Demostración: Transición de IPv4 – IPv6 (ISATAP)

Estamos en un momento en el que debemos estar preparados para cuando tengamos que migrar nuestra infraestructura de red desde nuestro conocido IPv4 a el nuevo y mejorado IPv6.

Este cambio no va a ser sencillo, sobre todo porque en la mayoría de las redes este cambio será gradual, pero mientras dure deberemos asegurarnos la conectividad entre todos los equipos y servicios.

Una de las tecnologías de transición que tenemos disponibles es ISATAP (Intra-Site Automating Tunneling Addressing Protocol)

ISATAP permitirá que un equipo con IPv4 e IPv6 encapsular tráfico IPv6 sobre una red sólo IPv4, hasta un Router ISATAP, que dirigirá el tráfico a un equipo con sólo IPv6.
Diciendolo de diferente manera: que un Nodo-IPv4/IPv6 en una red Sólo-IPv4, pueda comunicarse con un Nodo-Sólo-IPv6 en otra red.

Mostraremos la conectividad mediante ISATAP entre nodos “IPv4 Only” e “IPv6 Only”

Para demostrar esto utilizaremos una configuración de máquinas muy sencilla:

  • Un Controlador de Dominio
  • Un servidor que usaremos como Router ISATAP
  • Un cliente de Dominio

Yo he configurados los equipos de acuerdo a la siguiente tabla, pero por supuesto es personalizable a gusto

Nombre Sistema Operativo Rol Configuración IP
DC1 W2k8-R2 Controlador de Dominio 192.168.1.200
DefGat: 192.168.1.254
ROUTER W2k8-R2 Router en Workgroup Net1 192.168.1.254
Net2 192.168.2.254
CL1 Win7 x86 o x64 Cliente en Dominio
(Lo agregamos luego)
192.168.2.1
DefGat: 192.168.2.254

Lo primero que debemos hacer es configurar el equipo ROUTER, como Router, así que desde Server Manager, agregamos el rol Netwok Policy and Access Service, marcando solamente el componente Routing and Remote Access.

Por claridad y por experiencia propia, siempre que utilizo un equipo con más de una interfaz de red, le pongo un nombre adecuado. Por ejemplo

Luego en Administrative Tools, abrimos Routing and Remote Access, con botón derecho sobre ROUTER, elegimos Configure and Enable Routing and Remote Access y seguimos el asistente como muestran las siguientes figuras:

Como primera medida y para estar seguros que comenzamos bien, verifiquemos que tenemos conectividad por PING entre los equipos, especialmente entre CL1 y DC1. Recordemos que podemos hacer pasar el PING a través de ROUTER, pero si tratamos de hacerle un PING directamente no funcionará salvo que bajemos el firewall.

Debemos unir CL1 al dominio. No detallaré los pasos porque entiendo que todos lo sabemos hacer, y no quiero hacer esto muy largo

Comencemos en DC1 deshabilitando IPv6 y verificamos

Y luego en CL1 deshabilitamos IPv4 y verificamos

Comencemos ahora a configurar ROUTER, así que abrimos un CMD como administrador y ejecutamos los siguientes comandos
IMPORTANTE: verifiquemos después de cada uno que no responda con error ;)

  1. Debemos establecer cuál es la interfaz desde la cual recibirá IPv6 encapsulado en IPv4, o sea dónde estará la red ISATAP.
    En nuestro caso corresponde a a la interfaz 192.168.1.254, así que ejecutaremos:
    NETSH INTERFACE ISATAP SET ROUTER 192.168.1.254
  2. Ahora debemos configurar que “rutee” y que anuncie su prescencia sobre la red IPv6-Only (192.168.2.0/24), así que ejecutamos
    NETSH INTERFACE IPV6 SET INTERFACE “Net IPv6 Only” forwarding=enabled advertise=enabled
  3. Utilizaré como prefijo para la red ISATAP el prefijo “2001:db8:0:1/64” así que ejecutaremos:
    NETSH INTERFACE IPV6 ADD ROUTE 2001:DB8:0:1::/64 “Net IPv6 Only” publish=yes
  4. Ejecutemos ahora IPCONFIG y anotemos el identificador de la interfaz ISATAP para la red “Net IPv4 Only”, esta es la 192.168.1.0/24
  5. Y ejecutemos el siguiente comando utilizando el valor encontrado
    NETSH INTERFACE IPV6 SET INTERFACE “ISATAP.{5D50EF30-A209-40A1-B310-AC49AEAA4506}” FORWARDING=ENABLED ADVERTISE=ENABLED
    Por supuesto cada uno tendrá que usar el identificador que le salga
  6. Y finalmente ejecutar
    NETSH INTERFACE IPV6 ADD ROUTE 2001:DB8:0:2::/64 “ISATAP.{5D50EF30-A209-40A1-B310-AC49AEAA4506}” PUBLISH=YES
    Notar que es diferente la red a la que usamos antes
  7. Ya tenemos Router configurado, así que vamos a CL1, y ejecutemos desde línea de comando IPCONFIG. Debería haber recibido desde ROUTER una dirección IPv6 de la red 2001:db8:0:1::/64
  8. Ahora que ya tenemos configurado ROUTER, y preparado CL1, vamos a DC1, ya que debemos agregar en DNS una entrada que permita a los equipos encontrar al “Router ISATAP”. Para esto en la consola DNS agregamos un registro A, con el nombre ISATAP y la dirección IP 192.168.1.254
    Nota: esto no es necesario si los indicamos en los equipos con el comando
    NETSH INTERFACE ISATAP SET ROUTER w.x.y.z
  9. Y siguiendo en el mismo DC1, debemos habilitar la interfaz ISATAP con NETSH INTERFACE ISATAP SET ROUTER 192.168.1.254

Ahora a demostrar la conectividad :-)
En DC con IPCONFIG anotemos cuál es la dirección IP de ISATAP. Recordemos que las direcciones ISATAP tienen la caracterísitica “… :5efe:w.x.y.z”
En mi caso la dirección asignada fue fe80::5efe:192.168.1.200

Así que ahora vamos a CL2 y ejecutamos PING a dicha dirección IP

Con lo probado doy por finalizada la demostración de cómo usar ISATAP en nuestras redes internas, permitiendo conectar equipos que están en una red donde sólo disponen de conectividad IPv4, con los equipos de otra red que sólo dispone de IPV6

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Juan  On 24/11/2014 at 10:38

    Hola.
    Interesante artículo.
    tenías que haber puesto el ping de vuelta desde el DC al cliente
    ¿se comporta igual? o ISATAP solo funciona desde IPv6 a IPv4?

    • Guillermo Delprato  On 24/11/2014 at 10:50

      Hola Juan, no lo he mostrado específicamente pero funciona para los dos lados, ya que de otra forma no podría tener máquinas en un Dominio con conectividad a través de ISATAP

  • Juan  On 24/11/2014 at 11:59

    Gracias por contestar.
    Entonces, el DC haría un ping a la dirección IPv6 e ISATAP se encargaría de todo, entiendo.

    He llegado aquí porque quiero, ya, ponerme con IPv6 en serio y lo quiero hacer en mi entorno de “producción” de casa, el cual tengo 2 subredes IPv4 con un router en medio y un firewall linux antes de llegar al router de Internet.
    Entre el router de Internet y el firewall linux, hay una red ipv4 de interconexión.

    He pensado que esa interconexión me ayudará a no tener que tocar el router del ISP y todo lo puedo hacer en la máquina linux

    Tengo muchas cosas en las que investigar.
    Para empezar he visto varios protocolos como ISATAP, Teredo, 6to4 4to6…. que tengo que ver el que más me conviene.
    También, el firewall tiene un proxy Squid, y tengo que ver cómo llegando con IPv6 al linxu Squid me sacaría a Internet por IPv4 (ni siquiera se si es una tontería lo que estoy diciendo)

    Como ves, muy verde de momento, …. pero se empieza por el principio ¿no?
    Un saludo,
    Juan

    • Guillermo Delprato  On 24/11/2014 at 17:46

      Hola Juan, muy buena la idea que tienes, es un objetivo sobre el que deberíamos estar todos trabajando un poco
      Con ISATAP no lograrás llegar a Internet porque no soporta NAT, si se puede con Teredo o con 6TO4 aunque todo depende del proveedor y un poco de trabajo
      En el blog hice varias notas, si filtras por la categoría Iv6 verás varios con configuraciones que van para donde quieres
      Como consejo, no te pierdas los videos nombrados en: Comprender y Aprender IPv6 | WindowServer:
      https://windowserver.wordpress.com/2014/09/18/comprender-y-aprender-ipv6/
      Hay muchísima información desconectada, pero solamente con los videos de Jordi Palet Martinez pude comprender cómo se combinan todas las opciones, y el por qué se han hecho ciertas elecciones

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: