hacia nuestros equipos, lo que nos brinda actualmente NAT, donde explicitamente se debe especificar las conexiones aceptadas (e indicar donde entregarlas) y se rechaza todo lo demás.
Monitoreo
Si se cuenta con herramientas de monitoreo de red y servicios, se deberá incluir el soporte de IPv6, por una parte validar que el software utilizado lo soporte y posteriormente incluir el monitoreo de los mismos, sin perder las métricas IPv4.
- Nagios
Para la medición de tráfico en interfaces de red, éste no depende del protocolo utilizado, por lo que puede seguir utilizando direcciones IPv4 para la medición.
Estadísticas
Si cuenta con aplicaciones de estadísticas en base a IP, ya sea de origen o destino, deberá considerar el poder reconocer y poder almacenar las direcciones ( y/o prefijos) IPv6. En el caso de aplicaciones con desarrollo local ad-hoc, considerar dichos cambios. Para el caso de aplicaciones de terceros, evaluar el cambio o actualización de la mismo.
Pasos de implementación
Capacitación
Como primer paso, se debe proceder a la capacitación del personal técnico, probablemente en paralelo se pueden montar laboratorios para el aplendizaje
Diseño
Generar el diseño de su red, donde se contemple servidores, equipos clientes, redes Wi-Fi, Conectividad de sucursales y todos los elementos a integrar. Se debe contemplar la definición de la redes (Prefijos IPv6) de cada segmento, los de interconexión (si existen). Verificar los Routers necesarios y ordenar las actualizaciones y/o compras que se requieran.
Para pequeñas PYMEs, que cuentan con un solo segmento de red, bastará con solo un pefijo /64
Conectividad con el ISP
Debemos distinguir 2 casos, en su mayoría, el (o los) prefijo deberá ser solicitado al ISP de su propio direccionamiento, o si contamos con un prefijo propio asignado por ARIN, deberemos solicitar al ISP el ruteo del mismo (Estático o BGP según cada cliente).
Adicionalmente, el ISP acostumbra a entregar un Prefijo para la interconexión, donde solo se utilizan 2 direcciones, una a cada extremo del enlace.
Conectividad Interna
Procurar que internamente existan las rutas a los segmentos utilizados y el de la ruta default hacia el ISP, definida como ::/0 o 2000::/3 (mejor aceptación).
Seguridad
Antes de comenzar a operar, se recomienda configurar el firewall, comenzando con una alta restricción y habilitando los diferentes servicios, ya se de entrada o salida a medida que se requieran.
Servicios Locales
Comenzar por el servicio DNS, asignándole una dirección IPv6 y realizar las configuraciones para su operación bajo dicho estandard. Desde linux podemos realiza una consulta como dig AAAA www.google.cl
Seguimos instalando un servicio web de prueba, solo para no correr riesgos con los que se tengan de producción, recordar asignar un registro AAAA en DNS para facilitar las pruebas, con lo que además se valida el servicio DNS. o simplemente acceder con el IPv6 entre corchetes o paréntesis cuadrados en la URL de la forma: http://[2001:470:5:30d::4]/
Posteriormente podemos habilitar los web internos con IPv6 e inscribir sus direcciones en DNS como registros AAAA, puede utilizar el mismo nombre que para IPv4 o si prefiere uno diferente. Se debe tener cuidado si se trata de servicios de uso privado, como un CRM y validar la regla del firewall.
De la misma forma continuar con los servicios de Mail u otros que tenga de manera interna.
Monitoreo de Redes y Servicios
Incluir en la herramienta de monitoreo, las nuevas direcciones IPv6 y validaciones de los servicios mediante ambos protocolos (recuerde que IPv4 no se elimina).
Servicios en la Nube
Si cuenta con servicios externos (Web y/o Mail), la implementación y asignación de dirección corresponde al DataCenter donde opera. Deberá realizar las gestiones para su puesta en marcha.
Equipos de Usuarios
Aquí se consideran equipos Cableados y Wi-Fi, Notebooks, Smartphones, Tablets y otros. Lo más simple es asignar una autoconfiguración (SLAAC) en la red, donde un equipo aununcie el prefijo de la red, su Gateway y DNS. Generalmente esta función la cumple el propio router.
Se debe brindar acceso de salida en el (los) Firewall(s) acorde a las políticas de la empresa, y habilitar el uso de IPv6 en cada equipo cliente, si prefiere de manera paulatina lo que permite evaluar el impacto en nuestro escenario.
Finalización
Ya nos encontramos operando en IPv6, pero es prudente no perder de vista lo que sucede en nuestra red, al detectar problemas darse un tiempo de análisis, probablemente la solución es simple y solo en caso muy grave, revertir los cambios y programarla para cuando se den las condiciones (sabiendo cuales son).
Generado por Sistema y almacenado en cache
Wyzer Luis Hernán de la Barra |
|
Teléfono: | +56995451689 |
WhatsApp: | +56995451689 |
E-Mail: | info@wyzer.cl |
Web: | www.wyzer.cl |