cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 

NDP (Neighbor Discovery Protocol): Diferencias y migración de IPv4 a IPv6. Q&A de la sesión en vivo

Introducción


Lea la biografía

Ricardo Prado es ingeniero veterano de soporte del  High Touch Technical Support (HTTS) de Cisco Latinoamerica. Ricardo está especializado en tecnologías de Routing, Switching y Seguridad. Ricardo cuenta con cerca de 9 años soportando tecnologías Cisco y forma parte del equipo global de IPv6 en Cisco. Ricardo estudió Ingeniería en Telecomunicaciones en la Universidad Nacional Autónoma de México (UNAM), cuenta con las siguientes certificaciones de Cisco: CCNA, CCNP, CCSP, CCIP y CCIE en Routing and Switching (#21161).

Héctor Carranza fue el experto que estuvo ayudando a Ricardo a contestar algunas preguntas que se hiceron durante la sesión en vivo.

P. Nos puedes enunciar casos prácticos donde haya aplicado los conocimientos de NDP.

R. No hay muchos casos en Latinoamérica, con respecto a NDP tuve uno hace cierto tiempo que tenía que ver con el problema de al IP duplicada. Estaban configurando una dirección IP en un equipo de ruteo, después de poner la dirección IP no podían mandar tráfico. Cuando entramos al equipo, vimos que la interfaz estaba en estado "shut", corrí el debug de NDP y ahí mismo apareció el mensaje. Se mandó el Neighbor solicitation, recibimos un Neighbor advertisement y a partir de ahí el mismo equipo declaró que la IP estaba duplicada y que se iba a apagar la interfaz. Entonces, ya sólo fue cuestión de buscar al equipo que contestó el Neighbor solicitation.

P. ¿Qué pasa cuando hay equipos que no responden a ICMP y que además tienen ocupada una IP?

R. Los mensajes de ICMP en IPv6 son realmente críticos, se requiere mucho de ICMP para IPv6. Entonces sí se puede dar el caso que comencemos a bloquear porque es una práctica muy común que tenemos en IPv4 que es bloquear mensajes de ICMP. A nivel Access List en IPv4 por ejemplo, por default una lista de acceso se pone un deny any-any al final. En ICMPv6 , además de poner el deny any-any al final, también te pone un permit de Enable-solicitation y Enable advertisement. Lo que puede llegar a ocurrir si ICMP está bloqueado vamos a tener problemas de comunicación.

P. ¿Cómo se solucionan los problemas de seguridad en NDP que se tenían en ARP IPv4?

R. Para esto existen otros protocolos que se llaman SHSP, se manejan de la misma manera en que teníamos los switches en los que teníamos ARP inspection o todo ese tipo de cosas que teníamos para poder seleccionar qué interfaces de un switch son confiables y cuáles no, para evitar que alguien esté intentando meter ruido o algo para hacerse dueño de tráfico a nivel de capa 2. También existen protocolos de seguridad a ese mismo nivel fución de la misma manera, se establece una interfaz en un switch para que sea confiable. Los mecanismos de seguridad que teníamos a nivel ARP en IPv4 tenemos unos muy semejantes en IPv6.

P. ¿Se puede hacer una intranet con ip v6 en un campus universitario? ¿Cómo se haría para inter operar con los host que utilizan IPv4?

R. Sí se puede, al final de cuentas los dos protocolos de manejan de manera independiente. Entonces, es probabale que dentro de un campus universitario uses Dual-stack que básicamente es tener configurados los dos protocolos en tus equipos de ruteo, por un lado se corre IPv4 y por otro se corre IPv6. ¿Con qué técnicas de transición? Dual-stack es una opción, si tienes equipos que no manejan IPv6 entonces podemos usar otras técnicas de transición, al agente de IPv6 no les gusta pero NAT es una opción, la cual nos puede traducir direcciones entre IPv4 e IPv6, no es lo más adecuado porque la idea de IPv6 se deshacerse del NAT y todavía lo seguimos usando como técnica de transición. Lo más recomendable es usar túneles de GRE, de IP o túneles dinámicos para poder encapsular el tráfico de IPv6 sobre equipos que no lo manejen o que no lo entiendan y establecer la comunicación sin problemas, podemos correr protocolos de ruteo que son inependeientes de los de versión 4 por lo que no nos crearía ninguna dificultad.

P. En infraestructuras pequeñas ¿es recomendable hacer migraciones a IPv6?

R. Depende para qué quieres IPv6, ¿vas a tener un servicio de IPv6? ¿vas a proveer de contenido sobre IPv6? Probablemente no necesites tanto, si es una infraestructura muy pequeña y migrar a IPv6 requiere de mucho costo, lo puedes reducir mediante túneles, mediante NAT u otroas técnicas de transición. De esta manera puedes ir posponiendo la migración en lo que se consiguen los recursos. A lo mejor es suficiente que en el equipo que es tu gateway final se implemente un túnel o un NAT.

P. Hice una comparación entre IPv4 e IPv6 en la transmisión de video, pero no vi el cambio de trato de QoS de IPv6 ¿Cómo se puede lograr esto?

R. Actualmente, QoS en IPv4 e IPv6 son exactamente lo mismo, usan los mismos conceptos, lo único que cambia son las direcciones. Dentro del encabezado de IPv6 hay una sección que se llama flow-control, se espera que esta sección se use en QoS a nivel hardware pero como tal no existe aún una aplicación de QoS ni existe un RFC para utulizar ese campo.

P. ¿Cómo activaría ese encabezado?

R. No hay manera, no existe una aplicación ni ninguna tecnología en Cisco que utilicen ese encabezado.

P. ¿NDP influye en algo en los protocolos de enrutamiento?

R. Sí, influye cómo determino mi next hub en protocolos de ruteo. En protocolos de ruteo lo que vamos a ver es que la dirección de link-local es la que voy a utilizar como next hub y para yo poder comunicarme con esa dirección de link-local, necesito la dirección de capa 2, ahí es donde entraría el NDP.

P. ¿Disminuirán los riesgos de virus dado que no existe broadcast en IPv6?

R. Debería... al final de cuentas,broadcast nos causaba muchos problemas porque nos llenaba de tráfico. Entonces, un virus que era mandado por broadcast le llegaba a todo el mundo. Ahora lo que veríamos probablemente son tormentas de multicast.

P. ¿Qué técnicas de transición de IPv4 a IPv6 existen hoy en día?

R. Existen básicamente tres: la primer técnica es dual-stack el cual consiste en configurar en un mismo equipo el protocolo de versión 4 como el protocolo de versión 6. El problema de este técnica es que necesita más memoria para las tablas de ruteo, para el direccionamiento, etc pero es el más sencillo, se espera que la arquitectura de internet sea Dual-Stack por algunos años; la segunda técnica es la parte de túneles, si hay equipos en la red que no soportan IPv6, lo mejor es encapsular el tráfico IPv6 dentro de un túnel, de esta manera los equipos que sólo manejan IPv4 sólo podrían ver paquetes de dicho protocolo, y la última técnica que es la menos recomendable es NAT, el cual es una traducción o un mapeo entre direcciones de IPv4 e IPv6. Existen dos tipos de NAT en equipos Cisco, el primero es el NAT PT y el otro es el NAT 64.

1321
Visitas
0
ÚTIL
0
Comentarios