IPv6TknikaFinal ES

1.
IPV6 BSICO
1.1.
1.2.
1.3.
1.4.
1.5.
2.
DISTRIBUCIN DE DIRECCIONES IPV4

EVOLUCIN DE LA NECESIDAD DE DIRECCIONES
INCONVENIENTES TCNICOS DE IPV4
LA SOLUCIN: IPV6
HISTORIA DE IPV6
CABECERA, DIRECCIONAMIENTO Y CONFIGURACIN BSICA.
2.1.
2.1.1.
2.1.2.
2.1.3.
2.2.
2.2.1.
2.2.2.
2.2.3.
2.2.4.
2.2.5.
2.2.6.
2.2.7.
2.2.8.
2.2.9.
2.3.
2.3.1.
2.3.2.
2.4.
2.4.1.
2.4.2.
2.5.
3.
LA NUEVA CABECERA
LIMPIEZA EN IPV4
LOS CAMPOS BIT A BIT
LAS CABECERAS DE EXTENSIN
DIRECCIONAMIENTO
LOS PREFIJOS
DIRECCIN NO ESPECIFICADA Y DIRECCIN DE LOOPBACK
DIRECCIONES UNICAST GLOBALES
DIRECCIN UNICAST DE ENLACE LOCAL
DIRECCIN UNICAST LOCAL NICA
DIRECCIONES ANYCAST
DIRECCIONES MULTICAST
DIRECCIONES DE CADA NODO
SELECCIN DE DIRECCIONES POR DEFECTO
INSTALACIN Y TIPOS DE CONFIGURACIN DE IPV6
INSTALACIN Y CONFIGURACIN BSICA DE IPV6:
CONFIGURACIN AVANZADA DE IPV6:
ORDENES BSICAS EN GNU/LINUX Y WINDOWS
ORDENES BSICAS EN UBUNTU-LINUX
ORDENES BSICAS EN WINDOWS
PRUEBAS DE CONECTIVIDAD EN LAN (PING6)
CONFIGURACIN AVANZADA.
3.1. ICMPV6.
3.1.1. LOS MENSAJES
3.1.2. NEIGHBOR DISCOVERY
3.1.3. OTRAS POSIBILIDADES DE ICMPV6
3.2. CONFIGURACIN STATELESS.
3.2.1. INTRODUCCIN
3.2.2. DESCRIPCIN
3.2.3. AUTOCONFIGURACIN DE DIRECCIONES GLOBALES
3.2.4. OBTENCIN DE DIRECCIONES DE AUTOCONFIGURACIN
3.2.5. ALGORITMOS DE GENERACIN DE DIRECCIONES GLOBALES
3.2.6. ROUTER IPV6
ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900
1
1
3
3
5
7
9
10
10
12
15
19
21
22
23
25
27
28
30
33
33
36
36
48
50
50
55
60
64
64
65
71
78
84
84
84
85
87
88
89
3.3. DHCPV6.
3.3.1. DHCPV6 UBUNTU 9.10 SERVER
3.3.2. DHCPV6 WINDOWS 2008 SERVER
3.3.3. DHCPV6 CLIENTE UBUNTU 9.10
3.3.4. DHCPV6 CLIENTE WINDOWS XP
3.3.5. DHCPV6 CLIENTE WINDOWS 7
3.4. CONFIGURACIN MANUAL.
3.4.1. CONFIGURACIN MANUAL EN UBUNTU-LINUX
3.4.2. CONFIGURACIN MANUAL EN WINDOWS
3.5. PLANIFICACIN DE UNA RED IPV6
94
95
97
104
107
113
115
115
121
130
4.
132
MECANISMOS DE TRASICIN PARA CONSEGUIR CONECTIVIDAD.
4.1.
4.2.
4.3.
5.
IPV6 IN IPV4
IPV6 TO IPV4
TEREDO.
EJEMPLOS DE TUNELES: TUNNEL BROKER Y TEREDO
5.1.
5.2.
5.3.
6.
CREACIN DE TNEL EN UN HOST CON WINDOWS CON FREENET6.

CREACIN DE TNEL DE UN FIREWALL DE BEBIAN CON HURRICANE.
CREACIN DE TNEL TEREDO
INYECCIN Y CAPTURA DE PAQUETES.
6.1.
7.
WIRESHARK
NUEVAS AMENAZAS CON IPV6
7.1.
7.2.
7.3.
7.3.1.
7.3.2.
7.3.3.
7.4.
7.4.1.
7.4.2.
7.4.3.
7.5.
8.
COMUNICACIONES A TRAVS DE IPV6

ATAQUES CONTRA LA AUTOCONFIGURACIN IPV6
VULNERABILIDADES CON TEREDO
PUERTA ABIERTA A INTERNET
SUPLANTACIN DE IDENTIDADES
ATAQUES DE DENEGACIN DE SERVICIOS
VULNERABILIDADES CON 6TO4
PUERTA ABIERTA A INTERNET
SUPLANTACIN DE IDENTIDADES
ATAQUES DE DENEGACIN DE SERVICIOS
USOS DE IPV6 CON FINES MALICIOSOS
ASPECTOS DE SEGURIDAD MEJORADOS CON IPV6.
133
136
139
142
142
152
160
164
164
170
170
170
171
171
172
172
173
173
173
174
174
175
1. IPv6 Bsico
A pesar de no tener dueo y de dar la sensacin de ser un mundo incontrolable,
desde el punto de vista tcnico, Internet est totalmente regulada.
Ejemplos:
Todos los equipos del mundo que se conectan a Internet, estn identificados de
forma unvoca por medio de una especie de matrcula digital: la direccin IP.
Todos los datos que circulan por la red van empaquetados y tienen su origen y
destino perfectamente identificados, as como cul es la aplicacin que les espera.
Las comunicaciones que se establecen entre equipos, tanto va Internet como en
nuestras redes locales, se rigen por una serie de protocolos estndar totalmente
definidos.
Todos los protocolos empleados conviven en la llamada pila de protocolos TCP/IP.
El nombre de la pila es en "honor" a sus protocolos ms famosos, aunque no son los
nicos.
El IP (Internet Protocol) que aparece en el nombre de la pila hace referencia al
protocolo IPv4, que es el que se ha utilizado hasta ahora para cuestiones de
enrutamiento, esto es, para decidir por donde irn los datos del origen al destino en
funcin de las direcciones IP que llevan "grabadas".
1.1.
Distribucin de direcciones IPv4
Debido a la longitud de la direcciones IPv4, que es de 32 bits, hay un total de 2 =

4.294.967.296 direcciones disponibles.
Estas direcciones se representan en 4 grupos de 8 bits, con notacin decimal y
separados por puntos. Cada grupo de 8 bits puede tomar en total 256 valores (2) entre
0 y 255.
Las direcciones estn organizadas por rangos de modo que hay direcciones
pblicas y direcciones privadas.
Las privadas se pueden utilizar en cualquier tipo de red local sin mayores
problemas, ya que son direcciones que no se enrutan hacia Internet y por lo tanto no
pueden provocar conflictos. Los rangos de las direcciones privadas son:
10.0.0.0 a 10.255.255.255 (10.0.0.0/8)
172.16.0.0 a 172.31.255.255 (172.16.0.0/12)
192.168.0.0 a 192.168.255.255 (192.168.0.0/16)
Pag: 1
Las pblicas son las que nos identifican en Internet y deben ser nicas para cada
equipo. Precisamente por su carcter global es necesario que existan mecanismos de
control para organizar el reparto de las mismas.
La jerarqua para el reparto se ilustra en la siguiente figura:
Puede parecer que ms de 4.000 millones de direcciones deberan ser suficientes

para abastecer de direcciones a todo el planeta, pero como vamos a ver, no es as.
El total de las direcciones disponibles se organiza en 256 bloques de 16.777.216
direcciones. Actualmente la situacin en cuanto al reparto de estos bloques es el
siguiente:
Fuente: www.arin.net/knowledge/stats.pdf
Como puede verse, quedan tan solo 26 bloques /8 de los 256 tericamente
disponibles, esto es, poco ms de un 10%. Incluso aunque las direcciones no disponibles
(por estar preasignadas o reservadas) se agregaran a las direcciones disponibles, se ve
claro que, con la tendencia actual, en cuestin de unos pocos aos no habra direcciones
IPv4 que repartir.
Pag: 2
En este enlace se pueden ver estadsticas diarias de la progresin del reparto de

direcciones IPv4 que nos lleva a la extincin del espacio disponible. Incluso se prev
cul ser la fecha del da "X" (en el momento de escribir este documento -marzo de
2010- se hablaba de finales de 2011.
Un problema adicional al agotamiento de las direcciones es lo descompensado que
est el reparto de las mismas. Que un estado como El Vaticano, con algo menos de 1000
habitantes, tenga algo ms de 8 direcciones IPv4 por cabeza no parece demasiado
problemtico. Pero que un pas como Estados Unidos, con ms de 300 millones de
habitantes, tenga casi 5 direcciones por habitante, da que pensar, especialmente cuando
en el otro extremo del baremo pases como Nigeria disponen de una IP para ms de
5000 habitantes.
Por ello, el achacar el problema del agotamiento a las economas emergentes como
China (1 direccin IPv4 para cada 5 habitantes) o India (1 direccin IPv4 para cada 50
habitantes) no es muy riguroso. El verdadero problema es que hay pocas direcciones y
estn mal repartidas.
1.2.
Evolucin de la necesidad de direcciones
En septiembre de 1981 se public la RFC 791 "Internet Protocol". Desde

entonces el crecimiento de la necesidad de este protocolo ha sido imparable e
impredecible.
Por un lado, como se ha comentado en el punto anterior, las economas emergentes
exigen su parte del pastel de las direcciones.
Por otro lado, el nmero de dispositivos que se pueden conectar a Internet es cada
vez mayor: PDAs, mviles, consolas, sistemas de seguridad (alarmas, cmaras),
televisores y hasta frigorficos...
Las previsiones indican que en un futuro cercano elementos como los contadores de
agua, gas o electricidad estarn tambin online y lo mismo ocurrir con los coches..
Adems, las soluciones para monitorizacin remota de todo tipo de mquinas sern
cada vez ms frecuentes.
Todo esto nos lleva a un escenario "Always-on" en el que el usuario no solo
dispondr siempre de acceso a Internet, sino que adems, estar siempre localizable.
1.3.
Inconvenientes tcnicos de IPv4
La evolucin de las necesidades de Internet ha supuesto un reto para IPv4.

Cuando fue diseado, a finales de los aos 70, no haba preocupacin por hacer
frente a la saturacin de los medios disponibles debido al alto nmero de equipos
conectados ni era una prioridad la seguridad.
Pag: 3
Por ello, a parte del ya comentado problema del agotamiento del rango de
direcciones, IPv4 presenta otros inconvenientes que se repasan a continuacin.
Problemas de rendimiento:
Los problemas de rendimiento vienen ocasionados por:
El mal uso de los medios disponibles.
La manipulacin a que son sometidos los datos.
El resultado final es la acumulacin de retardos que producen fallos en aplicaciones
sensibles a los mismos, como por ejemplo VoIP.
Por ejemplo, en IPv4 existe la posibilidad de generar trfico de broadcast. Esto son
paquetes de datos que parten de un equipo con la pretensin de llegar a todos los
equipos que estn a "tiro de PING", es decir, a todos los equipos que se encuentran en
el mismo dominio de difusin.
El uso indiscriminado de este tipo de trfico, incluso por algunos de los protocolos
incluidos en TCP/IP, provoca el colapso de las redes debido a las colisiones que tienen
lugar. Colisiones que se solucionan con la retransmisin de los datos despus de esperar
cierto tiempo. Ya tenemos un retardo.
Otra situacin que desemboca en retardos es el procesamiento a que son sometidos
los paquetes de informacin.
Cada vez que un paquete viaja de un equipo al siguiente que le acerca a su destino se
dice que ha realizado un salto (hop). En cada salto se analiza la informacin recibida
para determinar si el paquete se queda en la red a la que acaba de llegar o si hay que
enviarlo a otra red diferente. Aqu surgen nuevos retardos.
Por ltimo, los routers que reciben la informacin, despus de analizarla y decidir
que tienen que reenviarla, tienen que aplicar algoritmos de seleccin de rutas para que
la eleccin sea la ptima. En la aplicacin de estos algoritmos aparecen nuevos retardos.
Problemas de IPv4 relacionados con seguridad
En el diseo de IPv4 se pens en garantizar la conectividad. El tema de la seguridad
qued al margen y esto se refleja en que no hay ningn tipo de control de seguridad en
su estructura.
Con el paso de los aos empezaron a surgir diversas tcnicas que aprovechaban estas
debilidades y que hacan las delicias de los aficionados a la "seguridad" informtica
(hackers).
Actualmente la seguridad en IPv4 se garantiza por medio de dos parches: SSL
(Secure Socket Layer) e IPsec (encriptacin a nivel de red).
Pag: 4
El aplicar estas tcnicas implica una carga adicional para el procesamiento de los
datos (nuevos retardos) y por lo tanto, una nueva reduccin del rendimiento.
Problemas de la utilizacin de NAT (Network Address Translation)
Ante la necesidad de dosificar las direcciones IP pblicas disponibles se ha ideado el
NAT, cuyo objetivo es hacer posible que una red privada al completo pueda acceder a
Internet a travs de una nica direccin IP pblica.
Algunas de las consecuencias de la utilizacin de NAT son las siguientes:
Rompe el modelo end-to-end.
Debido a NAT se pierde la "transparencia" original de Internet, cuando haba un
esquema de direccionamiento nico y universal y los paquetes podan fluir del origen al
destino sin alteraciones intermedias.
Afecta a protocolos y aplicaciones.
Proporciona una falsa sensacin de seguridad.
Hay varios documentos que explican los motivos de la no conveniencia del NAT:
RFC 2775 "Internet transparency"
RFC 3027 "Protocol Complication with the IP Network Address Translator"
RFC 2993 "Architectural Implications of NAT"
1.4.
La solucin: IPv6
Efectivamente, la solucin a los problemas comentados se logra mediante IPv6

En relacin a la escasez de direcciones:
En IPv6 el nmero de bits para direccionamiento pasa de los 32 de IPv4 a 128.
Para hacernos a la idea de la cantidad de direcciones disponibles en IPv6 se suele
recurrir a varios ejemplos tpicos como los millones de millones de direcciones que
podramos asignar a cada m del planeta Tierra. Pero quizs sea ms significativo pensar
que con IPv6 podramos dar una direccin a cada grano de arena que hay en la Tierra.
La cantidad de direcciones es tan grande que parece imposible que se puedan agotar,
independientemente de que la gestin de las mismas sea ms o menos acertada.
En relacin a los retardos:
En IPv6 el formato de las cabeceras de los paquetes se ha simplificado. Tienen un
tamao fijo y no hay informacin redundante. Todo esto hace que sea ms sencillo su
procesamiento y por lo tanto se reducen los retardos del mismo.
Pag: 5
En IPv6 no existe trfico de broadcast. Cada paquete de informacin tiene un origen

y un destino.
No hay reconstruccin de tramas en cada salto. Esa reconstruccin la har
nicamente el equipo final.
Los campos de carga til tienen un tamao de 64Kb, para que sean ms fcilmente
"digeridos" por los micros de 64bits.
Las tablas de los routers se descongestionan, y necesitan menos tiempo para decidir
cul ser el siguiente salto.
Todo esto hace que mejore el rendimiento de la red.
En relacin a la seguridad:
IPsec est integrado en IPv6, de modo que se reduce el procesamiento externo para
implementarlo y se consigue por un lado mejorar la seguridad y por otro reducir los
retardos.
Hay nuevos campos en la cabecera cuyo objetivo es mejorar la seguridad: AH =
Authentication Header y ESP = Encapsulating Security Payload. Estos campos permiten
que la seguridad se base en la encriptacin de la informacin transmitida. Para
garantizar la autenticacin de las entidades se recurre a los certificados digitales.
En relacin a los problemas de NAT, la implantacin de IPv6 supone la vuelta al
modelo end-to-end, con lo que los problemas que sufran las protocolos y las
aplicaciones desaparecen.
Otras ventajas de IPv6:
El control del trfico es ms efectivo, ya que hay reservados campos para QoS
(Quality of Service) y CoS (Class of Service), con los que se puede regular el trfico en
funcin de su sensibilidad al retardo de red.
Las VPNs se soportan de forma nativa, y por ello resulta ms barato implementarlas
pues no es necesario adquirir productos de terceros.
Adems se facilitan ciertas tareas administrativas con nuevas funcionalidades:
autoconfiguracin, renumeracin, movilidad IP...
Pag: 6
Como se puede ver, IPv6 ha aprendido de las carencias de su antecesor y ofrece un

amplio abanico de mejoras que solo estn esperando a ser aprovechadas por los
servicios y programas que estn por desarrollar.
Lo que no va a ser posible es establecer una fecha para realizar una transicin total
de IPv4 a IPv6. En otras palabras, de momento no va a producirse un "Apagn IP".
La situacin requiere una transicin gradual en la que los dos protocolos convivan,
cosa que se ilustra en la siguiente figura.
1.5.
Historia de IPv6
El organismo encargado del desarrollo del nuevo protocolo fue el IETF (Internet
Engineering Task Force).
En el ao 1991 comienza a trabajar sobre el problema de expandir el nmero de
direcciones de Internet.
Puesto que la IP es uno de los datos incluidos en la cabecera del protocolo, el hecho
de ampliar el rango de direcciones implicaba un rediseo de la cabecera, esto es, haba
que desarrollar una versin nueva de IP.
Los objetivos inicialmente planteados fueron:
Gran nmero de direcciones disponibles.
Soportar un esquema de direccionamiento jerrquico.
Seguridad embebida (tanto encriptacin como autenticacin).
Autoconfiguracin plug and play.
Mejoras a la Calidad de Servicio.
Movilidad IP.
Pag: 7
Las alternativas barajadas inicialmente fueron las siguientes:

CATNIT (Common Architecture for the Internet): este era un protocolo compatible
con IP, IPX y OSI que aportaba un largo de direcciones variable.
SIPP (Simple Internet Protocol Plus): este era una evolucin de IPv4, con
encabezado ms simple y 64 bits para direccionamiento.
TUBA (TCP and UDP with Bigger Addresses): este era la propuesta usando
direcciones de red OSI (CLNP).
Finalmente, a partir de SIPP se dise el IPng (Internet Protocol next generation),
que fue rebautizado posteriormente con el nombre de IPv6.
El motivo por el que saltaron de IPv4 a IPv6 omitiendo IPv5 fue que dicho nombre
ya haba sido utilizado para un protocolo experimental descrito la RFC 1819 (Internet
Stream Protocol Version 2).
La especificacin general de IPv6 se describe en la RFC 2460 (en sustitucin a la
RFC 1883), y su estructura de direccionamiento en la RFC 4291 (en sustitucin a la
RFC 3513).
A partir de ah se han ido creando distintos grupos para fomentar la implantacin de
IPv6. Entre los ms destacables tendramos el IPv6 Forum.Tambin se pusieron en
marcha proyectos como 6bone (1996-2006) mediante el que se fomentaba la
experimentacin sobre una red mundial IPv6.
A da de hoy, aunque el protocolo es completamente operativo, no se puede decir
que se haya terminado su desarrollo. De hecho, se sigue trabajando en guas operativas,
en la adaptacin de IPv6 - WiMAX, en algunos detalles de las cabeceras de extensin...
Pag: 8
2. Cabecera, direccionamiento y configuracin bsica.

En esta seccin se har, en primer lugar, una incursin en la nueva cabecera de IPv6,
comentando su estructura y el funcionamiento de las nuevas cabeceras de extensin.
Por otro lado se hablar del direccionamiento en IPv6, repasando los distintos tipos
de direcciones existentes y explicando su utilidad.
Por ltimo se mostrar como realizar la instalacin y configuracin bsicas en
algunos de los sistemas operativos ms usuales.
Antes de continuar conviene repasar algunos conceptos habituales. Las siguientes
definiciones suelen aparecer al comienzo de muchas RFCs.
Nodo: es un dispositivo que utiliza el protocolo en estudio (IP, IPv6...)
Router: es un nodo que reenva paquetes actuando como intermediario en
una comunicacin entre dos nodos.
Host: cualquier otro nodo que no sea un router.
Upper Layer o Capa Superior: cuando se habla de protocolos de la capa
superior se hace referencia a la capa que est justo por encima de la capa de
IP, por lo que los mencionados protocolos sern TCP, UDP, ICMP, etc.
Link o Enlace: un medio sobre el que los nodos se pueden comunicar en la
capa de enlace, es decir, la capa que est justo debajo de IP. Un ejemplo de
enlace sera Ethernet, X.25, Frame Relay...
Interface o Interfaz: es la conexin de un nodo a un enlace.
Neighbors o Vecinos: son los nodos conectados a un mismo enlace.
Direccin: es un identificador de la capa IP para una interfaz o un conjunto
de interfaces.
Paquete: es la cabecera IP junto al payload, es decir, junto a los datos a
enviar.
Link MTU(Maximum Transmission Unit): es el tamao mximo de los
paquetes que pueden ser manejados en un enlace.
Path MTU: el path es la ruta que siguen los datos desde el host de origen al
de destino y el Path MTU es el valor de MTU que se puede utilizar a lo largo
de dicha ruta. Para no tener problemas en ningn punto, el valor a adoptar
debera ser el ms pequeo de los MTU que aparezcan en el path.
Pag: 9
2.1.
La nueva cabecera
Entender la estructura de la cabecera de un protocolo y el tipo de informacin que se

puede transportar con la misma es el mejor camino para aprender a trabajar con un
protocolo.
Este conocimiento ayuda a identificar cmo se puede configurar el protocolo de la
mejor manera posible y qu opciones ofrece.
Tambin ayuda a identificar posibles fuentes de problemas y soluciones de
problemas.
La estructura de la cabecera de un paquete IPv6 est especificada en la RFC 2460
Durante el diseo de IPv6 se ha analizado la cabecera IPv4, simplificndola y
eliminado aquello que era superfluo.
En la siguiente imagen se pueden comparar los campos de las dos cabeceras.
Como se puede ver, la cabecera IPv6 es mucho ms simple que la de IPv4 y esto
acelera el procesamiento de los datos.
La cabecera IPv6 tiene una longitud fija de 40 bytes, organizados en dos grupos de
16 bytes para las direcciones de Origen y Destino y solo 8 bytes ms para informacin
general.
En el siguiente punto se explican los motivos por los que se han eliminado ciertos
campos de la cabecera IPv4.
A continuacin se analizarn los distintos campos de la cabecera IPv6.
Por ltimo nos centraremos en el funcionamiento de las nuevas cabeceras de
extensin.
2.1.1. Limpieza en IPv4
Los 6 campos de IPv4 eliminados en IPv6 son: Longitud de la cabecera,
Identificacin, Flags, Fragment Offset, Checksum de cabecera y Opciones.
Pag: 10
A continuacin se explican los motivos por los han desaparecido.

Longitud de la cabecera
En IPv4, la mnima longitud de cabecera es de 20 bytes, pero si se aaden opciones,
puede crecer en incrementos de 4 bytes hasta los 60 bytes. Por lo tanto, con IPv4 s es
importante la informacin sobre la longitud de la cabecera.
En IPv6 las cabeceras tienen una longitud fija de 40 bytes, por lo tanto el campo
"Longitud de la cabecera" no tiene sentido.
El tema de las opciones se resuelve en IPv6 por medio de las cabeceras de
Extensin.
Identificacin, Flags y Fragment Offset
Estos campos permiten gestionar la fragmentacin de un paquete en IPv4.
La fragmentacin tiene lugar cuando un paquete grande tiene que ser transmitido en
una red que slo soporta paquetes ms pequeos.
En ese caso, el router IPv4 trocea el paquete original en otros ms pequeos y los
enva.
El host de destino los recoge y recompone el mensaje original.
Si se detecta que falta algn fragmento (aunque solo sea uno), hay que volver a
retransmitirlos todos.
Esta forma de actuar es muy poco eficiente.
Ya en IPv6, el host emisor utiliza un proceso llamado "Path MTU Discovery" para
saber el cul es el mayor tamao de paquete que se puede gestionar en el camino que
seguirn los datos desde el origen hasta el destino, esto es, en el Path. Esa informacin
es lo que se llama "Path MTU" (Maximum Transmission Unit).
Con esta informacin, el host emisor decide si hay que fragmentar el paquete o no.
En caso de tener que hacerlo utiliza la cabecera de Extensin correspondiente.
Pag: 11
Debido a esto, no es necesario que los routers IPv6 proporcionen fragmentacin

como se haca en IPv4.
Tambin por eso no hacen falta los campos de Identificacin, Flags y Fragment
Offset en la cabecera IPv6. En caso de necesitar la fragmentacin estos campos sern
insertados por el host origen en la correspondiente cabecera de Extensin.
Checksum de cabecera
Cuando se desarroll IPv4, no era habitual el checksum a nivel de acceso al medio
(capa de enlace de datos), por lo que tena sentido el campo de checksum en la cabecera
de IPv4.
Hoy en da, el riesgo de que lleguen a nivel de IP errores no detectados y paquetes
mal enrutados es mnimo.
En IPv6 se ha considerado que la responsabilidad de comprobar la integridad de los
datos debe recaer en las capas superiores.
As, si subimos de la capa de red a la capa de transporte y nos fijamos en el
protocolo UDP, nos encontramos que el checksum que era opcional trabajando con IPv4
es obligatorio al trabajar con IPv6.
Al eliminar la comprobacin del checksum en la capa de red, los routers no tienen
ya que comprobarlos ni actualizarlos y, de nuevo, se mejora la gestin de los paquetes.
Opciones
En IPv6 las opciones se manejan por medio de las ya mencionadas cabeceras de
Extensin, por lo que no son tratadas como un campo al uso.
2.1.2. Los campos bit a bit
Como se ha dicho antes, entender la funcin de los campos de la cabecera de un
protocolo, es fundamental para comprenderlo.
Version (4 bits)
Pag: 12
Este campo de 4 bits contiene la versin del protocolo. Para IPv6 su valor es 6.
Traffic Class = Clase de Trfico (1 Byte)
Este campo sustituye al "Type of Service" de IPv4. no obstante, su funcin es la
misma en los dos protocolos. De hecho la RFC que regula su funcionamiento es la
misma: RFC2474 ("Definition of the Differentiated Services Field (DS Field) in the
IPv4 and IPv6 Headers"). En dicha RFC se usa el trmino DS Field (Differentiated
Services Field) para hacer referencia tanto al campo "Type of Service" de IPv4 como al
de Traffic Class de IPv6.
Por medio de este campo ("Traffic Class) los equipos que envan los paquetes y los
routers pueden identificar y distinguir distintas clases o prioridades de paquetes IPv6.
Gracias a este campo, algunos datos que requieran un tratamiento especial se pueden
manejar, en tiempo real, con mayor facilidad.
Flow Label = Etiqueta de flujo (20 Bits)
Este campo sirve para marcar paquetes que requieren un mismo tratamiento, de
forma que se facilita su manipulacin en tiempo real.
El equipo emisor puede etiquetar secuencias de paquetes con un conjunto de
opciones.
Los routers pueden mantener bajo control los flujos y pueden procesar los paquetes
pertenecientes al mismo flujo de forma ms eficiente porque no tienen que reprocesar
cada cabecera de paquete.
La etiqueta de flujo y la direccin de la fuente identifican el flujo de forma nica.
A los nodos que no soportan las funciones del campo Flow Label se les pide que no
toquen dicho campo cuando reenvan un paquete y que lo ignoren cuando lo reciben.
Todos los paquetes pertenecientes al mismo flujo deben tener las mismas direcciones de
Origen y Destino.
La RFC3697 es la "IPv6 Flow Label Specification".
Payload Length = Longitud de carga til (2 Bytes)
El PAYLOAD son los datos enviados despus de la cabecera. En el campo "Payload
Length" se indica qu cantidad de datos estn siendo enviados.
La forma de medir esta carga es distinta en IPv6 y en Ipv4.
En IPv4 el campo Longitud incluye la longitud de la cabecera IPv4, mientras que
el Payload Length de IPv6 contiene solo los datos que siguen a la cabecera IPv6. Las
cabeceras de Extensin tambin se consideran parte del Payload.
El hecho de que la longitud de este campo sea de 2 bytes, limita el tamao mximo
del payload a 64KBytes. (2 = 65536 Bytes = 64KB)
Pag: 13
Los paquetes de tamaos mayores son soportados por IPv6 por medio de la cabecera
de Extensin "Jumbograma".
Los Jumbogramas se especifican en la RFC 2675 y cobran importancia slo cuando
los nodos IPv6 estn asociados a enlaces que tienen un enlace MTU mayor que 64KB.
Next Header = Siguiente cabecera (1 Byte)
En IPv4 este campo se llama Protocol Type. En IPv6 se ha renombrado porque
ahora la forma de organizar los paquetes es distinta, ya que se utilizan las llamadas
Cabeceras de Extensin que son explicadas en la siguiente seccin.
Si la siguiente cabecera es UDP o TCP, este campo contendr los mismos nmeros
de protocolo que en IPv4 (TCP = 6, UDP = 17...)
En caso de que usen las cabeceras de Extensin de IPv6, este campo contiene el tipo
de la siguiente cabecera de Extensin.
Estas cabeceras de Extensin estn localizadas entre las cabecera IP y la cabecera
TCP o UDP.
En la pgina www.iana.org/assignments/protocol-numbers se puede encontrar un
listado actualizado de los nmeros asignados a los protocolos.
Hop Limit = Lmite de Saltos (1 Byte)
Este campo es anlogo al campo TTL (Time-To-Live) de IPv4. El campo TTL
contiene un nmero de segundos que indican cunto tiempo puede permanecer un
paquete en la red antes de ser destruido. En IPv4, la mayora de los routers simplemente
decrementan este valor en uno con cada salto.
En IPv6, este campo ha pasado a llamarse "Hop Limit". Su valor representa ahora el
nmero de saltos en lugar del nmero de segundos. Cada nodo retransmisor decrementa
este valor en uno. Si un router recibe un paquete con Hop Limit = 1, lo decrementa a
0, descarta el paquete, y enva al equipo emisor original el mensaje ICMPv6 Hop Limit
exceeded in transit.
Source Address =Direccin Origen (16 Bytes)
Este campo contiene la direccin IP del equipo que gener el paquete
Destination Address = Direccin Destino (16 Bytes)
Este campo contiene la direccin IP del destino del paquete.
Esta direccin puede ser la del destino final.
En caso de estar presente una cabecera de Enrutado, puede ser la direccin del
siguiente router.
Pag: 14
2.1.3. Las cabeceras de Extensin

En la cabecera de IPv4, despus de los campos de informacin general y de las
direcciones de origen y destino, y antes de los datos, se coloca en campo de "Opciones".
Estas "Opciones" ocupan un mximo de 40 bytes y dan indicaciones a los
nodos que se encuentran en el camino (o path) que va del equipo origen al
destino, acerca de cuestiones relacionadas con seguridad, enrutamiento,
timestamping, etc. Concretamente, las opciones disponibles en IPv4 son:
Crear un registro de la ruta.
En el datagrama se van guardando las direcciones IP de los routers visitados.
Cada router intenta poner su direccin al final de la lista existente. Si la lista
est llena y no puede hacerlo, simplemente reenva el datagrama sin aadir
su direccin.
Marcas de tiempo (Timestamp).
Seguridad bsica del Departamento de Defensa.
Permite asegurar que el origen del datagrama tiene autorizacin para ser
transmitido. Son opciones usadas por la NSA, la CIA...
Seguridad extendida del Departamento de Defensa.
Es una opcin que permite a los departamentos antes mencionados hacer
configuraciones de seguridad especficas segn sus necesidades.
Sin operacin (No Operation).
Se usa como relleno entre opciones, para alinear la siguiente opcin en un
marco de 16 o 32 bits.
Fin de la lista de opciones.
En este caso se pretende rellenar el final del campo de opcin para que el tamao
total sea mltiplo de 32 bits.
En IPv4 no suelen utilizarse estas opciones porque ralentizan la transmisin.
En IPv6 las opciones se manejan por medio de las llamadas Cabeceras de Extensin
(Extension Headers). Estas cabeceras se insertan en el paquete solo si las opciones son
necesarias.
En la siguiente figura se pueden ver varios casos de utilizacin de cabeceras IPv6 y
cabeceras de Extensin.
Pag: 15
En el primer paquete hay una nica cabecera IPv6 que precede a los datos de la capa
superior de transporte.
En el segundo paquete se ha insertado una tercera cabecera entre las dos anteriores.
Ahora, la cabecera IPv6 indica que la siguiente cabecera es una cabecera de Extensin
del tipo Routing, cuyo cdigo identificativo es el 43 y que se utiliza para dar una lista de
uno o ms nodos que deben estar en la ruta seguida por un paquete.
En el campo Next Header de esa cabecera de Routing se indica ya que a
continuacin van los datos de TCP.
En el tercer paquete se ha insertado una cabecera ms. En este caso es una cabecera
de Extensin de Fragmento, cuyo cdigo es el 44.
Como se puede ver los campos Next Header de las distintas cabeceras mantienen la
lgica explicada.
Podemos enumerar ya algunas cuestiones generales relativas a las cabeceras de
Extensin:
En un paquete IPv6 puede haber cero, una o ms cabeceras de Extensin.
Estas cabeceras se sitan entre la cabecera IPv6 y la cabecera del protocolo
de la capa superior (capa de transporte).
Las cabeceras existentes deben ser procesadas en el orden exacto en que
aparecen en la cabecera del paquete.
Cada cabecera de Extensin es identificada por el campo Next Header de
la cabecera precedente.
Las cabeceras de Extensin son examinadas o procesadas solo por el nodo
identificado en el campo direccin de Destino de la cabecera IPv6...
... con una nica excepcin:
Pag: 16
o Si la cabecera de Extensin es del tipo Opciones Hop-by-Hop, la

informacin que lleva debe ser examinada y procesada por cada uno
de los nodos que se encuentran en la ruta del paquete.
o Este tipo de cabecera debe seguir inmediatamente a la cabecera IPv6
y su valor de "Next Header" es 0.
Si en el campo "Direccin de destino" hay una direccin multicast, las
cabeceras de Extensin sern examinadas y procesadas por todos los nodos
que pertenezcan al grupo multicast.
La longitud de cada cabecera de Extensin es un mltiplo de 8 bytes de
forma que, independientemente del nmero de ellas que se utilicen, siempre
quedan alineadas.
Tipos de cabecera
Los 6 tipos de cabeceras de Extensin que se definen en la RFC 2460 son:
De opcin Hop-by-Hop (RFC 2460).
La informacin de esta cabecera debe ser examinada Salto-a-Salto, es decir, en cada
uno de los nodos de la ruta que ha de seguir el paquete.
De enrutado (RFC 2460). Se utiliza para dar una lista de uno o ms nodos
que deben estar en la ruta seguida por un paquete.
De fragmento (RFC 2460). Un host IPv6 que quiere enviar un paquete a un
destino IPv6 utiliza el llamado Path MTU discovery para determinar el
tamao mximo de paquete que se puede utilizar en el path hasta ese destino.
Si el paquete que hay que enviar es ms grande que el MTU soportado, el
host origen fragmenta el paquete. Gracias a esta forma de actuar, la
fragmentacin se gestiona de extremo a extremo, liberando a los routers del
path de este trabajo. En caso de que el "Path MTU discovery" falle, se usar
el valor mnimo de "Path MTU" en IPv6, 1280 bytes. El valor mximo es de
65536 bytes, en los cuales se incluye la carga o payload del datagrama y los
40 bytes de la cabecera.
De opciones de destino (RFC 2460). Estas cabeceras llevan informacin que
ser procesada, exclusivamente, por el nodo de destino.
De autenticacin (AH) (RFC 4302). Proporciona integridad y autenticacin
(que no confidencialidad) para todos los paquetes de datos IP. Soporta
distintos mecanismos de autenticacin.
Pag: 17
De carga til de seguridad encriptada (Encrypted Security Payload =ESP)

(RFC 4303). Proporciona integridad, confidencialidad, autenticacion de
datos y otras funciones para todos los paquetes de datos IP.
La flexibilidad de esta arquitectura permitir el desarrollo de nuevas cabeceras de

Extensin en el futuro, a medida que sean necesarias. Lo bueno de este sistema es que
las nuevas cabeceras de Extensin se pueden definir y usar sin cambiar la cabecera
IPv6.
Orden de ejecucin
Si se le pide a un nodo que procese la siguiente cabecera pero no identifica el valor
del campo Next Header, descartar el paquete y enviar un mensaje ICMPv6
Parameter Problem al equipo origen del paquete.
Segn la RFC 2460, si en un paquete se usa ms de una cabecera de Extensin, se
debera respetar el siguiente orden:
1. Cabecera IPv6.
2. Cabecera de Opciones Hop-by-Hop
3. Cabecera de opciones de destino (para opciones que tienen que ser
procesadas por el primer destino que aparece en el campo de direccin de
destino, adems de los destinos posteriores enumerados en la cabecera de
Routing).
4. Cabecera de enrutamiento (Routing)
5. Cabecera de Fragmento.
6. Cabecera de autenticacin (Authentication header).
7. Cabecera de carga til de seguridad encapsulada (Encapsulating Security
Payload)
8. Cabecera de Opciones de Destino (para opciones a ser procesadas solo por el
destino final del paquete)
9. Cabecera de capa superior.
Cuando se encapsula IPv6 en IPv4, la cabecera de capa superior puede ser otra
cabecera IPv6 y puede contener cabeceras de Extensin que tienen que seguir las reglas
mencionadas.
Pag: 18
2.2.
Direccionamiento
Una vez analizados y aclarados los problemas de IPv4 en relacin a la gestin de

direcciones y a la disponibilidad de las mismas, nos centraremos en el direccionamiento
de IPv6.
Capacidad de direccionamiento IPv6
Las direcciones utilizadas son de 128 bits, por lo que la capacidad de
direccionamiento es de 2.
Para entender de qu cantidad estamos hablando, un ejemplo:
Teniendo en cuenta que la superficie terrestre es de 510.065.284,702 x 10 m...
... con 2 direcciones podramos asignar 667.134.927.874.467.426.204.012
direcciones IPv6 por m.
Parece suficiente para hacer frente a cualquier necesidad presente y futura.
Tipos de direcciones IPv6

El documento base que regula las direcciones y el direccionamiento es la RFC 4291.
Hay tres tipos principales de direcciones: las unicast, multicast y anycast.
Unicast: direccin para un nico dispositivo. El paquete enviado a una direccin
unicast es recibido slo por el propietario de la direccin.
Multicast: este es el sustituto del broadcast de IPv4. La diferencia entre broadcast y

multicast es que en el broadcast se envan paquetes a todos los equipos que se
encuentran en la misma subred y en multicast se envan paquetes solo a los equipos que
tienen la misma direccin multicast. Es una especie de broadcast controlado.
Anycast: es una direccin para varios dispositivos. Cuando se enva un paquete a
una direccin Anycast, se entregar al equipo ms cercano que sea propietario de dicha
direccin.
Pag: 19
Cuando trabajamos con IPv4 estamos acostumbrados a tener que asignar una
direccin IP del estilo 192.168.0.10 a la tarjeta de red de nuestro ordenador, y solo en
situaciones concretas tenemos varias direcciones IPv4 asignadas a nuestra interfaz de
red. Esto ltimo ocurre, por ejemplo, cuando usamos "interfaces de red virtuales", las
cuales permiten, entre otras cosas, ofrecer distintos servicios de red en cada una de las
direcciones empleadas.
En IPv6 lo normal es que una tarjeta de red tenga varias direcciones asignadas. En la
RFC 4291 "IP Version 6 Addressing Architecture" se especifica cules son las
direcciones IPv6 que tiene que tener cada host.
Su direccin de enlace local para para cada interfaz.
Todas las direcciones unicast y anycast asignadas.
La direccin de loopback.
La direccin multicast All-nodes.
La direccin multicast Solicited-node para cada una de sus direcciones
unicast y anycast.
Las direcciones multicast de todos los grupos a los que pertenezca el host.
En apartados posteriores se analizarn las peculiaridades de los tipos y subtipos
mencionados.
Representacin de las direcciones

Tienen una longitud de 128 bits y para su representacin se organizan en 8 grupos
de 4 dgitos hexadecimales (8grupos x 4dgitosHex x 4bits = 128 bits).
Los grupos se separan con dos puntos (:).
Esto seran ejemplos de direccin IPv6:
ABFE:CD67:2143:6574:AFDE:DB87:6543:2109
2191:0:0:7:0:900:300B:528B
Como se puede ver, en la segunda direccin no aparecen 4 dgitos hexadecimales en
todos los casos. Esto es debido a que no hace falta representar los ceros que aparecen
ms a la izquierda.
Pero el trato especial que reciben los ceros no termina aqu, de hecho, existe incluso
una "Notacin abreviada para los ceros":
Pag: 20
Si hay varias cadenas de 4 ceros hexadecimales, es decir, 16 ceros (...:0000:....), se

pueden sustituir por ::
Esta sustitucin solo puede hacerse una vez en cada direccin.
Por ejemplo:
2191:6:0:0:0:700:311B:528D = 2191:6::700:311B:528D
FF01:0:0:0:0:0:0:101 = FF01::101
0:0:0:0:0:0:0:1 = ::1
0:0:0:0:0:0:0:0 = ::
En entornos mixtos en los que hay nodos IPv4 e IPv6 hay tambin un formato vlido
que permite representar una direccin IPv4 como IPv6. Esto se hace poniendo
0:0:0:0:0:0 y a continuacin la direccin IPv4. Hay que tener en cuenta que la
representacin se puede hacer expresando la direccin IPv4 en decimal o en
hexadecimal y que tambin se puede emplear la notacin abreviada. Teniendo todo esto
en cuenta, las siguientes notaciones son equivalentes:
0:0:0:0:0:0:192.168.44.1
::192.168.44.1
0:0:0:0:0:0:C0A8:2C01
::C0A8:2C01
2.2.1. Los prefijos

Notacin de los prefijos
Esta notacin est descrita en la RFC 4291 "IP Version 6 Addressing Architecture".
Un prefijo es un conjunto de bits (en la zona de mayor peso) en una direccin IPv6,
que se utiliza para identificar subredes o el tipo de direccin.
El nombre exacto que reciben estos bits es prefijo de enrutado global.
La notacin de prefijo es muy similar a la forma en que se escriben las direcciones
IPv4 en notacin CIDR (Classless Interdomain Routing), indicando detrs de la
direccin IP el nmero de bits que determinan el ID de la red (192.168.0.10/24 equivale
a una mscara 255.255.255.0):
En IPv6 tenemos:
Direccin IPv6 / Longitud del prefijo
Pag: 21
El campo Longitud del prefijo especifica cuantos bits de la parte izquierda de la

direccin forman el prefijo.
Gracias al prefijo, los routers saben como dirigir los paquetes que les llegan hacia su
destino correcto en una subred determinada.
Un ejemplo, en la siguiente direccin IPv6, puesto que cada carcter hexadecimal
consta de 4 bits, el prefijo es la parte marcada en azul (10 caracteres hexadecimales):
2E78:DA53:1200::/40
La notacin abreviada (sustitucin de ceros con un doble :) se puede aplicar
tambin a la representacin del prefijo, siguiendo las reglas ya explicadas.
Prefijos de enrutado global

En este enlace se puede ver cmo organiza la IANA los prefijos reservados y las
direcciones especiales (direcciones de enlace local, multicast...).
Vamos a comentar algunos de estos prefijos:
0000::/8 Las direcciones que empiezan con 8 ceros estn reservadas para la IETF.
2000::/3 Direcciones Unicast Globales. Estas sern todas aquellas direcciones
cuyos 3 primeros dgitos binarios (los de mayor peso) sean 001.
Estas son las direcciones Unicast que gestiona la IANA. A efectos prcticos seran
como las direcciones pblicas que venimos usando con IPv4.
FC00::/7 Direccin Unicast Local nica (ULA = Unique Local Unicast
Address). Son direcciones cuyos 7 bits de mayor peso son 1111 110.
FE80::/10 Direccin Unicast de Enlace Local. Aquellas cuyos primeros 10 bits
son 1111 1110 10.
FF00::/8 Direcciones Multicast. Aquellas cuyos 8 primeros bits son 1.
En cuanto a las direcciones Anycast, se toman del rango de direcciones Unicast, por
lo tanto, no es posible saber si una direccin es Anycast tan solo con mirar su prefijo.
2.2.2. Direccin No Especificada y Direccin de Loopback

Vemos a continuacin dos direcciones que se podran catalogar como direcciones
especiales:
Direccin no especificada (Unspecified address)
Pag: 22
Es la direccin 0:0:0:0:0:0:0:0 y tambin se le llama la direccin de todo ceros

(all-zeros address)
Se puede representar en notacin abreviada como ::
Su funcin es la misma que la de la direccin 0.0.0.0 de IPv4: actuar como direccin
de origen cuando se solicita una configuracin de arranque en un momento en que el
equipo solicitante no tiene una direccin vlida. Esto ocurre, por ejemplo, cuando se
buscan servidores DHCP o BOOTP para pedirles la configuracin de la interfaz de red.
Direccin de Loopback
Es la direccin 0:0:0:0:0:0:0:1, que en notacin abreviada queda en ::1
Su funcin es la misma que la direccin 127.0.0.1 de IPv4: hacer referencia a la
interfaz de red local y permite hacer pruebas para determinar el buen funcionamiento de
la misma o de algn servicio ubicado en el equipo local.
2.2.3. Direcciones Unicast Globales

Estas son las direcciones que se reconocen a nivel global, por lo que, a efectos
prcticos, juegan el papel de las direcciones pblicas IPv4.
Puesto que van a ser direcciones vlidas a nivel global es lgico pensar que deben
estar controladas como lo estn las IPs pblicas de IPv4. En seguida veremos que es as.
Todas las Direcciones Unicast Globales tienen 001 en sus tres bits de mayor peso,
por lo que el prefijo es 2000::/3. Esto indica que si la direccin empieza tanto por 0010
(0x2) como por 0011(0x3), estaremos ante una direccin unicast global.
En la RFC 4291 se define el formato de estas direcciones.
Como se puede ver en la imagen, los 128 bits se descomponen en tres campos:
Prefijo de enrutado global (n bits).
Este prefijo limita el rango de direcciones asignado al sitio.
Pag: 23
Para redes de tamao pequeo y medio suele constar de 48 bits y es gestionado por
los servicios de registro internacionales y los ISPs.
La IANA (Internet Assigned Numbers Authority) es el organismo responsable de la
coordinacin, a nivel mundial, del direccionamiento.
El reparto de direcciones se realiza de forma jerrquica y hay una entidad
responsable para cada regin del mundo.
En la imagen se pueden ver los nombres de dichas entidades.
Fuente: http://www.iana.org/numbers
Aunque el prefijo para las direcciones unicast globales es 2000::/3, IANA solo
permite el uso de ciertos rangos. En este enlace se puede ver cul es el reparto actual.
Todo el espacio de direcciones del bloque 2000::/3 no listado en la tabla anterior
est reservado por la IANA para una futura asignacin.
Aparte de la asignacin para cada uno de los servicios de registro internacionales,
hay tambin un rango reservado para la propia IANA.
Por ejemplo, el prefijo 2001::/23, que incluye el prefijo 2001:0000::/32 utilizado en
Teredo (RFC 4380: Tunneling IPv6 sobre UDP a travs de NAT).
Igualmente aparece el prefijo 2002:0000::/16, utilizado para 6to4 (RFC 3056:
Connection of IPv6 Domains via IPv4 Clouds).
Identificador de Subred ((64 - n) bits).

El ID de Subred identifica un enlace dentro de un sitio. Puesto que normalmente n
= 48 bits, quedan un total de 16 bits para hacer subredes en la organizacin. Es decir,
una vez obtenido el prefijo de enrutado global, la organizacin puede descomponerse en
65.535 subredes.
Lgicamente, la gestin de este identificador es responsabilidad del administrador
local.
Pag: 24
En caso de que la organizacin sea muy grande, puede solicitar un prefijo de

enrutado global de menos de 48 bits, de modo que pueda disponer de ms espacio para
crear subredes.
Identificador de Interfaz (64 bits).

El Identificador de Interfaz identifica una interfaz en una subred y debe ser nico
dentro de esa subred. Este identificador se puede configurar de varias maneras.
Configuracin esttica (Manual).
Autoconfiguracin (Identificador de Interfaz basado en EUI-64).
Configuracin dinmica (DHCPv6).
Identificador de Interfaz Pseudo-Aleatorio.
Identificador generado criptogrficamente.
En el caso de la autoconfiguracin EUI-64 (EUI = Extended Unique Identifier), se
consigue un identificador de interfaz nico que se basa en la direccin MAC de la
propia interfaz (de ah su exclusividad).
El procedimiento a aplicar para conseguir el identificador es sencillo. Se parte de la
MAC que tiene 48 bits y hay que agregarle 16 bits para alcanzar los 64 bits del
identificador de interfaz. Esto se hace dividiendo la MAC por el centro e insertando los
dgitos hexadecimales 0xff-fe.
00
03
cd
00 03 cd ff fe 39 2b 42
39
2b
42
Para terminar hay que complementar el bit universal/local, que es el segundo bit de
menor peso en el primer byte (el de mayor peso). En este ejemplo el primer byte es
0000 0000, y complementando el bit marcado en rojo se convierte en 0000 0010, es
decir, 0x02. Por lo tanto el identificador de interfaz obtenido mediante
autoconfiguracin es:
02 03 cd ff fe 39 2b 42
2.2.4. Direccin Unicast de Enlace Local

En IPv4 las organizaciones utilizan direcciones IP privadas (RFC 1918) para
identificar a los nodos de sus redes.
Estas direcciones privadas no se utilizan nunca fuera de la organizacin, por lo que
para salir de la misma hace falta un mecanismo para mapear las direcciones IPv4
Pag: 25
privadas con la direccin IPv4 pblica disponible. Ese mecanismo es el NAT (Network
Address Translation).
Ya en IPv6, tenemos la "Direccin de Enlace Local" (Local-Link Address) que
funciona como una direccin IPv4 privada asignada automticamente. Por ello, por ser
una direccin privada, no se enruta nunca, o lo que es lo mismo, no se enva a Internet.
En IPv4, cuando un equipo configurado para obtener su direccin de un servidor
DHCP no encuentra al servidor, toma una direccin del rango 169.254.0.0/16. Las
Direcciones de Enlace Local seran el equivalente a las direcciones IPv4 de la red
169.254.0.0/16. Estas Direcciones de Enlace Local se pueden utilizar en
Autoconfiguracin, para Neighbor Discovery, en redes sin routers y para crear redes
temporales (por ejemplo, cuando se conectan dos equipos mediante un cable cruzado).
Por ser de uso privado, no necesitan un "prefijo de enrutado global", de hecho, en su
lugar se coloca el "prefijo de enlace local" FE80::/10. Por eso, todas las direcciones de
enlace local empiezan por FE80.
En la siguiente imagen, se puede ver dnde aparece la Direccin de enlace local en

un equipo con Ubuntu y en otro con Windows XP.
Como se puede ver en la captura de Ubuntu, hay una relacin directa entre la MAC
de la tarjeta de red y la direccin de enlace local. El procedimiento mediante el que se
crea el Identificador de Interfaz a partir de la direccin MAC ha sido ya explicado al
hablar de las Direcciones Unicast Globales.
Pag: 26
2.2.5. Direccin Unicast Local nica

Cuando se defini la Direccin de Enlace Local se hizo lo propio con la llamada
"Direccin de Sitio Local".
Con el tiempo, ese ltimo trmino fue sustituido por el de "Direccin Unicast Local
nica" o simplemente "Direccin IPv6 Local". En ingls se suele usar el trmino ULA
(Unique Local Unicast Address).
En la RFC 4193 "Unique Local IPv6 Unicast Addresses" se puede encontrar la
descripcin original de este tipo de direccin.
A pesar de que estas direcciones son nicas a nivel global, no deben ser enrutadas,
es decir, no deben ser utilizadas en comunicaciones fuera de los lmites de la red
corporativa. Estn diseadas para ser usadas en local (dentro de sitios corporativos o
conjuntos de redes).
Las caractersticas de las Direcciones Unicast Locales nicas son las siguientes:
Tienen un prefijo global nico que facilita el filtrado en los lmites de la red.
Permiten la interconexin de redes privadas sin que haya riesgo de que surjan
conflictos por direcciones duplicadas, lo cual implicara la renumeracin de una de las
redes.
No dependen de los ISPs.
Se pueden usar en comunicaciones internas sin conexin a Internet.
Si se enrutan accidentalmente a Internet, no surgen conflictos de direcciones
Pueden ser utilizadas por las aplicaciones del mismo modo que utilizan las
direcciones unicast globales.
El formato de estas direcciones se muestra en la siguiente figura:
El bit L puesto a 1 indica que la administracin del prefijo es local.

Por ello, siempre que la administracin sea local, el prefijo ser FD::/8 (1111 1101).
Pag: 27
Y esto est relacionado con el siguiente bloque de 40 bits, el IDENTIFICADOR

GLOBAL. Cuando la administracin es local, este Identificador Global se crea
aplicando un algoritmo pseudo-aleatorio, que garantiza con una probabilidad altsima su
exclusividad.
Se parte de la hora y fecha del da en formato NTP (Network Time Protocol) de
64bits. NTP es un protocolo que permite sincronizar los relojes de equipos conectados a
Internet.
Se obtiene un identificador EUI - 64 a partir de la MAC.
Se concatenan los resultados obtenidos en (1) y (2).
Aplicar el algoritmo SHA-1 al resultado de (3) y tomar los 40 bits menos
significativos como Identificador Global.
2.2.6. Direcciones Anycast
En networking hay ocasiones en las que un servicio se ofrece por medio de varios
hosts o routers.
De este modo se consigue:
Redundancia: el servicio no depende de un nico servidor, de modo que si
un equipo falla, los dems asumen sus funciones y el servicio sigue
disponible.
Balanceo de carga: los distintos servidores se reparten el trabajo de modo
que no haya un equipo sobrecargado (con la consiguiente merma de
rendimiento) y otro inactivo.
Cuando un usuario, aplicacin o host quiere acceder al servicio, no le importa cul
de los mltiples servidores que lo ofrecen le est atendiendo.
Las direcciones Anycast permiten esta forma de funcionamiento. Cuando un host
enva un datagrama a una direccin anycast, la infraestructura de red buscar el camino
ms corto hasta uno, y preferiblemente solo uno, de los equipos que aceptan datagramas
dirigidos a la direccin anycast utilizada.
La gran ventaja del "Anycasting" es que simplifica la bsqueda del servidor ms
apropiado (que suele ser el ms cercano).
Realmente Anycast se plante en la RFC 1546 (1993) como especificacin
experimental para IPv4 y estaba destinado a ser utilizado para servicios tales como DNS
y HTTP.
Una forma de implementar el Anycast es usando el mtodo llamado "Direccin
Unicast Compartida", que consiste en asignar direcciones unicast normales a
Pag: 28
mltiples interfaces. Esto es lo que se usa, por ejemplo, en los servidores DNS raz en
Internet.
Dentro de una red donde un grupo de routers puede proporcionar acceso a un
dominio de enrutamiento comn, se puede asignar una direccin nica a todos los
routers y cuando un cliente enva un paquete a esta direccin, ser enviado al siguiente
router disponible.
Esto se utiliza en 6to4 (RFC 3068) y en Mobile IPv6.
Tambin hay que ser conscientes de que al utilizar direcciones anycast, el emisor no
tiene control sobre cul ser la interfaz a la que se entregar el paquete, ya que esta
decisin se toma sobre el nivel del protocolo de enrutamiento.
Debido a esto pueden darse errores si un emisor enva varios paquetes a una
direccin anycast y los paquetes llegan a diferentes destinos. Lo mismo ocurre si hay
que establecer un dilogo con una serie de peticiones y respuestas o si hay que
fragmentar el paquete.
Como extensin a lo explicado, y ya en IPv6, la direccin anycast es una direccin
que se asigna a ms de una interfaz (normalmente pertenecientes a distintos nodos).
Se sigue manteniendo que un paquete enviado a una direccin anycast es enrutado a
la interfaz ms cercana con esa direccin anycast. La distancia es medida por los
protocolos de enrutado.
Las direcciones anycast estn dentro del espacio de las direcciones unicast, por lo
que, sintacticamente, no se puede distinguir una direccin anycast de una unicast.
Cuando se convierte una direccin unicast en direccin anycast, asignando la
direccin unicast a ms de una interfaz, los nodos que han recibido la direccin deben
ser configurados de modo que reconozcan la direccin anycast.
A modo de ejemplo, se muestra el formato de la "direccin anycast del router de la
subred" (subnet-router anycast address), que est predefinido y tiene el aspecto indicado
en la siguiente figura:
El "prefijo de subred" en una direccin anycast es el prefijo que identifica un enlace

especfico.
Esta direccin anycast es sintcticamente igual que cualquier otra direccin unicast
de una interfaz del enlace, con el identificador de interfaz a cero.
Pag: 29
Los paquetes enviados a la "direccin anycast del router de la subred" sern

entregados a un router de la subred.
Todos los routers estn obligados a soportar las "direcciones anycast del router de la
subred" de todas las subredes en las que tiene conectada una interfaz.
2.2.7. Direcciones Multicast
Se las identifica fcilmente porque son direcciones que empiezan por 0xFF (es decir,
por 1111 1111, en binario).
Los nodos que se configuran con una direccin multicast determinada forman lo que
se llama un GRUPO DE MULTIDIFUSIN.
Un nodo puede pertenecer a varios grupos de multidifusin.
Cuando un paquete es enviado a una direccin de multidifusin, todos los miembros
del grupo procesan el paquete
En la siguiente figura se muestra el formato de las direcciones multicast:
Los primeros 8 bits (puestos a 1) identifican la direccin como multicast.

Los siguientes 4 bits se utilizan como flags y se definen as:
El primer bit (O) debe ser cero y est reservado para un uso futuro.
El segundo bit (R) indica si esta direccin de multidifusin incluye el
llamado Rendezvous Point (Punto de Encuentro).
Esto est relacionado con un problema detectado al realizar multicasting entre
dominios, y es que el protocolo utilizado (PIM - SM) no tiene forma de dar a conocer a
otros dominios de multidifusin cules son las fuentes de multidifusin disponibles.
En la RFC 3956 se define cmo codificar la direccin del Rendezvous Point (RP) en
una direccin de grupo multicast y el bit que estamos tratando indica si la direccin
lleva, o no, insertado el "Rendezvous Point". En los usos ms habituales, esto no ser
as y el bit valdr 0.
El tercer bit (P) indica si esta direccin de multidifusin incluye informacin acerca
del prefijo (RFC 3306). Esto se utiliza para realizar la asignacin dinmica de
Pag: 30
direcciones multicast y se explica ms adelante. Cuando no se enva informacin sobre

el prefijo, este bit se pone a 0.
El ltimo bit del campo de Flags indica si la direccin est asignada de forma
permanente, esto es, si es una de las direcciones de multidifusin llamadas "Wellknown" (bien conocidas), por estar asignadas por la IANA (bit a 0). O se trata de una
direccin
de
multidifusin
de
carcter
temporal
(bit
a
"1").
La lista actualizada de direccin multicast asignadas est en este enlace
El campo Scope (= mbito de aplicacin) se utiliza para limitar el alcance de una
direccin de multidifusin. En funcin del valor asignado el mbito puede ser de
interfaz local, de enlace local, de sitio local, global...
1 = nodo local
2 = link local
5 = site local
14 = global (Internet)
Por ltimo, el campo "Identificador de grupo" sirve para delimitar el grupo
objetivo de los paquetes multicast enviados.
1 = all nodes (Scope = 1 2). Con un valor de Scope = 2 nos permitira enviar un
mensaje a todos los nodos del enlace local.
2 = all routers (Scope = 1, 2 5)
Con todo lo dicho, podramos utilizar, por ejemplo, la direccin FF02::1. Esta es la
direccin "Link Local All Nodes", con la cual podramos enviar un paquete a todos los
nodos del enlace local. Esta direccin es la equivalente a la 255.255.255.255 de IPv4.
Otra direccin multicast que suele aparecer es la FF02::2, que es la direccin "Link
Local All Routers" y que nos permite comunicarnos con todos los routers que se
encuentran en el enlace local. Esto se usa, por ejemplo, cuando un nodo necesita
encontrar un router (mensajes "Router Solicitation" de ICMPv6) que le pueda informar
de cul es la configuracin de red que debe tomar.
Direccin multicast de "nodo solicitado" (Solicited-Node)

Es sta una direccin que todos los nodos tienen que agregar para cada una de sus
direcciones unicast y anycast. Se usa en Neighbor Discovery y se describe en la RFC
4291.
En IPv4, las peticiones ARP se utilizan para encontrar la MAC del nodo con el que
nos queremos comunicar, a partir de la direccin IP del mismo. La bsqueda se hace
Pag: 31
mediante mensajes de broadcast, que son examinados por todas las hosts del enlace.
Esto genera mucho trfico y es una de las cuestiones que se hecha en cara a IPv4.
En IPv6, la resolucin de la direccin MAC de una interfaz se realiza mediante el
envo de un mensaje Neighbor Solicitation a la direccin multicast de "nodo solicitado".
De este modo, slo el nodo que tiene en propiedad esa direccin de multidifusin
examinar el paquete.
Esta direccin se forma tomando los 24 bits menos significativos de una direccin
IPv6 (la ltima parte del host ID) y aadiendo estos bits al prefijo Well-known
FF02:0:0:0:0:1:FF00:: / 104. Por lo tanto, el rango para direcciones multicast de nodo
solicitado va de FF02:0:0:0:0:1:FF00:0000 a FF02:0:0:0:0:1:FFFF:FFFF.
Por ejemplo, si un host tiene la direccin MAC 00-18-F8-29-F1-D7 y la direccin
IPv6 FE80::218:F8FF:FE29:F1D7, su direccin multicast de nodo solicitado ser
FF02::1:FF29:F1D7.
Si este host tiene otras direcciones IPv6 unicast o anycast, cada una podra tener
asociada su propia direccin multicast de nodo solicitado.
Asignacin dinmica de direcciones Multicast

La RFC 3306 extiende la arquitectura de la direccin multicast para hacer posible la
propagacin de los prefijos unicast por medio de dichas direcciones.
Se basa en un formato modificado la direccin multicast que contiene informacin
de prefijo.
El objetivo de esta especificacin es reducir el nmero de protocolos necesarios para
la asignacin de direcciones multicast
El nuevo formato es el indicado a continuacin:
En la especificacin original, se utiliza el flag "T" para especificar si la direccin de

multidifusin es Well-known o temporal
En el formato extendido el flag "P" indica si la direccin muticast contiene un
prefijo (P = 1) o no (P = 0). En caso de que P = 1, el flag T tambin se pondr a 1,
indicando que se trata de una direccin multidifusin temporal y no de una direccin
Well-known.
Pag: 32
El campo de Scope tiene la misma funcin que en el caso anterior y el campo

Reservado vale 0 cuando P = 1.
Los siguientes 8 bits (PLen) especifican la longitud del prefijo en el campo de
prefijo.Si la longitud de prefijo es menor de 64 bits, los bits no utilizados en dicho
campo se pondrn a 0.
2.2.8. Direcciones de cada nodo
Aunque ya se coment en la introduccin al tema, es el momento de repasar las
distintas direcciones que nos podemos encontrar tanto en los hosts como en los routers.
Respecto a los hosts, podemos tener las siguientes:
Su direccin de enlace local para para cada interfaz.
Todas las direcciones unicast y anycast asignadas.
La direccin de loopback.
La direccin multicast de todos los nodos (all-nodes).
La direccin multicast Solicited-node para cada una de sus direcciones
unicast y anycast.
Las direcciones multicast de todos los grupos a los que pertenezca el host.
En cuanto a los routers, tienen que reconocer todas las direcciones anteriores, y las
siguientes:
La direccin de anycast de subred-router para las interfaces para las que est
configurado para actuar como un router en cada enlace.
Todas las direcciones anycast con las que el router ha sido configurado.
La direccin multicast de todos los routers.
Las direcciones multicast de todos los dems grupos a los que pertenece el
router.
2.2.9. Seleccin de direcciones por defecto
Como venimos comentando, la arquitectura de IPv6 permite asignar varias
direcciones de distinto tipo a una interfaz.
Cada vez ms, ser frecuente que los hosts soporten tanto IPv4 como IPv6.
Por todo ello, en las comunicaciones entre equipos de doble pila habr que decidir
entre utilizar IPv4 o IPv6 e incluso, cul de las direcciones IPv6 ser la elegida.
Pag: 33
Supongamos una situacin en la que un cliente enva una peticin DNS para un
servicio externo y recibe una direccin IPv6 global y una direccin IPv4 pblica como
respuesta. Si este cliente tiene una direccin IPv4 privada y una direccin IPv6 global,
puede tener sentido utilizar IPv6 para acceder a este servicio externo. Pero si el cliente
tiene una direccin IPv6 de enlace local y una direccin IPv4 pblica, elegir la
direccin IPv4 para la conexin al servicio.
Estos son las situaciones y decisiones que tendrn que ser manejadas en un
escenario de redes mixtas con redes slo-IPv4, redes slo-IPv6 y redes con doble pila.
La forma en que se trata depende de la programacin de la aplicacin que estn
usando el protocolo.
Los desarrolladores tienen que ser conscientes de ello y tratar de establecer
mecanismos para que sus aplicaciones se comportan de manera ptima en todos los
ambientes posibles.
La RFC 3484 "Default Address Selection for IPv6", define dos algoritmos generales,
uno para la seleccin de la direccin de origen y el otra para la seleccin de la direccin
de destino. Esta RFC debe ser soportada por todos los nodos IPv6, es decir, tanto por
host como por routers.
Los algoritmos especifican el comportamiento por defecto para los nodos IPv6, pero
no anulan las decisiones tomadas por las aplicaciones o protocolos de la capa superior.
Antes de enumerar las principales reglas hay que saber que las direcciones asociadas
a las interfaces tienen un tiempo de vida que indica hasta cundo est dicha direccin
asociada a la interface. Mientras ese tiempo no haya expirado, la direccin se considera
"preferida". Una vez agotado el tiempo, y hasta que se libera totalmente la direccin, se
la considera "obsoleta" (deprecated) y se puede seguir utilizando, aunque no se
recomienda.
He aqu un resumen de las reglas ms importantes:
Son preferibles pares de direcciones del mismo mbito o tipo (link-local,
global).
Es preferible un mbito pequeo para la direccin de destino(utilizar el
mbito ms pequeo posible).
Es preferible una direccin preferida a una obsoleta.
Las direcciones de transicin (por ejemplo, direcciones ISATAP o 6to4) no
se utilizan si hay direcciones IPv6 nativas disponibles.
Si todos los criterios son similares, son preferibles los pares de direcciones
con el prefijo comn ms largo.
Pag: 34
Para la direccin de origen, se prefiere un direccin global a una direccin

temporal.
En situaciones de Mobile IP, se prefieren las direcciones home antes que
las care-of.
Las normas de la RFC 3484 se aplicarn cuando no haya otros criterios especficos.
La especificacin tambin permite la configuracin de una poltica que puede
reemplazar estos valores por defecto con combinaciones preferidas de direcciones de
origen y de destino.
Pag: 35
2.3.
Instalacin y tipos de configuracin de IPv6
La instalacin de IPv6 establece una configuracin bsica en los adaptadores de red

de nuestro sistema operativo.
Para comprender mejor la instalacin y configuracin de IPv6 vamos a analizarlo en
dos apartados:
Instalacin y configuracin bsica de IPv6.
Configuracin avanzada de IPv6.
Estudiemos cada caso:
2.3.1. Instalacin y configuracin bsica de IPv6:
La configuracin de los interfaces de red es completamente automtica. Aunque por
supuesto pueden existir, no es necesario ningn elemento externo como puede ser un
router, un servidor de direcciones o una configuracin manual por parte del usuario. En
principio el adaptador de red intenta descubrir en la red alguien que pueda
suministrarle una direccin. Aunque nadie responda, la direccin local de enlace se
construye utilizando un algoritmo. Al igual que ocurra en IPv4 con las direcciones del
tipo. 169.254.X.X. En aquel caso, si la interfaz estaba configurada para obtener una IP
automaticamente pero no exista ningn servidor DHCP la interfaz obtena una IP del
tipo 169.254.X.X. En IPv6 la direccin inicial configurada empezar siempre por
FE80::
Para entender mejor los conceptos tericos vamos a realizar la instalacin y
configuracin bsica de IPv6 utilizando los sistemas operativos ms comunes (UbuntuLinux, Windows XP, y Windows 7).
Veamos como se realiza la instalacin en cada sistema operativo y analizemos la
configuracin bsica resultante con un ejemplo:
Instalacin y configuracin bsica de IPv6 en Ubuntu-Linux (9.10)
Instalacin y configuracin bsica de IPv6 en Windows XP (SP3)
Instalacin y configuracin bsica de IPv6 en Windows 7
En general la configuracin en otros sistemas operativos como Solaris o en otras
distribuciones de linux como Suse o Debian, es muy parecida.
2.3.1.1. Instalacin y configuracin bsica de IPv6 en Ubuntu-Linux:
Aunque lo ms normal en una red es poseer un servidor de direcciones o router, para

comenzar no contemplaremos ningn elemento externo, por tanto la configuracin
inicial de las direcciones ser automtica (stateless) sin router ni sernvidor, y ms
Pag: 36
adelante contemplaremos la instalacin de elementos que posibiliten los distintos tipos

de configuracin, por ejemplo "stateful" (DHCPv6).
Tal y como veremos la direccin link-local en la configuracin stateless sin router se
obtiene aplicando un algoritmo a la direccin fsica o MAC de cada interface.
En Ubuntu-Linux IPv6 est integrado y activo por defecto en el sistema operativo.
Por tanto sin hacer nada, si desde la terminal de comandos, ejecutamos el comando
ip addr show . El comando ip sustituye entre otros comandos a ifconfig que ha quedado
obsoleto. Veamos la respuesta que obtenemos en ambos casos:
En ausencia de un router, observamos que se instalan 2 interfaces.

Interfaz Local Loopback o lo: Es la direccin local, ::1 , similar a 127.0.0.1 en IPv4.
Interfaz eth0 : fe80::213:d4ff:fe27:4680 Direccin Link-Local preferida. Es la
direccin preferida en nuestro caso. Se obtiene usando el prefijo fe80 (predeterminado
Pag: 37
para direcciones locales de enlace), y a continuacin, se aplica un algoritmo

(especificado en RFC 4291) a la direccin MAC 00:13:D4:27:46:80 de nuestro
adaptador. Veamos el algoritmo aplicado en nuestro caso de forma grfica:
Como sabemos de la teora, el algoritmo consiste en introducir FFFE entre el tercer

y cuarto byte y complementar el bit universal.
Una vez analizados los interfaces instalados automaticamente para determinar el
correcto funcionamiento podemos utilizar el comando ping6 a las siguientes
direcciones.
ping6 ::1
ping6 al link-local
Pag: 38
En el segundo caso, cuando se trata de hacer ping utilizando IPv6 a direcciones

locales de enlace, es necesario utilizar la opcin -I para especificar el interface a utilizar.
Los resultados obtenidos son satisfactorios.
2.3.1.2. Instalacin y configuracin bsica de IPv6 en Windows XP:
Antes de nada al contrario de lo que sucede en las ltimas versiones de UbuntuLinux o en Windows 7, en Windows XP el protocolo IPv6 no es nativo y primero
deberemos instalarlo.
Instalacin de ipv6 en Windows XP, SP3:
Para la instalacin se ha venido utilizado el comando "ipv6.exe" desde la consola de
comandos.
Para desinstalar:
Sin embargo, desde hace unos aos y para el uso y configuracin del entorno y
conexiones de red Microsoft aconseja el uso del comando "netsh" dentro de la consola
de comandos.
Pag: 39
Cada opcin de ipv6 es sustituida por otra en netsh, profundizaremos en el uso de

netsh ms adelante.
Por tanto, para realizar la instalacin en lugar de ipv6.exe install, se recomienda:
La instalacin tambin puede hacerse utilizando el modo grfico.

Inicio--> Mis sitios de red --> Ver conexiones de red--> Configuracin de area local
-->Botn derecho --> Propiedades
Pulsamos Instalar
Pag: 40
Marcamos TCP/IP versin 6 y pulsamos aceptar.

Cada vez que instalamos y desinstalamos en XP conviene reiniciar el ordenador.
Una vez concluida la instalacin, para obtener la informacin, podemos usar:
ipconfig
Pag: 41
o ipconfig /all
Pag: 42
o podemos usar el entorno netsh y sus comandos, por ejemplo, para ver la
informacin IPv4:
La direccin IPv4 y la puerta de enlace han sido establecidas manualmente.

En el caso de IPv6 que estamos analizando:
En nuestro caso observamos que se instalan 4 interfaces:

Interfaz 1 o Loopback: Es la direccin local, ::1 , similar a 127.0.0.1 en IPv4.
La interfaz 2 y 4 corresponden a mecanismos de transicin que estn siendo
adaptados y en algunos casos quedan obsoletos y su implementacin depende del
creador de cada sistema operativo, en el caso de Microsoft para XP se usa la
tunelizacin automtica y Teredo. Se instalan para permitir el uso de IPv4 e IPv6 en la
misma red.
Interfaz 2 de Tunelizacin automtica: fe80::5efe:192.168.0.13 utilizada para
garantizar la compatibilidad de IPv4 e IPv6. Se compone de un prefijo fe80
Pag: 43
(especificado para direcciones locales de enlace) . 00005efe determina (corresponde al

protocolo ISATAP) que a continuacin se utilizar una IPv4 privada.
Interfaz 4 Tunel Teredo: fe80::ffff:ffff:fffd es utilizado como mecanismo de
transicin entre IPv4 e IPv6 cuando se utiliza NAT.
Interfaz 5 : fe80::205:1cff:fe13:a63c Direccin Link-Local preferida. Es la direccin
preferida en nuestro caso. Se obtiene usando el prefijo fe80 (predeterminado para
direcciones locales de enlace), y a continuacin, se aplica un algoritmo (especificado en
RFC 4291) a la direccin MAC de nuestro adaptador. Veamos el algoritmo aplicado en
nuestro caso de forma grfica:
Como hemos podido observar al hacer ipconfig /all la direccin MAC de nuestro
adaptador es:
00-05-1C-13-A6-3C. A continuacin detallamos de forma grfica el algoritmo
utilizado:
Como sabemos de la teora, el algoritmo consiste en introducir FFFE entre el tercer

y cuarto byte y complementar el bit universal.
Una vez entendida la instalacin de IPv6 y su resultado en XP para determinar el
correcto funcionamiento podemos utilizar el comando ping a las siguientes direcciones.
ping ::1
ping al link-local
Pag: 44
o ping6 ::1
Para terminar tambin podramos hacer ping6 a la direccin local configurada con el
siguiente formatu:
ping6 direccinipv6local%interfaceautilizar
en nuestro caso escribiramos en la interfaz de comandos:
ping6 fe80::205:1cff:fe13:a63c%5
La interfaz responder satisfactoriamente.
De esta forma tan sencilla, hemos incorporado IPv6 a nuestra red local usando
Windows XP.
2.3.1.3. Instalacin y configuracin bsica de IPv6 en Windows 7 :
En Windows 7 ipv6 est integrado y activo por defecto en el sistema operativo.

Microsoft desaconseja desactivar ipv6 pues esto podra acarrear el mal funcionamiento
de algunas aplicaciones.
Por tanto sin hacer nada, si desde la interfaz de comandos, ejecutamos ipconfig
observaremos la configuracin existente:
Pag: 45
o ipconfig /all
Utilizando netsh podemos ver los interfaces ipv6 instalados por defecto:
Pag: 46
En nuestro caso observamos que se instalan 4 interfaces:

Interfaz 1 o Loopback: Es la direccin local, ::1 , similar a 127.0.0.1 en IPv4.
La interfaz 12 y 13 corresponden a mecanismos de transicin que estn siendo
adaptados y en algunos casos quedan obsoletos y su implementacin depende del
creador de cada sistema operativo, en el caso de Microsoft para Windows 7 se usan
Isatap y Teredo. Se instalan para permitir el uso de IPv4 e IPv6 en la misma red.
Interfaz 12 de Tunelizacin automtica: fe80::5efe:192.168.0.15 utilizada para
garantizar la compatibilidad de IPv4 e IPv6. Se compone de un prefijo fe80
(especificado para direcciones locales de enlace) . 00005efe determina (corresponde al
protocolo ISATAP) que a continuacin se utilizar una IPv4 privada.
Interfaz 13 Tunel Teredo: fe80::100:7f:fffe es utilizado como mecanismo de
transicin entre IPv4 e IPv6. Esta ACTIVO y conectado a internet puede obtener una
direccin global del tipo 2001::/32
Interfaz 11 : Conexin de rea local: fe80::e8e0:544c:1875:1c4 Direccin LinkLocal preferida. Es la direccin preferida construida por Windows 7 en nuestro caso.
Una de las controversias en Windows Vista, Server 2008 y Windows 7 es la
utilizacin del algoritmo de creacin de direcciones elegido por Microsoft. Como
vimos anteriormente en Windows XP el algortimo utilizado dependa de la direccin
MAC del adaptador de red. La creacin de dicha direccin IPv6 viene determinada en
los RFC 2373 y RFC 2464. Posteriormente, para garantizar la privacidad del usuario se
defini RFC 4941. Windows 7 por defecto NO utiliza EUI-64 para formar la
direccin. Microsoft se ha desmarcado y por defecto utiliza un algoritmo aleatorio para
la creacin de direcciones. Por supuesto, Microsoft permite activar o desactivar el uso
de dicho algoritmo especial mediante los siguientes comandos:
Pag: 47
netsh interface ipv6 set global randomizeidentifiers=disabled

netsh interface ipv6 set global randomizeidentifiers=enabled
Una vez entendida la instalacin de IPv6 y su resultado en W7 para determinar el
En Windows 7 el comando ping viene preparado para usarse con IPv6. Si
analizamos la ayuda del comando ping mediante ping /? incluso podemos forzar el uso
de IPv6 con la opcin -6
ping ::1
ping al link-local
Como hemos visto en Windows XP, podemos hacer ping a la direccin local de
enlace, indicando el nmero de interface tras el smbolo %
2.3.2. Configuracin avanzada de IPv6:

La configuracin avanzada requiere de un elemento configurador ( router y/o
servidor ) de direcciones o de la intervencin manual del usuario en la configuracin.
Ser analizada con mayor profundidad ms adelante. Bsicamente puede analizarse
estudiando tres tcnicas que resumimos a continuacin:
Pag: 48
2.3.2.1. Configuracin Stateless con router:
El PC IPv6 construye su direccin IPv6 basndose en el paquete Router

Advertisement que enva el router IPv6 conectado al mismo segmento de red donde
est conectado el PC. Por ejemplo el router puede estar configurado para establecer un
prefijo a las direcciones IPv6.
2.3.2.2. Configuracin automtica DHCPv6:
Con DHCPv6 un PC IPv6 puede recibir una direccin IPv6 adems de otros
parmetros de configuracin. Esta opcin puede establecerse utilizando un servidor o un
router que pueda ejercer de tal. Un uso comn de DHCPv6 para PCs es recibir y
configurar automticamente la direccin IPv6 de los servidores DNS, los cuales no se
reciben a travs del paquete Router Advertisement que envan los routers IPv6 de la
red. El paquete Router Advertisement que recibe un PC durante la fase del
descubrimiento de routers contiene un campo que indica si se va a utilizar tambin
DHCPv6 para configurar la direccin IPv6.
2.3.2.3. Configuracin manual de la direccin:
Un PC IPv6 tpico no necesita configurar manualmente su direccin IPv6. Este

mtodo est orientado a servidores y/o routers IPv6. Sin embargo en caso necesario, la
configuracin manual es muy sencilla y como es habitual en los sistemas operativos
puede hacerse de forma grfica o mediante la interfaz de comandos.
Pag: 49
2.4.
Ordenes bsicas en GNU/Linux y Windows
El desarrollo del protocolo IPv6 requiere la adecuacin de los comandos que

utilizamos para la configuracin y gestin de nuestras redes TCP/IP. Los comandos
ping o traceroute han sido adecuados no sabemos si temporal o definitivamente para el
uso de IPv6, pudiendo usar adems de ping, ping6 o traceroute6 como alternativa de
traceroute, indicando en ambos casos que las direcciones utilizadas pertenecen a IPv6.
Adems, el aumento de posibilidades a la hora de ver, administrar, modificar y
diagnosticar nuestras redes han requerido la administracin ms centralizada de dichas
posibilidades. Durante mucho tiempo hemos venido utilizando comandos, como
ifconfig (en Linux) o ipconfig (en Windows). Aunque en la mayora de distribuciones y
versiones dichos comandos siguen siendo vlidos, poco a poco muchas de las funciones
estn siendo incorporadas dentro del comando ip (en Linux) o de netsh (en windows).
Tanto ip como netsh permiten una administracin ms centralizada de las diferentes
opciones en la configuracin de nuestras redes. Aunque el estudio de las diferentes
posibilidades de dichos comandos debe analizarse en un contexto ms amplio, en est
seccin vamos a analizar algunas de sus opciones bsicas, siempre dentro del contexto
de direccionamiento IPv6 que estamos estudiando. La adecuacin al nuevo
direccionamiento IPv6 puede valernos para de paso, sustituir el uso de los anteriores
comandos por las nuevas opciones.
Vamos a analizar algunas de dichas opciones tanto en Ubuntu-Linux como en
Windows:
Ordenes bsicas en Ubuntu-Linux
Ordenes bsicas en Windows
Para un estudio ms profundo de iproute2 o netsh es necesario acudir a las diferentes
manuales de ayuda
2.4.1. Ordenes bsicas en Ubuntu-Linux
Para el uso de IPv6 en Linux algunos comandos han sido adecuados. Veamos:
ping6: Para el controlar el estado de la conexin de dispositivos IPv6 se utiliza el
comando ping6 que sustituye al comando ping utilizado para IPv4. Ping6 contiene las
siguientes opciones:
Pag: 50
traceroute6:
Es
la
versin
IPv6
para
traceroute.
Su
sintaxis
es:
Nuevas utilidades dentro de iproute2:

El paquete utilizado en Ubuntu-Linux para el control de TCP y UDP en redes IP se
llama iproute o iproute2. Muchos manuales de configuracin de redes todava se
refieren a comandos incluidos anteriormente en las denominadas net-tools de Unix,
como ifconfig y route y aunque hoy en da dichos comandos funcionan en la mayora de
distribuciones su uso est siendo sustituido por nuevos comandos.
iproute2 es un paquete de utilidades desarrollado por Alexey Kuznetsov. Viene
incorporado en las versiones de ncleo posteriores a la 2.2. Contiene un conjunto de
herramientas muy potentes para administrar interfaces de red y conexiones en sistemas
Linux.
iproute2 contiene principalmente dos nuevos comandos:
ip : Controla la configuracin de IPv4 e IPv6.
tc (traffic control): Controla el trfico.
Comando ip:
Algunos ejemplos de las nuevas opciones son:
DESCRIPCIN
COMANDO
ANTERIOR
NUEVO
COMANDO
Configuracin de direcciones y
enlaces
ifconfig
ip addr
Tablas de rutas
route
ip route
Vecinos o Neighbors
arp
ip neigh
Tuneles
iptunnel
ip tunnel
Multicast
ipmaddr
ip maddr
ip link
Observamos que iproute2 unifica la sintaxis de los comandos. La nueva sintaxis es

ms simple y ms consistente.
Pag: 51
Para facilitar el uso, los comandos pueden tambin ejecutarse sin introducir un
espacio a continuacin del comando ip, es decir:
# iproute (lo que sea) En lugar de :
# ip route (lo que sea)
En definitiva, la sintaxis del comando ip sera:
ip [ OPCIONES ] OBJETO [ COMANDO [ ARGUMENTOS ]]
Graficamente:
Donde cada objeto viene definido como:

Objeto
link
Descripcin
Maneja toda la informacin asociada con la interfaz: si est
levantado o cado, direcciones MAC locales, soporte de
multicast, si est en modo promiscuo o no, MTU, nombre de
las interfaces, etc
addr
Maneja la asignacin de direcciones IP a las interfaces.
route
Maneja las tablas de rutas del sistema
rule
Permite las definicin de reglas en tablas para su uso por el

sistema de rutado.
neigh
Maneja las tablas ARP del sistema
tunnel
Maneja la creacin de tneles entre sistemas
maddr
Maneja las direcciones multicast
mroute
Maneja el cach de rutado multicast del sistema
monitor y rtmon
Monitorizar diversos objetos del sistema
Pag: 52
Veamos algunos EJEMPLOS aplicables a IPv4 o IPv6:

DESCRIPCIN
Para ver la informacin sobre los

interfaces y direcciones IP
COMANDO
ANTERIOR
ifconfig a
NUEVO
COMANDO
ip link show
ip addr show
Ver la tablas de rutas
route o netstat -nr
ip route show
Ver la tabla arp
arp na
ip neigh ls
ifconfig eth0 up
ip link set dev

eth0 up
Activar dispositivos de red
Comando tc:
El comando tc (traffic control) forma parte del nucleo o kernel y se utiliza para
controlar el trfico. Al formar parte del ncleo no es solamente un analizador de
puertos. Permite un control total.
Permite definir diferentes objetos y su sintaxis es bastante compleja. Por ejemplo
podramos querer gestionar el ancho de banda de un acceso corporativo. Para ello
definiramos clases dentro de un objeto ( por ejemplo anchos de banda de 1 Mbps,
256Kbps y 24Kbps ) y luego aplicaramos filtros de uso. El objeto de estos apuntes es
introducir el uso del comando tc en el entorno de direccionamiento IPv6 y no
profundizar en su uso, por tanto, ahora simplemente indicaremos su sintaxis y algn
ejemplo. Si se tiene interes en un estudio ms completo existe documentacin y
ejemplos en internet. Por ejemplo en Traffic Control HOW To de Martn A. Brown.
http://tldp.org/HOWTO/html_single/Traffic-Control-HOWTO/
Debido a la complejidad de su sintaxis, existe un comando denominado tcng (traffic

control next generation) que incorpora toda la potencialidad de tc pero con una sintaxis
ms sencilla.
En definitiva, la sintaxis del comando tc sera:
tc [ OPCIONES ] OBJETO { COMANDO | AYUDA }
Graficamente:
Pag: 53
Donde cada objeto viene definido como:

Objeto
Descripcin
qdisc
Queueing discipine, generalmente define una especie de

caja negra que es capaz de encolar y desencolar paquetes.
class
Slo existe dentro de qdisc, y se utiliza para determinar

sus caractersticas, (HTB, CBQ)
filter
Es el elemento ms complejo del control de trfico, su uso

ms habitual es clasificar los paquetes.
action
Permite definir diferentes acciones.
monitor
Permite monitorizar el trfico.
Veamos algunos EJEMPLOS:

DESCRIPCIN
COMANDO
Para listar las reglas

existentes
tc -s qdisc ls dev eth0
Agregarle 20ms de espera al

dispositivo de retorno (para
hacer pruebas)
tc qdisc add dev lo root handle 1:0 netem delay

20msec
Quitar la espera agregada

antes.
tc qdisc del dev lo root
Para borrar todas las reglas
tc qdisc del dev eth1 root
Podramos comprobar el retardo haciendo ping6 a la interfaz antes y despus de la

aplicacin de la regla de trfico.
Veamos un segundo ejemplo ms completo para la gestin del ancho de banda:
Obviamente esto es vlido para direcciones IPv4 e IPv6. En el caso de IPv6 en el
paso 4 podramos utilizar iptables6 en lugar de iptables.
Pag: 54
DESCRIPCIN
COMANDO
# /sbin/tc qdisc del dev eth1 root
(Borramos todas la reglas para eth1)

#/sbin/tc qdisc add dev eth1 root handle 1:0 htb
default 10
(Defininimos la disciplina)
Vamos a crear una regla

para el control del trfico de
salida HTTP para la interfaz
eth1. Permitimos un ancho de
banda de 512Kbytes y un
mximo de 640Kbytes para el
puerto 80
# /sbin/tc class add dev eth1 parent 1:0 classid 1:10

htb rate 512kbps ceil 640kbps prio 0
(Definimos caractersticas de la clase)
# /sbin/iptables -A OUTPUT -t mangle -p tcp --sport

80 -j MARK --set-mark 10
(Asignamos el puerto a la clase)
# /sbin/service iptables save
(guardamos iptables)
# tc filter add dev eth1 parent 1:0 prio 0 protocol ip

handle 10 fw flowid 1:10
(Asignamos el filtro al qdisc)
2.4.2. Ordenes bsicas en Windows

Aunque en Windows prevalezca la configuracin desde el entorno grfico (En
Windows 7 las opciones de IPv6 pueden configurarse graficamente), vamos a analizar
algunas ordenes bsicas en windows
Los comandos en windows para IPv6 varan en funcin de la versin de Windows
que usemos.
ping: Para IPv6 en Windows XP se utiliza el comando ping6. Sin embargo, en
posteriores versiones de Windows, por ejemplo en Windows 7 el comando ping
incorpora opciones para IPv4 o IPv6. Veamos un ejemplo:
Pag: 55
Observamos como existe una opcin -6 para forzar el uso de IPv6.

Tracert: Ocurre lo mismo. Windows XP incorpora tracert6 mientras que Windows
7 incluye las opciones para IPv6 dentro del mismo comando. Veamos la ayuda en
Windows 7:
Adems, para Windows XP mucha de la documentacin existente se refiere al uso

del comando IPv6 definido en el ejecutable IPv6.exe. Por ejemplo para instalar IPv6 en
XP:
Ipv6.exe install
Sin embargo, para facilitar la administracin y gestin de redes, al igual que ocurre
con el comando ip en Linux, Microsoft ha desarrollado un entorno para la configuracin
de redes englobado dentro del comando netsh (net shell o entorno para redes). Netsh
engloba caractersticas tanto para IPv4 como para IPv6. Sin embargo, al profundizar en
Pag: 56
el estudio de IPv6 podemos de paso aprovechar para generalizar el uso de netsh en lugar
de los comandos ms utilizados hasta ahora como pueden ser ipconfig, route o netstat.
Veamos ms en detalle el uso de netsh:
Netsh:
Netsh es una utilidad de lnea de comandos que nos ofrece varias opciones para la
configuracin de una red.
Entre las principales opciones que se pueden realizar, estn la posibilidad de ver,
modificar, administrar y diagnosticar la configuracin de una red.
En la lnea de comandos podemos escribir los comandos netsh completos o podemos
entrar en el entorno de netsh, y el prompt cambiar a:
C:\>netsh
netsh>
Escribiendo, por ejemplo: interface obtenemos netsh interface> y as con todas las
opciones, podemos usar .. para subir de nivel.
Para obtener ayuda sobre el comando:
C:\>netsh /?
O estando dentro de netsh:
netsh>?
netsh>exit
Para salir.
Algunos Ejemplos
DESCRIPCIN
COMANDO
Guardar la configuracin actual de

una red
netsh dump > C:\MiRed.cmp
Rescatar una configuracin guardada
netsh exec C:\MiRed.cmp
Activar Firewall en XP
netsh firewall set opmode enable
Desactivar Firewall en XP
netsh firewall set opmode disable
Instalar IPv6
netsh interface ipv6 install
Desinstalar IPv6
netsh interface ipv6 uninstall
Pag: 57
Restablecer configuraciones de IPv4
netsh interface ipv4 reset
Reinicia las interfaces IPv6
netsh interface ipv6 renew
Restablecer configuraciones de IPv6
netsh interface ipv6 reset
Mostrar las direcciones IPv6
netsh interface ipv6 show address
Agregar una direccin IPv6
netsh interface ipv6 add address

direccinIPv6
Observamos como a continuacin de netsh interface, somos nosotros los que

podemos determinar si lo que nos interesa es actuar sobre direcciones ipv4 o ipv6.
Las opciones de netsh son muchas. Veamos por ejemplo la ayuda que obtenemos en
Windows7:
Por ejemplo para la configuracin relativa a interfaces, escribimos: netsh interface o

netsh in en su formato abreviado.
Pag: 58
Y observamos las opciones que podramos ejecutar.

Veamos algunos para IPv6:
DESCRIPCIN
COMANDO
Muestra todas las interfaces IPv6 y

su estado
netsh in ipv6 show interface
Muestra las rutas definidas
netsh in ipv6 show routes
Muestra entradas en cache de

vecinos
netsh in ipv6 show neighbors
Muestra el estado del tunel Teredo
netsh in ipv6 show teredo
Muestra el estado de 6to4
netsh in ipv6 6to4 show state
Pag: 59
2.5.
Pruebas de conectividad en LAN (ping6)
Para completar el anlisis prctico de la configuracin stateless estudiada en la

teora vamos a analizar el comportamiento en una red de rea local o LAN sin
Router:
El esquema de la configuracin a analizar es el siguiente:
Como hemos visto anteriormente los sistemas operativos actuales mantienen la

configuracin IPv4 e IPv6. En caso de ausencia de un servidor o router la configuracin
IPv6 se realiza de forma automtica.
Conectamos los ordenadores en red utilizando un Switch IPv4 del fabricante DLink, es obvio indicar que podramos utilizar cualquier otro que dispongamos. Esto es
debido a que los sistemas operativos actuales mantienen una pila dual IPv4/IPv6, que
permite al sistema operativo el uso y la coordinacin de ambos tipos de direcciones.
Vamos a observar que ocurre si hacemos ping utilizando las direcciones IPv6 entre
todos los ordenadores.
Desde el Host con Windows XP a Windows 7:
Pag: 60
Parece que no puede hacer ping, pero este error no debe llevarnos a engao. La
configuracin es correcta. No responde al ping porque por defecto Windows 7 incorpora
un Firewall que por defecto no responde a los ping realizados desde otro Host, en este
caso el nuestro.
Vamos al Host con Windows 7 y desactivamos el firewall o agregamos una regla
que permite responder al ping. Probamos de nuevo:
Responde satisfactoriamente.
Desde el Host con Windows XP a Ubuntu-Linux:
Tambin responde satisfactoriamente.

Desde el Host con Ubuntu-Linux a Windows XP:
Pag: 61
La respuesta es satisfactoria.
Desde el Host con Ubuntu-Linux a Windows 7:
Sin problemas.
Desde el Host con Windows 7 a Windows XP:
En este caso utilizamos la opcin -6 que permite al comando ping (en Windows 7)
forzar el uso de IPv6.
Desde el Host con Windows 7 a Ubuntu-Linux:
Pag: 62
La configuracin automtica funciona correctamente. El control dual que ejercen los

sistemas operativos, permite el uso de ambos protocolos sobre una red local (LAN)
creada usando un switch IPv4. En nuestro caso el switch es un modelo D-Link DES3526, pero podra valer cualquier otro switch del que se disponga.
Un aspecto muy importante a tener en cuenta en IPv6 es que las direcciones locales
de enlace, es decir todas las que comienzan por FE80:: no son enrutables fuera de
nuestra red de rea local. Por ello, como veremos ms adelante, las tarjetas de red
pueden tener ms de una direccin.
En el caso de querer poder acceder a una interfaz concreta desde dentro y tambin
desde fuera de nuestra red local, deber configurarse una segunda direccin. Para ello
puede utilizarse un router y/o un servidor o puede aadirse una direccin manualmente
utilizando comandos del sistema operativo como veremos posteriormente.
Pag: 63
3. Configuracin avanzada.
Hasta aqu hemos tratado cuestiones generales sobre IPv6, tanto desde el punto de
visto del protocolo en si, como desde el punto de vista de distintos sistemas operativos.
A continuacin nos centraremos en aspectos ms avanzados de la configuracin de
IPv6. Empezaremos analizando el protocolo ICMPv6, que sustituye al ICMP de IPv4.
Este protocolo, que para los nos iniciados puede ser desconocido, proporciona una de
las herramientas ms populares en el mundo del networking: el comando ping.
Analizaremos cules son los mensajes que se intercambian los ordenadores al hacer uso
de ICMPv6 para pasar, a continuacin, a analizar las opciones de autoconfiguracin que
nos ofrece IPv6.
Dentro de la autoconfiguracin tenemos dos variantes, la llamada Stateless y la que
se basa en DHCPv6 (sustituto del DHCP de IPv4) que hasta septiembre de 2007
(momento en que apareci la RFC 4861) era denominada configuracin Stateful.
La autoconfiguracin es una caracterstica que, en breve, puede convertirse en una
de las ms importantes de IPv6, ya que permite que cualquier equipo disponga de una
direccin IPv6 con la que poder comunicarse con su entorno de red, y sin necesidad de
tener que hacer ningn tipo de configuracin manual. Si tenemos en cuenta las
predicciones, con televisores, frigorficos, consolas, mviles... con capacidad de
conexin, no cabe duda de que la autoconfiguracin de IPv6 va a facilitar bastante la
vida tanto a los usuarios como a los administradores de red.
3.1.
ICMPv6.
Todo el mundo conoce el comando ping y su uso para comprobar si hay

conectividad entre dos equipos. Lo que no suele resultar tan familiar es el protocolo que
est detrs del ping, esto es, el ICMP (Internet Control Message Protocol).
Dicho protocolo, ya en su versin de IPv4, proporciona informacin importante
sobre la salud de la red por medio de mensajes. La versin de ICMP utilizada en IPv6 se
llama, como no poda ser de otro modo, ICMPv6.
Aunque los dos protocolos tienen un nombre parecido y comparten su filosofa de
funcionamiento, hay que tener en cuenta que son incompatibles entre si debido a la
estructura de las datos empleados.
ICMPv6 es mucho ms potente que la versin anterior ya que se han integrado en el
mismo funcionalidades que se lograban en ICMPv4 usando otros protocolos. Por
ejemplo:
IGMP (Internet Group Management Protocol) para gestin de miembros de
los grupos multicast.
Pag: 64
ARP/RARP (Address Resolution Protocol / Reverse ARP) para mapear

direcciones MAC con direcciones IP y viceversa.
Tambin se ha aadido la funcin Neighbor Discovery, para descubrir las
direcciones de los host vecinos (conectados en el mismo enlace), routers, etc.
El nmero de mensajes disponibles es mayor en ICMPv6 que en ICMP (de ah
tambin la incompatibilidad).
El protocolo ICMPv6 est definido en la RFC 4443 y Neighbor Discovery lo est en
la RFC 4861.
A continuacin se analizar la estructura de los mensajes y el contenido de algunos
de los ms utilizados. Despus se analizarn las nuevas prestaciones ofrecidas por
ICMPv6, como el Neighbor Discovery, la Autoconfiguracin y otras.
3.1.1. Los mensajes
Una de las cosas que hace ICMPv6 es definir una serie de mensajes de error que
pueden ser utilizados por los nodos de la red para informar de situaciones en las que hay
problemas en la transmisin.
El mensaje lo emite el equipo que detecta el problema y es enviado al equipo origen
del paquete problemtico.
Por ejemplo, si un router no puede enviar un paquete porque es demasiado largo,
enviar un mensaje ICMP al host de origen indicndoselo. El host de origen interpretar
el mensaje ICMP para elegir un tamao ms adecuado y reenviar los datos.
Adems de esto, tambin hay mensajes definidos para valorar el estado de la red.
Aqu es donde aparecen los mensajes "Echo Request" y "Echo Reply", que son
utilizados por el famoso ping.
Por cierto, en ICMPv6 el nombre del comando ping tambin cambia en algunos
sistemas operativos, pasando a denominarse ping6. En otros casos seguiremos
utilizando el ping de siempre junto con un atributo que nos permite elegir el modo IPv6.
3.1.1.1. Formato de los mensajes
Al hablar de las cabeceras IPv6 y de las cabeceras de extensin se mencion el

campo Next Header. Las cabeceras ICMPv6 se identifican por un Next Header = 58.
Respecto a los mensajes de ICMPv6, hay dos tipos:
Mensajes de error.
Mensajes informativos.
El formato es el siguiente:
Pag: 65
El bit ms significativo del campo TIPO es el que determina el tipo del mensaje.
Los mensajes de error siempre empiezan por 0 y los informativos por 1. Por ello, los
mensajes de error tienen un tipo comprendido entre 0 y 127 y los informativos estn
entre 128 y 255.
El listado de los cdigos asociados a los mensajes se puede encontrar en esta
direcin de la IANA:
http://www.iana.org/assignments/icmpv6-parameters
El siguiente campo es el de CDIGO, que da informacin adicional acerca del
TIPO del mensaje. Este campo se utiliza siempre con mensajes de error. Entre los
mensajes informativos, el nico que lo utiliza es el 138 (Router Renumbering)
Por ejemplo, si TIPO = 1 = Destination Unreachable (Destino inalcanzable), el
CDIGO puede tomar, entre otros, estos valores:
0 No hay ruta hasta el destino.
1 Comunicacin con el destino prohibida por el administrador.
3 Direccin inalcanzable.
4 Puerto inalcanzable.
El campo CHECKSUM permite detectar errores en la transmisin de datos.
Por ltimo, el campo CUERPO. ste vara en funcin del tipo y cdigo del
mensaje. En caso de que se trate de un mensaje de error, el CUERPO contendr una
copia lo ms completa posible del paquete problemtico, que podr utilizarse en origen
para buscar una solucin al problema planteado.
Pag: 66
3.1.1.2. Mensajes de error
La cabecera de los mensajes ICMP sufre ligeras variaciones en funcin del tipo de
error o de la informacin que transporta. Estos cambios se localizan en el campo
CUERPO comentado en el punto anterior.
A continuacin se comentan algunos mensajes de error:
DESTINO INALCANZABLE (Destination Unreachable) TIPO = 1
Este mensaje es generado cuando no es posible entregar un datagrama IP.
El CDIGO indica el motivo por el que no se ha podido hacer la entrega.
Despus del checksum, se dejan 4 bytes a cero y a continuacin se copia el mensaje
original.
Si el destino es inalcanzable debido a congestin, no se generan mensajes ICMP.
PAQUETE DEMASIADO GRANDE (Packet To Big) TIPO = 2

El MTU = Maximum Transmission Unit es el tamao de paquete ms grande que
puede manejar un enlace.
En caso de que un router no pueda enviar un paquete porque es ms grande que el
MTU permitido, generar un mensaje Packet To Big que ser enviado a la direccin
fuente del paquete.
En este caso TIPO = 2 y CODIGO = 0.
En el CUERPO se utilizan los 4 primeros bytes para indicar el MTU vlido.
TIEMPO AGOTADO (Time Exceeded) TIPO = 3

Cuando un router enva un paquete, decrementa siempre su HOP LIMIT en 1. El
HOP LIMIT evita que un paquete pueda viajar indefinidamente a travs de la red. Si
un router recibe un paquete con hop limit = 1 y lo decrementa ponindolo a 0,
descartar el paquete y generar un mensaje de Time Exceeded que ser enviado al
host del origen.
En este caso, el campo CDIGO = 0. Ya en el CUERPO, los primeros 4 bytes
se mantienen a cero y despus se copia el mensaje original.
Este error puede ser indicativo de un bucle en el enrutado o de que el hop limit
establecido por el emisor es demasiado bajo.
Una aplicacin prctica:
Pag: 67
El CDIGO = 0 indica mensaje Hop limit exceeded in transit. Este mensaje se

utiliza en el comando Traceroute, que determina el camino o path que sigue un
paquete cuando viaja por la red.
Cmo lo hace? Se enva un primer paquete con hop limit = 1.
El primer router en el path decrementa el hop limit ponindolo a cero, descarta
el paquete y enva de vuelta un mensaje ICMP con TIPO = 3 y CDIGO = 0. El
host origen sabe ahora la direccin IP del primer router de salto.
A continuacin enva un segundo paquete con hop limit = 2. Este paquete es
reenviado por el primero router, que pone hop limit = 1. El segundo router
decrementa el hop limit ponindolo a cero, lo descarta y enva el
correspondiente mensaje ICMP con TIPO = 3 y CDIGO = 0. Ahora el host
origen tiene identificado al segundo router del path.
El proceso continua incrementando en uno el hop limit con cada paquete
enviado y termina cuando se alcanza el destino final.
En caso de que haya varios caminos hasta el destino, traceroute no tiene por
qu dar siempre los mismos resultados.
PROBLEMA CON PARAMETROS (Parameter Problem) TIPO = 4
Si un nodo IPv6 no puede completar el procesamiento de un paquete porque tiene
algun problema para identificar un campo en la cabecera IPv6 o en una cabecera de
Extensin, debe descartar el paquete y devolver el mensaje ICMP Parameter Problem
Este es el mensaje que se suele utilizar cuando el error que se produce no se ajusta a
ninguno de los anteriores.
En el CUERPO, los 4 primeros bytes actan como puntero, sealando el punto del
paquete donde se ha detectado la irregularidad. Tambin se enva de vuelta la mayor
porcin posible del paquete original.
3.1.1.3. Mensajes informativos
Los mensajes informativos definidos en la RFC 4443 son Solicitud de eco (Echo
Request) y Respuesta de eco (Echo Reply).
Tambin se usan mensajes ICMP informativos para implementar Path MTU
Discovery y Neighbor Discovery, pero stos estn definidos en otras RFCs
(concretamente en la 4861 y en la 1981).
Los mensajes de Solicitud y Respuesta de Eco son utilizados en una de las utilidades
TCP/IP ms populares: Packet Internet Groper (ping). Ping se usa para determinar si un
host est disponible en la red y est listo para comunicarse. El host de origen pone en
circulacin un mensaje Echo Request dirigido al destino.
Pag: 68
El host destino, si est disponible, responde con un mensaje Echo Reply.
MENSAJE DE SOLICITUD DE ECO (Echo Request message) TIPO = 128

El campo TIPO = 128 y el CDIGO = 0.
En el CUERPO, los dos primeros bytes se utilizan como Identificador y los dos
siguientes como Nmero de secuencia. A continuacin se insertan cero o ms bytes
arbitrarios para completar el paquete.
Estos dos campos se usan para emparejar las solicitudes con las respuestas. La
respuesta debe contener siempre los mismos nmeros que la solicitud.
El que se utilice un identificador y un nmero de secuencia y el tipo de datos
arbitrarios que se incluyen en la solicitud depende de la pila TCP/IP que se est
utilizando.
3.1.1.4. Captura de mensajes
Algunos de los puntos vistos hasta aqu se pueden ver con una simple captura de
paquetes en un sniffer.
En la imagen se muestran la captura mediante Wireshark de un ping6 lanzado desde
un portatil (con sistema operativo GNU/Linux UBUNTU) a un conmutador IPv6 al que
est conectado.
Como se puede ver en la consola de la parte derecha, el comando ejecutado es:
ping6 -I eth0 -c 1 FE80::221:91FF:FEAA:BE00
Pag: 69
El -I (es una i latina mayscula) es para indicar el nombre de la interfaz

que se utilizar en el ping.
El -c es para indicar el nmero de pings que se deben realizar. En este
caso, con uno es suficiente.
FE80::221:91FF:FEAA:BE00 es la direccin del equipo cuya conectividad
se quiere probar
Como se puede ver en la cabecera IPv6, Next Header = 0x3a = 58, que es el valor
indicado anteriormente como asignado a ICMPv6.
Tambin se pueden ver las direcciones de origen y destino, que son ambas del tipo
de enlace local, porque empiezan por 0xFE80.
Si nos fijamos ya en la cabecera ICMPv6, el primer campo indica Type = 128, que
es el cdigo del mensaje Echo Request.
El ID (= Identificador) es 0x2c20 y el nmero de secuencia es 0x0001
Despus van los 54 bytes de datos arbitrarios. Con solo mirar el campo de los datos
arbitrarios podemos saber si el equipo que ha hecho ping es Windows o no, ya que estos
equipos utilizan como datos el alfabeto entre las letras a y w.
Ya en la respuesta, vemos que en la cabecera IPv6 se mantiene el campo Next

Header con el 0x3a = 58 de ICMPv6 y que las direcciones de origen y destino se han
intercambiado.
Pag: 70
En la cabecera ICMPv6, el Type = 129 indica que es la respuesta de eco (Echo

Reply).
Los campos ID, Secuence y Data son una copia de los enviados en la Solicitud de
Eco.
3.1.2. Neighbor Discovery

El Neighbor Discovery o Descubrimiento de Vecinos est definido en la RFC 4861
Neighbor Discovery for IP version 6 (IPv6) (antes RFC 2461). El Neighbor
Discovery Protocol (NDP) se usa tanto en hosts como en routers.
Algunos de los usos del NDP son los siguientes:
Neighbor Discovery (ND) = el descubrimiento de vecinos propiamente dicho.
Autoconfiguracin de direcciones IPv6.
Determinacin de prefijos de red (se acab el tener que configurar a mano las
mscaras de subred), rutas...
Deteccin de IPs duplicadas (DAD = Duplicate Address Detection).
Bsqueda de las MACs de los vecinos y deteccin de cambios en las mismas.
Pag: 71
Router Discovery (RD) = Bsqueda de routers vecinos que puedan darnos

servicio.
Llevar el control de qu vecinos estn disponibles y cules no lo estn (NUD =
Neigbor Unreachability Detection).
El protocolo ND consta de 5 mensajes ICMP que sern tratados en las siguientes
secciones:
Router Solicitation.
Router Advertisement.
Neighbor Solicitation.
Neighbor Advertisement.
ICMP Redirect.
3.1.2.1. Router Solicitation y Router Advertisement
Estos son los mensajes de "Solicitud de Router" y de "Anuncio de Router". Veamos

cundo se utilizan.
Los routers envan regularmente mensajes del tipo "Router Advertisement" para
anunciar su presencia.
A su vez, los hosts pueden solicitar mensajes de Router Advertisement poniendo en
circulacin mensajes de Router Solicitation, que hacen que el router que lo recibe
responda inmediatamente con un Router Advertisement, aunque no le tocara enviarlo
todava.
En la cabecera IP del mensaje Router Solicitation se pone como direccin destino la
direccin multicast all-routers, es decir, la FF02::2. El lmite de saltos se pone a 255.
Ya en el mensaje ICMP, el TIPO = 133. El CODE es 0 y los 4 primeros bytes
despus del CHECKSUM tambin.
Pag: 72
En el campo de Opciones se enva la direccin MAC del solicitante en caso de que

su direccin IP sea conocida. Si el campo Direccin de Origen de la cabecera IP es la
direccin No-Especificada (all-zeros), el campo opciones no se usa.
Los routers que reciben el mensaje Router Solicitation, ponen en circulacin un
mensaje Router Advertisement. Como se ha dicho anteriormente, este tipo de paquete se
pone en circulacin peridicamente. No obstante, puede ocurrir que se reciba una
peticin directa.
Es posible saber si un mensaje Router Advertisement es de los enviados
peridicamente o es la respuesta a un mensaje Router Solicitation?
La respuesta es SI. Se puede saber mirando la cabecera IP asociada al mensaje, y ms
concretamente, el campo Direccin Destino. En el caso del mensaje peridico, la
direccin Destino es la direccin multicast all-nodes, es decir, la FF02::1.
En el caso de ser respuesta a una solicitud, la direccin destino ser la del host que hizo
la peticin.
Ya en la cabecera ICMPv6, el formato de los mensajes Router Advertisement es el
mostrado en la siguiente figura.
El campo Current Hop Limit (Lmite de Saltos Actual) sirve para informar a los
nodos del enlace de cul es el valor de Hop Limit por defecto con el que se tienen que
configurar. Si este valor fuera 0, no estara definido un Hop Limit por defecto y se
utilizara el valor que tenga asignado por defecto el nodo transmisor.
El siguiente campo es de 1 bit, el flag M (de Managed address configuration).
Cuando est a 1 indica que las direcciones estn disponibles va DHCPv6. Esto es lo
Pag: 73
que se llamaba configuracin Stateful, pero ese trmino dej de utilizarse cuando la
RFC 4861 dej obsoleta a la RFC 2461 (Sept. 2007).
Si M = 0, los nodos del link utilizarn la autoconfiguracin Stateless
(configuracin de direccin autnoma).
Cuando el flag M est activado, el siguiente flag, O, es redundante y se puede
ignorar porque DCHPv6 dar toda la informacin disponible para realizar la
configuracin.
A continuacin va el flag O (de Other Configuration). A 1 indica que hay otra
informacin disponible va DHCPv6. Por ejemplo informacin relativa a DNS o de
otros servidores dentro de la red.
Los 6 bits siguientes que completan este byte van a cero.
Los 2 bytes siguientes son el campo Router Lifetime. Este campo solo es importante
si el router se va a usado como router por defecto por los nodos del enlace. Si el campo
es cero, el router no es el utilizado por defecto. Cualquier otro valor indica, en
segundos, el tiempo que el router ser considerado el router por defecto. El mayor
tiempo que se puede poner con 16 bits es de 65535 segundos, lo que equivale a 18,2
horas.
El campo Reachable Time (Tiempo alcanzable) indica el tiempo (en ms) que un host
va a suponer que los vecinos estn al alcance despus de haber recibido una
confirmacin de accesilidad. Un valor de 0 indica que no se especifica.
El algoritmo NUD (Neighbor Unreachability Detection) usa este campo.
El campo Retrans Timer (Tiempo de Retransmisin) indica el tiempo (en ms) entre
retransmisiones de mensajes Neighbor Solicitation. Se utiliza en la resolucin de
direccin y en los mecanismos de NUD. Si se pone a cero indica que ese router no est
configurado con el temporizador de retransmisin.
Para el campo Opciones hay tres posibles valores:
Direccin de la capa de enlace de la fuente.
Tamao de MTU a utilizar en enlaces donde este parmetro es variable (por
ejempo, Token Ring).
Informacin de prefijo. Esta informacin es importante para la
autoconfiguracin Stateless. El router inserta todos sus prefijos de enlace que
tienen que ser conocidos por los nodos del link.
3.1.2.2. Neighbor Solicitation y Neighbor Advertisement
Estos dos mensajes cumplen dos funciones:

La resolucin de direcciones fsicas de la que se encargaba ARP en IPv4
Pag: 74
El mecanismo de deteccin de vecinos no alcanzables (Neighbor Unreachability

Detection).
Si la direccin de destino es una direccin multicast (normalmente la direccin
multicast de nodo solicitado), el host de origen est resolviendo una direccin de la
capa de enlace.
Si el host de origen est verificando la disponibilidad de un vecino, la direccin de
destino ser una direccin unicast.
Este tipo de mensaje se utiliza tambin en DAD (Duplicate IP Address Detection).
En la cabecera IP de este tipo de mensaje, la Source address puede ser tanto la de
la interfaz del host origen como la direccin no especificada (all-zeros). Esto ltimo
en caso de autoconfiguracin Stateless y DAD.
El formato de la cabecera ICMP es el indicado en la figura:
El Tipo = 135, Cdigo = 0 y los 4 bytes que van despus del Checksum no se usan y
se ponen a cero.
El campo Direccin Target (= Objetivo) se usa en Neighbor Advertisement y en
redireccionamiento de mensajes. Aqu no debe usarse una direccin multicast.
El campo Opciones puede contener la direccin MAC del origen, pero solo si no se
hace el envo desde la direccin all-zeros.
Pag: 75
Durante la autoconfiguracin Stateless, en un mensaje que usa la direccin no

especificada como direccin Source, el campo Opciones se pone a cero.
La opcin de la capa de enlace se debe utilizar en solicitudes multicast (deteccin de
direccin de capa de enlace) y puede ser usada en solicitudes unicast (Unreachability
Detection = Deteccin de inalcanzabilidad)
Los mensajes Neighbor Advertisement o Anuncio de vecino se envan como

respuesta a mensajes Neighbor Solicitation o para propagar informacin rpidamente.
El formato del mensaje es el siguiente:
Se puede saber si el mensaje es la respuesta a una solicitud o si se enva

voluntariamente, mirando el tipo de direccin utilizado en la cabecera IP. En el primer
caso, el mensaje ir dirigido al host que hizo la solicitud, por lo tanto, la direccin IP
destino ser la suya. En caso de que el mensaje sea una respuesta a un mensaje DAD
(Duplicate IP Address Detection) originado desde un host desconocido, la respuesta ir
dirigida a la direccin multicast all-nodes, esto es, a la FF02::1. Lo mismo ocurre para
los envos peridicos no solicitados.
Como se puede ver en la figura anterior, ya en la cabecera ICMP, Tipo = 136,
Cdigo = 0 y despus del Checksum tenemos unos flags. El primero R = Router flag
puesto a 1, indica que el equipo origen es un router. El siguiente es el Solicited flag
= S. A 1 indica que el mensaje es una respuesta a un Neighbor Solicitation. Este
flag no se usa en anuncios multicast.
Pag: 76
Por ltimo el flag de Override = O. Indica que la informacin enviada en el

mensaje de Advertisement debera anular las entradas de la Neighbor Cache y actualizar
cualquier direccin de enlace cacheada. Si este bit est a cero, el mensaje no
actualizar una direccin que ya est en la cach, pero puede actualizar una entrada de
una Neighbor Cache que no tena la informacin de la direccin. Este bit no se debe
utilizar en anuncios dirigidos a direcciones anycast.
En anuncios solicitados, la Direccin Objetivo (Target Address) contiene la
direccin de la interfaz que enva la solicitud. En los no solicitados, contiene la
direccin de la interfaz. En los anuncios no solicitados, este campo contiene la direccin
de la interfaz cuya direccin de la capa de enlace ha cambiado.
Una posible opcin para el campo de Opciones es la direccin destino de la capa de
enlace.
3.1.2.3. Otros usos del protocolo Neighbor Discovery
El mensaje de Redireccin ICMP

Son los mensajes de Tipo = 137
Este es un mensaje que los routers ponen en circulacin para informar a un nodo de
cul es el mejor primer salto para llegar a un destino determinado. Este tipo de
mensaje tambin puede informar a un nodo de que el destino solicitado es realmente un
vecino, y no un nodo en otra subred.
Inverse Neighbor Discovery (IND) (RFC 3122)

O lo que es lo mismo, Descubrimiento Inverso de Vecinos.
IND es el equivalente al RARP (Reverse ARP) de IPv4. Es decir, el protocolo que a
partir de una direccin MAC de un equipo es capaz de resolver cul es su direccin IP.
IND utiliza dos tipos de mensajes:
IND Solicitation (Tipo = 141), que es enviado por el equipo que quiere hacer la
resolucin a la direccin multicast all-nodes (FF02::1).
IND Advertisement (Tipo = 142), que es enviado por el equipo objetivo y que
contiene las direcciones de dicho equipo.
Resolucin de direcciones de capa de enlace.

Equivale al ARP de IPv4, es decir, permite determinar la MAC de un equipo a partir
de su IP.
Pag: 77
Se usa solo con nodos vecinos y se lleva a cabo enviando un mensaje Neighbor
Solicitation dirigido a la direccin multicast de nodo solicitado del vecino en
cuestin.
Si dicho equipo es alcanzable, responder enviando al equipo solicitante un mensaje
Neighbor Advertisement.
Neighbor Unreachability Detection (NUD)

Se puede traducir como Deteccin de disponibilidad de vecino
Se considera que un equipo est al alcance si hay alguna prueba de que la
comunicacin con el mismo es posible. Esto ocurre si, por ejemplo, su capa IP est
recibiendo los paquetes que se le envan. Tambin puede saberse porque se recibe un
mensaje Neighbor Advertisement como respuesta a un Neighbor Solicitation o porque
se estn recibiendo ACKs de TCP.
Para llevar el control de las conexiones activas y alcanzables, Neighbor Discovery
usa dos tablas: la cach de vecinos o Neighbor Cache y la de destino o Destination
Cache.
Neighbor Cache
o Es como la Cach ARP de IPv4.
o Contiene informacin de los vecinos con los que se ha intercambiado
trfico recientemente.
o La informacin guardada es la direccin IP unicast, su direccin MAC y
un flag que indica si el vecino es un router o un host.
o Adems tamben indica si hay algn paquete en espera para ser enviado,
si el destino est al alcance y cuando se producir la siguiente
comprobacin NUD.
Destination Cache
o Contiene exactamente la misma informacin que la Neighbor Cache ms
la informacin de los destinos remotos. Es decir, la Neighbor Cache es
una parte de la Destination Cache.
o Para los destinos remotos, la entrada de la cach contiene la MAC del
siguiente router al que saltar.
o Esta cach se actualiza con los mensajes de Redireccin de ICMPv6.
3.1.3. Otras posibilidades de ICMPv6

Autoconfiguracin
Esta capacidad ahorrar mucho trabajo a los administradores de red y va a ser una de
las caractersticas clave de IPv6.
Pag: 78
Permite que cualquier dispositivo (desde una TV hasta un mvil pasando por
frigorficos, DVDs...) que requiera una direccin IP pueda conseguirla sin necesidad de
tener que ser configurado manualmente.
Hay dos tipos de autoconfiguracin: la stateless y la DHCPv6 (antes llamada
stateful).
Para generar su direccin IP, los hosts utilizan una combinacin de informacin
local, como su direccin MAC, e informacin recibida de los routers.
Los routers pueden anunciar mltiples prefijos, y los hosts extraen la informacin
del prefijo de esos anuncios.
Esto permite la renumeracin sencilla de un sitio completo: solo hay que cambiar la
informacin del prefijo en el router. Por ejemplo, si se cambia de ISP y el nuevo ISP
asigna un nuevo prefijo IPv6, se pueden configurar los routers para que anuncien el
nuevo prefijo, manteniendo el resto de la direccin original. Todos los hosts conectados
a esos routers se renumerarn usando el mecanismo de autoconfiguracin.
Si no hay routers, cada host se puede generar una direccin en enlace local (linklocal address) con el prefijo FE80.
La direccin de enlace local es como la direccin que tomaba un nodo en IPv4
cuando no encontraba al servidor DHCP. En ese caso, automticamente tomaba una
direccin de la red 169.254.0.0/16... y se quedaba aislado del mundo.
La gran diferencia en IPv6 es que ahora, esa direccin FE80... es suficiente para la
comunicacin de todos los nodos conectados al mismo enlace.
Las autoconfiguraciones Stateless y DHCPv6 tambin se pueden combinar. Por
ejemplo, un host puede usar autoconfiguracin stateless para generar una direccin IPv6
y utilizar despus la autoconfiguracin DHCPv6 para conseguir los dems parmetros.
Llegados a este punto, es interesante saber que las direcciones IPv6 se asignan a los
nodos de forma temporal y que existe un intervalo de tiempo definido (lifetime) despus
del cual la direccin deja de ser vlida. Para asegurar que una direccin es nica en un
enlace se usa el algoritmo DAD (= Duplicate Address Detection RFC 4862).
Los estados por los que puede pasar una direccin IPv6 son los siguientes:
Tentativa: es el estado de la direccin justo antes de ser asignada, cuando se
est aplicando DAD para garantizar que no est en uso.
En este estado no es posible la comunicacin con el resto de los equipos del
enlace, tan solo permite procesar ciertos mensajes ND para
autoconfiguracin.
Preferida: es el estado de la direccin finalmente asignada.
Pag: 79
Obsoleta (deprecated): es el estado de la direccin cuyo lifetime est a

punto de expirar. Una direccin en ese estado se mantendr en
comunicaciones activas con objeto de no interrumpirlas, pero se evitar su
uso en nuevas comunicaciones.
Vlida: son las direcciones que estn activas (tanto la preferida como la
obsoleta).
Invlida: es el estado de una direccin cuya lifetime ha expirado. La
direccin deja de estar vinculada a la interfaz del host.
Renumeracin de red.
Este tema se trata en la RFC 4192 "Procedures for Renumbering an IPv6 Network
without a Flag Day". El llamado "Flag Day" (Da de la Bandera) es el da clave en el
que se va a interrumpir el funcionamiento de la red para realizar una tarea de
mantenimiento programada. Para evitar sufrir un "Flag Day" hay que pensar en una
estrategia distinta, que permita realizar un cambio progresivo en la configuracin sin
necesidad de detenerla.
Este es el tipo de situacin que tiene lugar cuando hay que realizar un cambio en el
prefijo de la red, cosa que puede ocurrir, por ejemplo, debido a un cambio de proveedor
de Internet.
Lo que se permite ICMPv6 es enviar mensajes para informar de cual ser el nuevo
prefijo a utilizar, pero manteniendo an el antiguo en funcionamiento. Una vez todos los
equipos estn enterados del nuevo prefijo se "desactiva" el anterior, de modo que
continan utilizando el nuevo. Se ha modificado la configuracin de la red y se ha
evitado el flag day.
Path MTU Discovery

En IPv4, si un router detecta que un paquete es demasiado grande para ser enviado
por un enlace determinado, puede fragmentarlo. En IPv6 los routers no se dedican a
fragmentar paquetes, dejando esta tarea en mano del host de origen.
Antes de nada hay que recordar un par de conceptos. Por un lado, el significado de
Link MTU(Maximum Transmission Unit, que es el tamao mximo de los
paquetes que pueden ser manejados en un enlace. Y por otro, el de Path MTU, que es
el valor de MTU ms grande que se puede utilizar a lo largo de la ruta que siguen los
datos desde el origen al destino.
Para que no haya problemas en ningn punto, el valor de MTU a utilizar debera ser
el ms pequeo de los que haya en el path.
Pag: 80
Como se ha dicho antes, en IPv6, el unico encargado de fragmentar un paquete es el

host de origen. Para ello necesita conocer cul es el menor MTU de todos los que hay en
el path. Esta informacin se obtiene por medio del llamado Path MTU Discovery de
ICMPv6.
En el proceso de descubrimiento, el primer Path MTU que toma el host origen es
el del primer enlace. Cuando un router detecta que ese tamao es demasiado grande
para el siguiente enlace devuelve un mensaje de error ICMPv6: Packet Too Big, que
incluir el MTU vlido para el siguiente enlace. Ese ser el MTU que usar en lo
sucesivo el host origen mientras no reciba un nuevo mensaje de error.
El tamao mnimo de MTU en IPv6 es de 1280 bytes.
Puesto que la ruta no es fija, el Path MTU tambin puede cambiar.
En el caso de multicast, se usa el MTU ms pequeo de los que hay en los caminos a
lo mltiples destinos.
Multicast Listener Discovery (MLD)

Para empezar veremos algunos detalles del multicast de IPv4:
Hay ocasiones en las que interesa el envo simultneo de paquetes a un grupo de
hosts.
En este caso el broadcast no es la opcin adecuada, porque no se puede enrutar
(con lo cual el alcance se limita al enlace local) y adems obliga a todos los
nodos del enlace a procesar la informacin.
La transmisin multicast posibilita el envo simultneo de paquetes a un grupo
de hosts que estn configurados con una direccin multicast de grupo (direccin
de clase D). Solo los hosts que son miembros de ese grupo multicast procesarn
los paquetes.
Adems, los mensajes multicast son enrutables y para asegurar que el mensaje
solo es propagado a aquellos enlaces en los que hay equipos miembro del grupo
multicast, se usa el protocolo IGMP (Internet Group Management Protocol).
Ya en IPv6, tenemos que multicast es una caracterstica propia del protocolo y est
disponible en todos los nodos IPv6.
Como se ha explicado en su momento, el prefijo de las direcciones multicast es
FF.
En la propia direccin se indica el mbito de difusin. As, FF02 denota el
mbito local, FF05 el mbito del site local y FF0E indica mbito global.
Como se ha comentado ms arriba, es necesario un protocolo para limitar el alcance
de los paquetes multicast a aquellos enlaces en los que hay equipos miembro del grupo
multicast.
Pag: 81
El IGMP de IPv4, y ms concretamente, su 2 versin (IGMPv2) se implementa en

IPv6 por medio de mensajes ICMPv6 y es lo que se llama MLD (Multicast Listener
Discovery).
Despus de una primera versin de MLD se lleg a MLDv2, que est basado en
IGMPv3 de IPv4 y que se diferencia de la versin anterior en soportar SSM (Source
Specific Multicast). Eso significa que un nodo puede elegir escuchar tan solo los
paquetes multicast procedentes de una direccin concreta, o de todas las posibles
fuentes excepto de una determinada. Esto es algo que en MLDv1 no es posible por
utilizar ASM (Any Source Multicast) en lugar de SSM.
Si nos centramos un poco en MLD vemos que este protocolo permite a los oyentes
multicast registrar las direcciones multicast que quieren utilizar, con objeto de conseguir
un enrutado eficiente.
Por otro lado, los routers utilizan MLD para descubrir qu direcciones multicast
tienen oyentes en cada uno de los links a los que estn conectados.
El router mantiene una lista de direcciones con oyentes para cada uno de sus enlaces,
pero sin llegar a controlar cuntos oyentes activos hay.
Mientras haya algn miembro del grupo en el enlace, la direccin se mantiene.
El oyente enva un mensaje al router y ste incluye la direccin multicast es su lista
de control.
Del mismo modo, un oyente puede darse de baja de un grupo por medio de un
mensaje.
Cuando el ltimo grupo se da de baja, el router elimina la direccin de ese link de su
lista de control.
En todos los mensajes MLD se usan direcciones de enlace local como origen y el
hop limit = 1. As se limita el alcance al enlace local. Tambin se usa la opcin Hop
By Hop y se activa el flag Router Alert para garantizar de que el paquete ser
procesado por el router aunque no sea miembro del grupo multicast.
Multicast Router Discovery (MRD)

Es un mecanismo basado en paquetes ICMPv6 que permite el descubrimiento de
routers capaces de propagar trfico multicast.
Consta de tres mensajes, dos de los cuales, Multicast Router Advertisement (Tipo =
151) y Multicast Router Termination (Tipo = 153) permiten al router anunciar la
activacin / desactivacin de la difusin multicast.
Pag: 82
El tercer mensaje, Multicast Router Solicitation (Tipo = 152), permite que cualquier
host pueda preguntar a todos los routers (FF02::2) si alguno trabaja con multicast.
Al igual que en MLD, todos estos mensajes se envan con Hop Limit = 1 y con la
opcin Router Alert activa
Pag: 83
3.2.
Configuracin stateless.
3.2.1. Introduccin
La configuracin automtica comienza con la instalacin de la direccin de interface
de enlace local que se carecteriza por comenzar por FE80. Esta direccin junto con los
mensajes de descubrimiento de vecinos ND es la que permite iniciar el proceso de
autoconfiguracin
de
direcciones
de
red
pblicas
Se
pueden
dar
tres
tipos
de
configuracin
automtica:
Stateless o sin estado: el host se configura mediante mensajes RA (Anuncio de Router)
que incluyen la informacin necesaria para configurar el enlace
Stateful o con estado: utilizan un servidor DHCPv6 de modo similar a la
configuracin automtica utiliza en IPv4. El proceso comienza cuando no hay mensajes
RA de ningn router o cuando el host se haya configurado para ello
Mixto: mediante mensajes RA configura la IPv6 del host y los datos referentes a las
direcciones de los servidores DNS y nombre dominio. En este caso se utiliza una
particularidad el servidor DHCPv6 configurado en modo "sin estado", de manera que no
da direcciones IPv6 y no controla el estado de los host que se conectan
En este apartado veremos la configuracin stateless

3.2.2. Descripcin
Autoconfiguracin sin estado
RFC 4862: Stateless Address Autoconfiguration
En la configuracin stateless la red se autoconfigura de manera automtica. Esta es
una caracterstica del protocolo IPv6 que no exista en el protocolo IPv4. Los datos ms
Pag: 84
importantes a configurar son los mismos que los que se obtendran de un servidor
DHCP con estado :
IPv6 global, IP de la puerta de enlace e IP del servidor DNS ipv6
La configuracin de direcciones se basa en la recepcin de mensajes de anuncio de
enrutador RA. Estos mensajes contienen prefijos de direcciones sin estado, as como la
IPv6 de la puerta o Gateway. Los prefijos son los que definen la red a crear indicando la
parte fija de la direccin IPv6 de los host que formen parte de dicha red.
En el proceso de configuracin de la red intervienen tanto el router como el host
definiendo de forma automtica la IPv6 global de cada host perteneciente a la subred
que se haya definido.
En lo que respecta a la configuracin de las direcciones de los servidores DNS, los
mensajes RA no incluyen esta informacin, pero incluyen una indicacin de que hay
ms informacin disponible en la red para que el host la busque.
3.2.3. Autoconfiguracin de direcciones globales
La autoconfiguracin a nivel de enlace local ya se ha visto previamente as que en
este tema veremos la autoconfiguracin de direcciones de enlace global que son las que
van a permitir la conexin del host con el resto del mundo.
3.2.3.1. Autoconfiguracin de la IPv6 Global y la direccin de la puerta de enlace en cada
host
El funcionamiento del protocolo IPv6 a la hora de crear una red stateless se puede
resumir como sigue:
El router recibe una configuracin (manual o automtica) sobre el pool de
direcciones IPv6 correspondiente a la subred a configurar, en forma de IPv6
global/mscara de manera que la mscara define la subred a la que pertenece el router.
Se define un prefijo para el pool de direcciones de la subred que va a colgar del
router en forma IPv6/mscara. Este prefijo debe pertenecer a la subred del router de
forma que se cree una jerarqua de direcciones.
Los datos configurados en el router se transmiten a todos los host conectados a l se
mediante la funcin RA (Router Advertisment) que se encarga de mandar paquetes a los
vecinos con los datos de la configuracin de la red. En este paquete se indican
principalmente el valor del prefijo que define la red a crear y la direccin local de la
puerta de enlace. Para esto se utilizan direcciones multicast, en el caso del los paquetes
RA se mandan a la direccin multicast "Todos los nodos del enlace local" (FE02::1)
Por otro lado, un host puede solicitar los datos para autoconfiguracin mediante el
envo de paquetes RS (Router Solicitation) que se envan a la direccin multicast
Pag: 85
"Todos los routers del enlace local" (FE02::2) , a lo que los routers del enlace local
responden con paquetes RA enviados a su direccin local.
En la imagen siguiente podemos ver el flujo multicast generado por un host que
acaba de conectarse a la red. En este caso se trata de una red donde no se ha activado el
envo de paquetes RA, y por tanto intenta encontrar un servidor DHCP
Una vez activado el envo de paquetes RA por parte del router, el flujo queda
Desde el punto de vista del host podemos ver el estado inicial con las direcciones
auto-configuradas durante la instalacin del protocolo IPv6
Sin prefijo, la informacin bsica que ofrece el paquete RA es la de anuncio de la

direccin de la puerta de enlace
Al aadirle el prefijo al paquete RA (en la imagen 2001:5c0:1400:a::/64), la autoconfiguracin de la conexin de red en el host crea 2 direcciones IP nuevas, una
annima y otra a partir de algoritmo EUI-64 (termina en 96-A9-0A que son los ltimos
dgitos de la MAC)
Pag: 86
Finalmente tenemos configuradas las direcciones locales y globales as como la de la

puerta de enlace y los servidores DNS
3.2.4. Obtencin de direcciones de autoconfiguracin
Veamos en este apartado como consigue un host las direcciones IPv6 necesarias
para autoconfigurarse.
3.2.4.1. Obtencin de las direcciones IPv6 globales
Mediante autoconfiguracin stateless se generan 2 tipos de direcciones globales

Mediante algoritmo IEEE EUI-64
El prefijo se aade a las direcciones IPv6 de cada host mediante un algoritmo que
combina el prefijo con la MAC de la interface basado en IEEE EUI-64 visto
anteriormente para la autoconfiguracin de la direccin de enlace local.
Esta direccin es pblica y fija, ya que siempre es la misma para un mismo prefijo, por
lo que puede dar problemas de seguridad al poder ser rastreada fcilmente
Direcciones annimas
Para resolver el problema anterior se genera otra direccin global. Esta direccin se
puede obtener mediante un algoritmo hash que utiliza MD5 (Mesage Digest 5) o
aleatoriamente, dependiendo de que el protocolo IPv6 implementado memorice las
direcciones generadas previamente o no.
3.2.4.2. Obtencin de la IP del servidor DNS y del nombre del dominio
En los mensajes RA slo se envan los parmetros de prefijos de red y la IPv6 de la

puerta de enlace as que hay recurrir a otros sistemas para obtener el resto de la
configuracin.
En Windows XP, p.ej, durante el proceso de autoconfiguracin stateless, al instalar el
protocolo IPv6 se instalan automticamente 3 direcciones IPv6 para servidores DNS,
que utilizan como interface el de bucle invertido (looback).
Pag: 87
FEC0:0:0:0:FFFF::1,FEC0:0:0:0:FFFF::2 y FEC0:0:0:0:FFFF::3
En el caso de utilizar una autoconfiguracin mixta, el mensaje RA incluye una
indicacin (flag O) de que hay ms informacin disponible aparte de la enviada en el
mensaje y el host busca un servidor DNS utilizando para ello el servidor DHCPv6 en
"modo sin estado" que le da las direcciones as como el resto de informacin que pueda
necesitar.
Como ejemplo podemos ver la pantalla de configuracin del servidor DHCPv6 de
Windows Server 2008 con la opcin de configuracin "Modo sin estado DHCPv6". Al
activar esta opcin nos pide que introduzcamos las direcciones de los servidores DNS
3.2.5. Algoritmos de generacin de direcciones globales

En modo stateless las direcciones se generan a partir de un prefijo comn a todos los
host de la misma red y un sufijo generado por el propio host bien mediante algn
algoritmo o bien de forma aleatoria.
3.2.5.1. Creacin de la Direccin Global de Unicast: basado en IEEE EUI-64
El procedimiento es el mismo que el utilizado para crear la direccin de enlace local,

con alguna modificaciones:
1. Partimos de la direccin IPv6 ponemos al final los 48 bits de la MAC de la
interface
Pag: 88
2. Ponemos el sptimo bit, el bit U/L (universal/local) a 1, que indica una direccin
administrada de forma remota
3. Insertamos FFFE en medio de la MAC (bit 24 o Byte3). El n de 64 bits
obtenido se denomina Identificador de Interface
4. En la direccin IPv6 ponemos al final los 64 bits del Identificador de Interface
5. Cuando recibe el prefijo, este se coloca al inicio de la direccin y el resto se
rellena con ceros
Por ejemplo:
MAC: 00-0C-6E-6B-EB-0A Prefijo: 2000::/3
El proceso sera
1.
2.
3.
4.
5.
0000 00002 -0C-6E-6B-EB-0A

0000 00102-0C-6E-6B-EB-0A
02-0C-6E-6B-EB-0A
02-0C-6E-FF-FE-6B-EB-0A
2000::20C:6EFF:FE6B:EB0A
3.2.5.2. Creacin de la Direccin Global de Unicast: basado en algoritmo hash
El protocolo IPv6 implementado debe memorizar en un historial las direcciones

generadas previamente.
La primera direccin se genera aleatoriamente. Cuando transcurre el tiempo de
caducidad, se inicia el proceso de generacin de direccin annima mediante el
algoritmo siguiente:
1. Se recupera el valor de historial almacenado y se anexa el identificador de
interfaz basado en la direccin EUI-64 del adaptador.
2. Se calcula el algoritmo hash de cifrado unidireccional MD5 (Message Digest-5)
con la cantidad del paso 1.
3. Se memorizan los ltimos 64 bits del algoritmo hash MD5 calculado en el
paso anterior como valor de historial para el siguiente clculo de direccin
annima.
4. Se toman los primeros 64 bits del algoritmo hash MD5 calculado en el paso 2 y
se pone el sptimo bit (U/L) a 0, que indica una direccin administrada de forma
local. El resultado es el identificador de interfaz.
Este proceso se repite continuamente cada cierto tiempo. Los tiempos pueden ser
configurados
3.2.6. Router IPv6
El router adquiere una gran importancia en la configuracin stateless ya que es el
que distribuye la informacin de autoconfiguracin al resto de los host. Hay que decir
que no son compatibles con los router IPv4 ya que deben poder leer los paquetes IPv6 y
manejar el protocolo ICMPv6. En la prctica actualmente utilizan protocolos IPv6 de
pila dual, lo que viene a significar que pueden trabajar tanto en IPv4 como en IPv6 y a
Pag: 89
menudo
recurren
a
tneles
para
pasar
de
una
Algunas de las principales caractersticas de un router IPv6 son:
red
otra.
Manejo de direcciones IPv6 unicast, multicast y anycast

Procesado de paquetes IPv6 y de cabeceras de extensin
Descubrimiento de Vecinos (ND) IPv6
Envo de mensajes de Aviso de Router (RA)
ICMPv6
3.2.6.1. Configuracin del router para stateless
Para que el router IPv6 pueda iniciar el proceso de autoconfiguracin stateless debemos
configurar
Mensaje RA
En los mensajes RA ajustaremos los flags y los tiempos del paquete
1. RA Managed flag: este flag indica si la autoconfiguracin va ser stateless
(mediante los mensajes RA del router) o si va a ser stateful (mediante un
servidor DHCPv6)
2. RA Other flag: mediante este flag se indica a los host que adems de las
direcciones generadas mediante los paquetes RA (stateless) en la red hay
disponible ms informacin, como por ejemplo, las direcciones de los servidores
DNS (que sern proporcionadas por el DHCPv6 en modo sin estado)
3. Temporizaciones: Retransmisin time, Life time y Reachable time
Como ejemplo de parmetros a configurar se indican los solicitados por el switch L3
DGS-3627
RA Router
Utilice este men desplegable para activar o desactivar que el
Advertisement
switch sea capaz de aceptar solicitud de un vecino (ND), y as
convertirse en un vecino de IPv6. Una vez activada, este switch es
capaz de producir mensajes de anuncio de enrutador (RA) para
ser devueltos a consulta de vecinos(RS)
RA Router Life
Time (s)
Esta tiempo representa la validez de que esta interfaz sea el

router por defecto para el enlace local de red. Un valor de 0
representa que este switch no debe ser reconocido como el router
predeterminado para este enlace de red local. El usuario puede
establecer un tiempo de entre 0 y 9.000 segundos con una
configuracin predeterminada de 1800 segundos.
RA Reachable
Time
Este campo establece el tiempo en que un nodo IPv6 remoto

se considera alcanzable. En esencia, este es el campo Deteccin
de Vecino Inalcanzable una vez que la confirmacin del acceso a
esta nodo se ha hecho. El usuario puede establecer un tiempo de
entre 0 y 3.600.000 milisegundos con de una configuracin
predeterminada de 1200000 milisegundos. Un valor muy bajo, no
Pag: 90
se recomienda.
RA Retransmit
Time (ms)
Se utiliza para ajustar un tiempo de intervalo entre 0 y

4294967295 milisegundos para el envo de anuncios de enrutador
(RA) en esta interfaz en el enlace de red local, en respuesta a una
Mensaje de Solicitacin de Vecino (RS). Este valor no debe
exceder el valor indicado en el campo el tiempo de vida se ha
mencionado anteriormente. Establecer este campo a cero, se
especifica que este cambio no se especifica el tiempo de
retransmisin para el enlace de red local. (y por lo tanto se
especificarn por otro router en la linklocal red. El valor
predeterminado es 0 milisegundos.
RA Managed Flag
Utilice el men desplegable para activar o desactivar la

bandera administrado. Cuando se activa, el mensaje RA indica
que hay que utilizar un proceso de configuracin automtica con
estado para obtener Direcciones IPv6 tanto a nivel global como
local. El valor predeterminado es Desactivado. Sera la
configuracin statefull
RA Other
Configure Flag
Use el men desplegable para activar o desactivar el flag

configurar otras. Cuando se activa, el mensaje RA indica que hay
que utilizar un proceso de configuracin automtica con estado
para obtener la informacin de configuracin que no es la
direccin IP pero que, sin embargo, es importante para la
configuracin de IPv6, como p.e los direcciones de los servidores
DNS. El valor predeterminado es Desactivado. Sera la
configuracin mixta
RA Max Router
AdvInterval (s)
Se utiliza para establecer el intervalo de tiempo mximo entre

el envo de anuncios de enrutador (RA) por esta interfaz a travs
del vnculo de red local. Esta entrada debe ser no menos de 4
segundos (4000 milisegundos) y no ms de 1800 segundos. El
usuario puede configurar un tiempo de entre 4 y 1800 segundos,
con un valor predeterminado de 600 segundos.
RA Min Router
AdvInterval (s)
Se utiliza para establecer el intervalo de tiempo mnimo entre

el envo de anuncios de enrutador (RA) por esta interfaz a travs
del vnculo de red local. Esta entrada debe ser no menos de 3
segundos y no ms de 075 (3 / 4) de la MaxRtrAdvInterval. El
usuario puede configurar un tiempo entre 3 y 1350 segundos, con
un valor predeterminado de 198 segundos.
Configuracin de RA
La siguiente imagen corresponde a una captura realizada con Wireshark del envo de
un mensaje RA (Type 134) donde se ven los flags Managed y Other desactivados y
dems datos de temporizacin.
Pag: 91
Prefijo
En este apartado configuraremos la informacin a enviar en el mensaje RA: el propio
prefijo, los flag correspondientes y los tiempos
1. Prefijo: en forma de IPv6/mscara, ser el valor a enviar en los mensajes RA y el
que utilizarn los host que se vayan a autoconfigurar. Se pueden configurar
varios prefijos
2. On Link flag: si est activo indica que el prefijo a utilizar en la
autoconfiguracin de la red local es el correspondiente a esta interface (el router
puede tener ms interfaces)
3. Autonomous flag: indica que el prefijo configurado puede ser utilizado para
autoconfiguracin de la red local
4. Temporizaciones: Valid life time y Preferred life time
Como ejemplo de parmetros a configurar se indican los solicitados por el switch
DGS-3627
Prefix
Utilice este campo para configurar cada uno de los prefijo para
direcciones IPv6 Global Unicast que se asignarn a los otros nodos
en el enlace de red local. Estos prefijos se enviarn en el mensaje de
anuncio de enrutador RA para ser compartido en el enlace de red
local. El usuario debe primero tener al menos una Direccin Global
Unicast para el switch de la que se obtiene el prefijo.
Prefered Life
Time
Este campo establece el tiempo durante el que este prefijo se

anuncia como preferido en el vnculo local de la red, utilizando la
configuracin de direcciones sin estado. El usuario puede configurar
un tiempo de de entre 0 y 4294967295 milisegundos, con un valor
predeterminado de 604800 milisegundos.
Valid Life Time
Este campo establece el tiempo que este prefijo se anuncia como

vlido en el enlace de red local, cuando se utiliza la configuracin
de direcciones sin estado. El usuario puede configurar un tiempo de
entre 0 y 4294967295 milisegundos.
Flag On-link
Habilitando esta opcin se indica, en el paquete IPv6, que el

prefijo IPv6 configurado aqu se asigna a este vnculo de red local.
Una vez que el trfico ha sido enviado a estos nodos con este prefijo
IPv6 especfico, los nodos se considerarn accesibles en el enlace de
red local.
Pag: 92
Flag Autnomo
Habilitando este campo se indica que este prefijo puede ser

usado para autoconfigurar direcciones IPv6 en el enlace de red
local.
Configuracin del prefijo
En la siguiente imagen podemos ver una captura realizada con Wireshark del envo
de un mensaje RA con un prefijo de 64 bits de longitud, con los flags Onlink y Auto
activados y dems datos de temporizacin.
Pag: 93
3.3.
DHCPv6.
Vamos a probar la configuracin de direcciones IPv6 usando DHCPv6 para el

siguiente esquema de una LAN:
La LAN estar formada por:

Un ordenador Ubuntu-Linux (9.10).
Un ordenador Windows XP (SP3).
Un ordenador Windows 7.
Un servidor DHCPv6. (Analizaremos Ubuntu-Server 9.10 y Windows 2008
Server).
Un switch compatible IPv6. En nuestro caso D-Link DGS-3627
Para instalar el servidor debemos elegir un sistema operativo.
analizaremos DHCPv6 en Windows 2008 server y Ubuntu-Linux Server.
Nosotros
Servidor DHCPv6 en Ubuntu-Linux Server 9.10.

Servidor DHCPv6 en Windows 2008 Server.
Adems analizaremos como se instala el cliente DHCPv6 en los siguientes sistemas
operativos:
Cliente DHCPv6 en Ubuntu-Linux.
Cliente DHCPv6 en Windows XP (SP3).
Cliente DHCPv6 en Windows 7.
Logicamente el mbito de las direcciones a repartir deber determinarse en el servidor
DHCPv6.
Pag: 94
3.3.1. DHCPv6 Ubuntu 9.10 Server

El siguiente grfico muestra la configuracin a obtener:
En este apartado analizaremos la instalacin del Servidor DHCPv6 en Ubuntu

Server 9.10. La instalacin de los clientes DHCPv6 est en los siguientes apartados.
3.3.1.1. Instalacin de DHCPv6 en Ubuntu Server 9.10:
Existen varios proyectos que desarrollan la instalacin de servidores DHCPv6 en

linux. Algunos estn estancados o con versiones que requieren ser mejoradas. Algunos
son:
WIDE-DHCPv6 inicialmente desarrollado dentro del proyecto KAME para
BSD y Linux.
El proyecto DHCPv6 para la distribucin Fedora.
Dibbler.
Puede obtenerse ms informacin en internet por ejemplo consultando:
http://www.google.com/url?q=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FDH
CPv6&sa=D&sntz=1&usg=AFrqEzfcpC1F1DqKZQvy_8PZr1fA1VqxGQ
En nuestro caso, para Ubuntu-Linux utilizaremos Dibbler. Dibbler fue desarrollado
inicialmente por Tomasz Mrugalski and Marek Senderski y actualmente funciona tanto
en plataformas linux como windows.
Una vez instalado Ubuntu Server (en nuestro caso la versin 9.10.) procederemos a
instalar el servidor dibbler:
iplaza@ubuntuserver:~$ sudo aptitude install dibbler-server
Pag: 95
Nos preguntar si deseamos que el servidor DHCPv6 se inicie siempre que

encendamos el servidor. Nosotros le indicaremos que no, ya que para hacer pruebas
preferimos iniciar el servidor manualmente.
Automaticamente todos los ficheros de configuracin se instalarn en /etc/dibbler.
Adems debemos asegurarnos de que exista el directorio /var/lib/dibbler y tengamos
permisos de escritura en l.
Para observar el estado del servidor, podemos ejecutar:
iplaza@ubuntuserver:~$ sudo dibbler-server status
En principio el servidor estar detenido
3.3.1.2. Configuracin de DHCPv6 en Ubuntu Server 9.10:
Una vez instalado el servidor para configurarlo debemos editar el fichero server.conf
en /etc/dibbler
iplaza@ubuntuserver:~$ sudo nano /etc/dibbler/server.conf
Obviamente podemos usar el editor de texto que queramos, vi, nano, gedit (si lo
hemos instalado).
Existen mltiples opciones de configuracin. En esta introduccin probaremos la
ms sencilla. Posteriormente analizaremos configuraciones ms avanzadas. En
cualquier caso, en la documentacin de dibbler todas las opciones estn documentadas
de forma clara y precisa.
Basicamente podemos asignar un rango de direcciones de dos maneras:
pool minaddress-maxaddress (direccin inicial - direccin final)
pool address/prefix (usando la direccin y el prefijo)
En nuestro /etc/dibbler/server.conf quedar:
# server.conf
iface eth0 {
class {
pool 2000::500-2000::600
}}
Donde eth0 determina la interfaz encargada de repartir las direcciones y mediante
class determinamos el inicio y fin del rango de direcciones a repartir. (Las hemos
elegido al azar, obiamente el rango podra ser cualquier otro).
Pag: 96
Ahora solamente debemos iniciar el servidor dibbler y este comenzar el reparto de

direcciones.
iplaza@ubuntuserver:~$ sudo dibbler-server start
Debemos tener en cuenta que los clientes pueden configurarse de muchas formas.
Por ello en los siguientes apartados estudiaremos ls opciones de configuracin de cada
cliente en cada sistema operativo.
3.3.2. DHCPv6 Windows 2008 Server
El siguiente grfico muestra la configuracin a obtener:
En este apartado analizaremos la instalacin del Servidor DHCPv6 en Windows

2008 Server. La instalacin de los clientes DHCPv6 est en los siguientes apartados.
3.3.2.1. Instalacin de DHCPv6 en Windows 2008 Server:
Una vez instalado Windows 2008 server en el servidor, conviene tambin instalar un
controlador de dominio y un servidor DNS. Se puede realizar ejecutando dcpromo en la
interfaz de comandos. A continuacin y para comenzar con las instalacin de DHCP
deberemos dar los siguientes pasos:
Inicio --> Herramientas administrativas --> Administrador del servidor
Pag: 97
A continuacin Agregaremos una funcin:

Leemos las advertencias, nosotros hemos instalado en el servidor una IPv4 esttica:
192.168.0.80
Agregamos el servidor DHCP:
Podemos leer la ayuda para produndizar:
Obtenemos la configuracin IPv4 que hemos establecido anteriormente en el
servidor:
Vamos a definir un ambito IPv4:
Red: 192.168.0.x
Mascara: 255.255.255.0
La puerta de enlace es opcional, en nuestro caso representa un router que podremos

aadir posteriormente.
Pag: 98
Observamos que el mbito IPv4 es correcto:

Comenzamos a configurar el mbito IPv6. Observar con Atencin la siguiente
ventana. En nuestro caso debemos debemos Deshabilitar el modo sin estado para este
servidor.
Usamos las credenciales actuales del usuario Administrador:
Confirmamos si todo es correcto:
El servidor DHCPv4 se instalar:
La instalacin ha sido satisfactoria:
En el Administrador del servidor vamos al Servidor DHCP:
O podemos hacerlo: Inicio-->Herramientas administrativas-->DHCP
Una vez IPv4 est activo y con su mbito definido, nos situamos en IP6, botn
derecho Agregamos mbito:
Pag: 99
Se ejectuta el asistente de mbito nuevo:
Damos un nombre y descripcin al mbito:
Debemos elegir el Prefijo de las direccines IPv6 que vamos a repartir. Por
ejemplo, elegimos un prefijo de direcciones locales unicas para nuestra organizacin
fd00:1::1 Podramos por ejemplo definir un mbito para direcciones globales que
empiecen por 2001:xxxx pero en este caso elegimos el prefijo fd00:1::1/64 En cada
caso el administrador del sistema elegir el mbito que ms le interese.
La Preferencia determina el grado de prioridad que tiene el servidor DHCPv6.
Dentro de una red puede existir ms de un servidor DHCPv6, en ese caso, se establece
la prioridad de cada uno, siendo el nmero 0 el que tiene mayor prioridad a la hora de
asignar las direcciones IPv6
Pag: 100
Si queremos agregar exclusiones (direcciones que no nos interesa que distribuya el

servidor), este es el momento. Nosotros de momento no agregaremos exclusiones.
Por ltimo, debemos indicar la vigencia de las concesiones:
Pag: 101
El asistente muestra un resumen de la configuracin y nos permite finalizar.
En el caso de IPv4 siempre que los sistemas operativos de los ordenadores cliente
indiquen en la configuracin TCP/IP del adaptador de red que la direccin se obtenga de
forma automtica para observar las concesiones basta ir a la opcin Concesiones de
direcciones en el servidor DHCP IPv4. En nuestro caso, observamos los tres
ordenadores de la red.
Pag: 102
En el caso de IPv6 para los clientes Windows XP y Ubuntu-Linux (de momento) es

necesario instalar un cliente DHCPv6 como veremos en los siguientes apartados. En el
caso de Windows 7 el cliente viene instalado en el propio sistema operativo. Lo nico
que debemos tener en cuenta en Windows 7 es la configuracin del Firewall que
incorpora el sistema que en algunos casos impide la asignacin de una direccin por
parte del servidor.
Una vez instalados los clientes (como veremos ms adelante), bastara con ir a la
opcin Concesiones de direcciones en el apartado IPv6 y obtendramos la informacin
de cada cliente. En nuestro caso:
Para terminar, normalmente, adems de repartir las direcciones IP el servidor se
encarga de asignar puertas de enlace predeterminadas o servidores DNS. Dichas
opciones pueden seleccionarse en Opciones de mbito.
Pag: 103
La configuracin del servidor DHCPv6 para Windows Server 2008 se ha realizado

satisfactoriamente.
3.3.3. DHCPv6 Cliente Ubuntu 9.10
Al contrario que en Ubuntu 9.04, en Ubuntu 9.10, la configuracin de IPv6 puede
hacerse en modo comando o desde el entorno grfico. Observemos la opcin en el
entorno grfico:
Sin embargo, para obtener una direccin DHCPv6 a travs de un servidor no basta
con indicar en el modo grfico que deseamos obtener una direccin IPv6
automaticamente. Debemos instalar un cliente. En nuestro caso vamos a instalar y
probar dibbler.
Para instalar dibbler en Ubuntu 9.10 Desktop version vamos a utilizar aptitude:
Pag: 104
Como alternativa, tambin podramos descargar el fichero desde

http://www.google.com/url?q=http%3A%2F%2Fklub.com.pl%2Fdhcpv6&sa=D&sn
tz=1&usg=AFrqEzdiHchTKXvdz6GeCxyYvUXl_Q2p-g
o directamente:
http://www.google.com/url?q=http%3A%2F%2Fklub.com.pl%2Fdhcpv6%2Fdibble
r%2Fdibbler-0.7.3src.tar.gz&sa=D&sntz=1&usg=AFrqEzf6NInE1Oc_l5hVWJLkiOEwBZPWJw
en este caso descargaramos la versin 0.7.3, descomprimimos con gzip y extraemos
con tar. Nosotros ya lo hemos instalado en el paso anterior con sudo aptitude
install.
Automaticamente todos los ficheros de configuracin se habrn instalado en
/etc/dibbler. Adems debemos asegurarnos de que exista el directorio /var/lib/dibbler y
tengamos permisos de escritura en l.
Para observar el estado del servidor, podemos ejecutar:
En principio el cliente estar detenido.

Vamos a realizar una sencilla configuracin de nuestra interfaz editando el fichero
/var/dibbler/client.conf:
Descomentamos (quitamos #) para configurar nuestra interfaz:
Pag: 105
Iniciamos dibbler-client:
y para no tener problemas reiniciamos todos los adaptadores de red:
Si el servidor instalado es Ubuntu-Server 9.10 observaremos la direccin IPv6 que

nos ha proporcionado:
Pag: 106
En el caso de Windows 2008 Server la direccin ser:
El cliente DHCPv6 para la estacin de trabajo Ubuntu ya est instalado y

funcionando. La configuracin del fichero client.conf determinar el grado de
complejidad y las diferentes opciones de la direccin obtenida.
3.3.4. DHCPv6 Cliente Windows XP
Como sabemos, la opcin TCP/IPv6 en windows XP no puede configurarse de
forma grfica en XP (SP3). El proceso es el mismo tanto si el servidor DHCPv6 es
Linux o Windows:
Para configurar el cliente de windows XP vamos a utilizar el cliente dibbler, que
podemos descargar desde:
Pag: 107
http://www.google.com/url?q=http%3A%2F%2Fklub.com.pl%2Fdhcpv6&sa=D&sn
tz=1&usg=AFrqEzdiHchTKXvdz6GeCxyYvUXl_Q2p-g
o directamente:
http://www.google.com/url?q=http%3A%2F%2Fklub.com.pl%2Fdhcpv6%2Fdibbler%2Fdibbl
er-0.7.2-win32.exe&sa=D&sntz=1&usg=AFrqEzenYtanrH1fvC_tm80dbgagZc-bnQ
en este caso instalamos la versin 0.7.2

Una vez descargado el fichero la instalacin es tan simple como otra cualquiera en
windows. Veamos las ventanas:
Ejecutamos el .exe:
Aceptamos la licencia GNU de dibbler:
Vamos a instalarlo en C:\dibbler
Pag: 108
Personalizamos la instalacin, ya que esta versin para Windows de dibbler permite

tambin instalar el servidor DHCPv6 en cualquier ordenador. En este caso, nosotros
desactivamos la opcin DHCPv6 server porque para funciones de servidor vamos a usar
servidores especficos Ubuntu y/o Windows 2008 Server.
Elegimos icono y nombre del programa:
Pag: 109
Pulsamos install y aceptamos las ventanas siguientes:
Al finalizar dibbler se instalar en windows XP como un servicio. Para consultarlo:
Pag: 110
Inicio-->Panel de control-->Herramientas administrativas-->Servicios
Para la configuracin de la interfaz de red usaremos cualquier editor de texto para

abrir el fichero de configuracin c:\dibbler\client.conf
Descomentamos (quitamos #) en las lineas indicadas y sustituimos "Local Network

Adapter" por el nombre de nuestro adaptador de red. En nuestro caso "Conexin de
rea local" (Se debe tener en cuenta las maysculas/minsculas y las tildes). Est es la
configuracin ms bsica. En fichero client.conf puede configurarse de muchas
maneras.
Una vez guardado el fichero la configuracin ya ha terminado. Si por ejemplo el
servidor que utilizamos es el Ubuntu-Server 9.10 que hemos configurado en el apartado
anterior, la direccin otorgada podra observarse desde la interfaz de comandos de la
siguiente manera:
Pag: 111
Utilizando el servidor Windows 2008 Server que hemos configurado el resultado

sera:
El hecho de que la direccin asignada por Ubuntu-Server sea global (2000::/3) y la

asignada por Windows 2008 Server privada dentro de una organizacin (FD00::/8) no
tiene ninguna relevancia. Lo hemos decidido para que exista mayor claridad a la hora
de entender las distintas posibilidades.
Pag: 112
Para terminar, si tenemos algn problema al obtener la direccin desde el servidor,

podemos detener y volver a iniciar el servicio dibbler-client desde el entorno grfico de
XP o ejecutando c:\dibbler\dibbler-client stop y a continuacin c:\dibbler\dibblerclient start desde la interfaz de comandos.
Adems podemos reiniciar la obtencin de direccines ejecutando: netsh interface
ipv6 renew tambin desde la interfaz de comandos.
3.3.5. DHCPv6 Cliente Windows 7
Windows 7 no necesita instalar ningn cliente para la obtencin de direcciones IPv6
desde un servidor DHCPv6. Basta con indicar en la configuracin del protocolo
TCP/IPv6 que la direccin se obtendr automaticamente. Veamos:
Inicio-->Panel de control-->Redes e Internet-->Centro de redes y recursos
compartidos-->Conexin de rea local-->Propiedades-->Protocolo de Internet versin
6(TCP/IPv6)
Si el servidor que poseemos en la red est configurado como nuestro Ubuntu-Server

9.10, el cliente windows 7 obtendr la siguiente configuracin automaticamente:
Pag: 113
Sin embargo si el servidor de la red es el Windows 2008 Server, obtendramos:
La obtencin de la direccin por parte del cliente de windows 7 es automtica.
Pag: 114
3.4.
Configuracin manual.
Como indicamos anteriormente, un PC IPv6 tpico no necesita configurar

manualmente su direccin IPv6. Este mtodo est orientado a servidores y/o routers
IPv6. Sin embargo en caso necesario, la configuracin manual es muy sencilla y como
es habitual en la mayora de los sistemas operativos puede hacerse de forma grfica o
mediante la interfaz de comandos.
Vamos a analizar la configuracin manual de los PC en los siguientes sistemas
operativos
Ubuntu-Linux 9.10
Windows
3.4.1. Configuracin manual en Ubuntu-Linux
Vamos a analizar los siguientes puntos:
Aadir direcciones IPv6 en Ubuntu-Linux.
Mediante el entorno grfico.
Mediante comandos.
Ms opciones de la configuracin manual en Ubuntu-Linux.
Aadir direcciones IPv6 en Ubuntu-Linux:

3.4.1.1. Mediante el entorno grfico:
SistemaPreferenciasConexiones de redMarcamos la interfaz deseada, en

nuestro caso Auto eth0 y pulsamos editar
Seleccionamos el metodo Manual
Pag: 115
Y podemos escribir la direccn y el prefijo que deseamos introducir de forma

manual. En este punto es importante recalcar que el usuario que ejecuta el entorno
grfico debe tener privilegios de administrador o root. Si es un usuario normal la
opcin APLICAR permanecera inactiva.
Por ejemplo, supongamos que queremos introducir la siguiente direccin unicast:
2001:db8:290c:1291::3/64
Pulsamos Aplicar y probablemente nos pedir una contrasea con privilegios para
realizar el cambio. Introducimos la contrasea. La direccin ha sido asignada tal y
como lo indica la ventana grfica.
Pag: 116
Para corroborar que la direccin ha sido asignada correctamente podemos abrir la

terminal y ejecutar el comando ip addr show. Como observamos en el grfico, es
correcto.
3.4.1.2. Mediante comandos:
Por ejemplo, para configurar una direccin IPv6 unicast 2001:db8:290c:1291::3 en

la interfaz eth0:
ip addr add direccion_ipv6 dev nombre_interfaz
En nuestro caso:
ip addr add 2001:db8:290c:1291::3 dev eth0
Si lo hemos escrito correctamente veremos que la nueva direccin ha sido aadida

para la interfaz especificada. Como indicamos anteriormente, aunque podamos usar
ifconfig, este comando ha sido sustituido por el uso del comando ip. Veamos la
respuesta obtenida en ambos casos:
Pag: 117
Para determinar el correcto funcionamiento podemos utilizar el comando ping6 a la

nueva direccin.
ping c 4 2001:db8:290c:1291::3
Los resultados obtenidos son satisfactorios.

Ms opciones de la configuracin manual en Ubuntu-Linux:
En el caso anterior, hay que destacar que la configuracin que hemos realizado
desaparecer cuando reiniciamos el ordenador. Es decir, la direccin de mbito
Pag: 118
global 2001:db8:290c:1291::3 no ser

automticamente la direccin de enlace local.
asignada.
Solamente
se
configura
Para hacer permanente la asignacin de la direccin global deberemos especificarlo

en el fichero /etc/network/interfaces de Ubuntu-Linux. Veamos como podemos hacerlo:
Vamos a editar el fichero usando gedit
Deberemos introducir la nueva direccin a continuacin:
Para reiniciar el adaptador anteriormente usbamos ifdown y luego ifup
Sin embargo, actualmente se recomienda el uso del comando ip

sudo ip link set dev eth0 down
sudo ip link set dev eth0 up
Veamos la configuracin y observaremos que la direccin es permanente.
Obviamente, si reiniciamos el ordenador, la direccin de mbito global permanecer
configurada:
Pag: 119
Como vimos anteriormente el comando ip permite muchas ms opciones de

configuracin:
Para mostrar las interfaces bastara con escribir:

sudo ip link show
Podramos mostrar una interface concreta indicndolo:
sudo ip link show eth0
Si queremos eliminar la direccin que hemos introducido anteriormente, bastaria con
ejecutar:
sudo ip addr del 2001:db8:290c:1291::3 eth0
Como hemos indicado para modificar opciones de una interfaz ip link set posee las
siguientes opciones:
Para activar o desactivar una interface:

ip link set eth0 on
ip link set eth0 off
Por ejemplo para indicar la unidad mxima de transferencia de una interfaz:
ip link set eth0 mtu tamao_en_bytes
Hemos utilizado eth0 para los ejemplos, pero logicamente la interfaz puede ser la
que cada uno desea dentro de las interfaces configuradas en el ordenador.
Pag: 120
Mediante el uso de la ayuda en cada caso, el usuario interesado podra profundizar

ms en el estudio de cada una de las opciones.
3.4.2. Configuracin manual en Windows
Vamos a analizar los siguientes puntos:
Aadir direcciones IPv6 en Windows XP.
Mediante comandos.
Aadir direcciones IPv6 en Windows 7
Mediante comandos.
Ms opciones de la configuracin manual en Windows.
3.4.2.1. Aadir direcciones IPv6 en Windows XP:
Veamos que posibilidades existen tanto desde el entorno grfico como desde la
interfaz de comandos:
a)Mediante el entorno grfico:
En Windows XP de momento (es casi seguro que Microsoft no realizar los cambios
necesarios) la configuracin de IPv6 no puede modificarse desde el interface grfico.
Al contrario de lo que ocurre para IPv4, la opcin Propiedades de cualquier interfaz de
red que seleccionemos ( InicioPanel de controlConexiones de red, seleccionar
interfaz y botn derecho ) permanece inactiva.
Pag: 121
Por lo tanto para modificar las configuraciones usaremos la interfaz de comandos

con netsh.
b)Mediante la interfaz de comandos:
Por ejemplo, para configurar una direccin IPv6 unicast 2001:db8:290c:1291::1 en
la interfaz Conexin de rea Local con un valor infinito para los parmetros valid
lifetime y preferred lifetime y hacer que este cambio sea persistente (no cambie cada
vez que se reinicia el sistema):
netsh interface ipv6 add address "Conexin de rea local" 2001:db8:290c:1291::1
Se debe tener cuidado al escribir el nombre puesto que "Conexin de Area local" es
distinto de "Conexin de rea local" tanto en la A mayscula como en la tilde.
Cualquier error de sintaxis obtendra la siguiente respuesta:

para la interfaz especificada.
Pag: 122
Una opcin mucho ms sencilla es indicar el ndice de la interfaz (el nmero) en

lugar de su nombre, en nuestro caso, sera el 4, por tanto, podramos hacer lo mismo
escribiendo:
netsh interface ipv6 add address 4 2001:db8:290c:1291::1
Para determinar el correcto funcionamiento podemos utilizar el comando ping a la
nueva direccin.
ping :2001:db8:290c:1291::1
Los resultados obtenidos son satisfactorios
Pag: 123
3.4.2.2. Aadir direcciones IPv6 en Windows 7:
Veamos que posibilidades existen tanto desde el entorno grfico como desde la
interfaz de comandos:
a) Mediante el entorno grfico:
Usando el entorno grfico:
Inicio--> Panel de control --> Redes e internet --> Centro de redes y recursos
compartidos:
Pulsamos Conexin de rea local.

Aparece una ventana indicando el estado de la conexin, pinchamos sobre
Propiedades
Pag: 124
Pulsamos Protocolo de Internet versin 6 (TCP/IPv6) y Propiedades
Basta con escribir la nueva direccin IPv6, la longitud del prefijo y la puerta de
enlace si es que existe.
b) Mediante la interfaz de comandos:
Desde la interfaz de comandos, utilizando netsh:
En Windows 7 al ejecutar la interfaz de comandos, a veces como en este caso es
necesario ejecutarla con privilegios de administrador (como ocurre con sudo en Linux).
Para ello, buscaremos el icono de la interfaz de comandos desde Inicio y pulsaremos
sobre el botn derecho:
A continuacin clickaremos sobre la opcin "Ejecutar como administrador".

Vamos a configurar una nueva direccin IPv6 2001:db8:290c:1291::2 en la interfaz
Conexin de rea local con un valor infinito para los parmetros valid lifetime y
Pag: 125
preferred lifetime y hacer que este cambio sea persistente (no cambie cada vez que se
reinicia el sistema):
netsh interface IPv6 add address "Conexin de rea local" 2001:db8:290c:1291::2
Tal como indicamos en la instalacin manual de XP se debe tener cuidado al escribir

el nombre puesto que "Conexin de Area local" es distinto de "Conexin de rea local"
tanto en la A mayscula como en la tilde.

para la interfaz especificada:
Pag: 126
Una vez entendida la instalacin de IPv6 y su resultado en W7 para determinar el

ping 2001:db8:290c:1291::2
Los resultados obtenidos son satisfactorios
c) Ms opciones de la configuracin manual en Windows:

El entorno netsh diseado por Microsoft puede utilizarse en todas las versiones
modernas de Windows. Por ello, vamos a analizar algunas opciones ms que podeis
probar desde Windows XP, Windows Vista, Windows 7, etc
Obviamente, la configuracin manual de IPv6 no consiste unicamente en aadir
direcciones IPv6. Existen muchas ms opciones. En el entorno netsh in ipv6 aparecen:
Donde se especifica para que podemos utilizar cada opcin. Por ejemplo, si
quisieramos eliminar la direccin aadida utilizaramos la opcin delete. Para ver sus
opciones:
Pag: 127
Por tanto escribiramos:

netsh in ipv6 delete address 2001:db8:290c:1291::2
Podemos eliminar una interfaz completa, una direccin concreta de una interfaz, etc.
Para reiniciar las direcciones IPv6:
netsh in ipv6 renew
Otra opcin interesante para realizar modificaciones es set
Por ejemplo dentro de la opcin: netsh in ipv6 set address
Pag: 128
Podramos indicar que nuestra direccin IPv6 es permanente o persistente, es decir

se mantiene aunque reiniciemos el ordenador, indicando:
netsh in ipv6 set address Conexin de rea local 2001:db8:290c:1291::2
store=persistent
El usuario interesado podra profundizar ms en el estudio de cada una de las
opciones.
Pag: 129
3.5.
Planificacin de una red IPv6
La secuencia de pasos a dar para realizar la implementacin de una red IPv6 sera la
indicada en la tabla siguiente
Tarea
Descripcin
1. Preparar el hardware para

Comprobar que el hardware se pueda utilizar
admitir IPv6.
con IPv6.
2. Disponer de un ISP que admita
Buscar un ISP que admita IPv6. Se pueden
IPv6.
utilizar dos ISP, uno para IPv6 y otro para IPv4.
3.
Comprobar
que
las
Verificar que las aplicaciones sean compatibles
aplicaciones estn preparadas con IPv6.
para funcionar con IPv6.
4. Disponer de prefijo de sitio
Solicite al ISP un prefijo de sitio de 48 bits.
5. Crear un plan de direcciones de

Se debe planificar la topologa de red IPv6
subredes.
global y el esquema de direcciones para poder
configurar IPv6 en los distintos nodos de la red.
6. Disear un plan para el uso de
Establezca los routers que deben ejecutar
tneles.
tneles a otras subredes o redes externas.
7. Crear un plan de direcciones
Se debe planificar la direccin de servidores,
para entidades de la red.
routers y hosts antes de configurar IPv6.
8.Desarrollar
directrices
seguridad de IPv6.
de
A la hora de desarrollar directrices de

seguridad de IPv6, consulte las funciones de filtro
IP, arquitectura de seguridad IP (IPsec), Internet
Key Exchange (IKE) y otras funciones de
seguridad
9. (Opcional) Configurar una

Por motivos de seguridad, se precisa un plan de
DMZ.
direcciones para la DMZ y sus entidades antes de
configurar IPv6.
10.Habilitar los nodos para que
admitan IPv6.
11. Activar los servicios de red
Configurar IPv6 en todos los hosts y routers.
Comprobar que los servidores puedan admitir

IPv6.
12. Actualizar los nombres de

Comprobar que los servidores DNS, NIS y
servidor para la compatibilidad LDAP se actualicen con las nuevas direcciones
Pag: 130
con IPv6.
IPv6.
Ms informacin en el documento original Gua de administracin de sistema:

Servicios IP de Sun Microsystem
Pag: 131
4. Mecanismos de trasicin para conseguir conectividad.

En la transicin buscamos la compatibilidad de los host y redes IPv6 con redes
IPv4 existentes.
El Mecanismo explica la forma de crear tneles.
El tnel es el camino virtual que se crea para atravesar redes IPv4.
El mecanismo se sirve de tneles para enviar datagramas IPv6 encapsulados en
paquetes IPv4 y adems, emplea infraestructuras IPv4 para comunicacin con redes
IPv6 y viceversa, ya que es necesaria la coexistencia de los dos protocolos durante un
tiempo indefinido.
Existen varios mecanismos para utilizar las infraestructuras IPv4 mientras la red
IPv6 est siendo implantada. Los mecanismos se clasifican en:
IPv6 in IPv4
IPv6 to IPv4
Teredo
Mientras nuestro proveedor de Internet no nos ofrezca una direccin ipv6 para
nuestro ADSL no podremos tener una red IPv6 nativa en la Empresa.
EJEMPLO:
Supongamos un ordenador de la Red Empresa1 desea ver la pgina Web de otro

ordenador de la Red de la Empresa 2. Cada Empresa tiene un tnel configurado cuyo
Pag: 132
extremo inicial es un nodo (Firewall, host de la Empresa) que conecta con un servidor
en Internet (extremo final). Los dos nodos tienen una direccin IPv4 asociada.
En el Navegador pondramos http://[ipv6 de ord. Pagina web]
El paquete que se genera en el ordenador es un paquete con formato IPv6.
Este paquete llega hasta el Firewall y se encuentra con el extremo inicial del
tnel. En este momento se encapsula en un paquete IPv4. Sale por el ADSL
hasta llegar al broker1 (mecanismo usado para crear el tnel).
10.10.10.50 216.66.80.26
IPv6 ori.
IPv6 desti.
Datos
Una vez el paquete llegue al broker1 este vuelve a desencapsularse y se

convierte a un paquete con formato IPv6. Este paquete atraviesa la red IPv6
nativa hasta llegar al broker2 (broker con el que tiene el tnel la Empresa 2.
No necesariamente el mismo que el de la Empresa1).
IPv6 ori.
IPv6 desti.
Datos
En este momento el paquete debe encapsularse en un paquete IPv4

nuevamente para llegar a la Empresa2 atravesando el tnel que tiene
configurado.
216.66.82.34 10.13.2.5
IPv6 ori.
IPv6 desti.
Datos
Al final del tnel se vuelve a desencapsular convirtindose en un paquete

IPv6 llegando al ordenador final que tiene la pgina Web que se ha pedido.
La direccin del extremo final del tnel ha de ser determinada a travs de
informacin de configuracin en el nodo que realiza el tnel (extremo inicial del tnel),
Tnel configurado se denomina a aquel tipo de tnel donde el extremo final del
tnel es explcitamente configurado.
4.1.
IPv6 in IPv4
Los proveedores de tneles (broker) que se ajusten a los principios de RFC 3053
describen un sistema con el cual los usuarios pueden solicitar la creacin de un tnel
IPv6 en un host llamado Punto de Presencia (PoP) ofreciendo al usuario conectividad
IPv6.
Existen aplicaciones que permiten utilizar, de forma libre y gratuita, nuestras
direcciones Ipv4 actuales, sobre las infraestructuras IPv4, para acceder a redes y sitios
IPv6.
Pag: 133
El tunnel broker es el lugar donde el usuario se conecta para registrar y activar

su tnel. El broker gestiona (crea, modifica, activa y desactiva) el tnel en nombre
del usuario. No requiere la configuracin de un Router. Se trata de ISPs IPv6
virtuales, proporcionando conectividad IPv6 a usuarios que ya tienen conectividad
IPv4.
El mecanismo para su configuracin es tan sencillo como indicar en un formulario
Web, datos relativos al S.O., la direccin IPv4, un apodo para la mquina, y el pas
donde est conectada. El servidor de tneles crea los registros DNS, el extremo final del
tnel, y genera un script para la configuracin del cliente.
Un ejemplo de este sistema es http://www.tunnelbroker.net.
El tunnel server es un Router con pila doble (IPv4 e IPv6), conectado a Internet,
que siguiendo rdenes del broker crea, modifica o borra los servicios asociados a un
determinado tnel/usuario.
Pila doble: Consiste en usar los protocolos Ipv4 e Ipv6 simultneamente en pilas
separadas. En cada pila tendr una direccin IP de cada tipo, estas pueden estar o no
relacionadas. De esta forma, un dispositivo de este tipo puede comunicar enviando
trfico con nodos que soportan uno de los dos protocolos.
http://lacnic.net/documentos/lacnicxi/presentaciones/Intro_Consulintel_Tutorial_IPv6_LACNIC_XI_v1_2.pdf
El tnel creado es un tnel directo entre un punto y otro punto. No se tiene acceso
directo a internet con IPv6. Se puede configurar el tnel manualmente (bien el usuario
mediante un comando o el sistema operativo porque lo tiene configurado) o
automticamente (el broker).
Hay una variedad de proveedores de tneles que proporcionan sus propias
implementaciones basadas en los objetivos de negocio.
Pag: 134
Vamos a mostrar una tabla con los distintos proveedores de Tnel broker existentes.
Proveedor Cobertura
Hurricane
Electric[4]
Estados
Unidos,
Canad,
Europa (6
pases),
Hong Kong,
Tokio
SixXS
Estados
Unidos,
Brasil, Europa
(13 pases),
Nueva
Zelanda[5]
Montreal,
gogo6/Free Amsterdam,
net6[2]
Taipei,
Sydney
Subred
Protocolos
Esttico
RD
NS
B
G Registro
P
/ 64 y
/48
subred
6in4
/ 64 del
tnel y
de
subred /
48
/ 56 de
subred
6in4,
AYIYA
6in4,
4in6,
TSP
Requiere
registro
Configuracin Idioma
Sitio web
Ingls
RIPE,
ARIN,
APNIC,
TIC /AICCU,
LACNIC,
Manual,
Ingls
AFRINIC,
pgina web
O
directamen
te registro
Annimo,
o un
registro
(mediante TSP,
el registro Sitio web
en
gogoNET]
)
Ingls
En la tabla anterior se muestra la siguiente informacin:

Proveedor
El nombre del proveedor de tneles.
Cobertura
Lugares donde el proveedor de tneles tiene puntos de presencia.
Subredes
Las mscaras de red que provee.
Protocolos
Los protocolos de tunelado son provistos por el proveedor. Esto tiene

impacto para la posibilidad de usar los tneles en mquinas que se
encuentran detrs de NAT o en casos donde la IPv4 del usuario
cambia frecuentemente.
Esttico
Indica si el proveedor de tneles provee direcciones estticas.
Reversos
Si el proveedor entrega DNS inversos.
BGP
Si el proveedor provee opcionalmente ruteo BGP sobre el tnel. BGP

significa Border Gateway Protocol. Este ltimo es un protocolo
Pag: 135
mediante el cual se intercambia informacin de encaminamiento entre

sistemas autnomos.
Registro
Los mtodos de registro disponibles, si se requirieran.
Configuracin Mtodos que estn disponibles para configurar tneles y subredes

provistas por el proveedor.
Idiomas
Idiomas que estn soportados por las interfases web y otros canales de
comunicacin de los proveedores.
Brokers Manuales: Hurricane Electric...

Brokers automticos: SixXS, Freenet6, Hexago...
NOTA:
Freenet es un brker que se comunica muy bien con cualquier tipo de tnel
(6in4, 6to4).
Hurricane se comunica bien hacia Freenet pero no hacia 6to4. Para que esta
comunicacin sea posible hace falta un relay router.
4.2.
IPv6 to IPv4
Este mecanismo fue diseado para permitir conectividad IPv6 sin la cooperacin de
los proveedores de internet.
Este sistema puede funcionar en un Router (proveyendo conectividad a toda
una red) o en una mquina en particular. En ambos casos se necesita una
direccin IP pblica para crear el tnel.
Muchas mquinas estn conectadas a Internet IPv4 a travs de uno o varios
dispositivos NAT, por lo general a causa de la escasez de direcciones IPv4.
En tal situacin, la nica direccin IPv4 pblica disponible se asigna al
dispositivo NAT, el extremo del tnel 6to4 debe aplicarse en el
dispositivo NAT.
La clave del sistema consiste en la asignacin de direcciones IPv6 que
contienen embebida la direccin IPv4 pblica. No hace falta configuracin,
ya que todas las IPv4 pblicas son nicas y por lo tanto, tendremos tambin
una IPv6 equivalente nica.
Estas direcciones tienen todas el prefijo 2002::/16. De esta manera, cuando es
necesario convertir un paquete IPv6 para que atraviese la red IPv4, el Router sabe la
direccin a la que debe estar dirigido el paquete IPv4 generado.
Pag: 136
Ejemplo del resultado de una IPv6 a partir de una IPv4 pblica:

IPv4: 1.2.3.4
IPv6: 2002:0102:0304::1
Vamos a ver un ejemplo de creacin de un tnel 6to4 en una mquina Debian y
que tiene asignada una IPv4:
Para calcular una direccin IPv6 a partir de una IPv4 podemos usar las rdenes
ipv6calc y printf. Para usar la orden ipv6calc previamente deberemos instalarla.
#apt-get install ipv6calc
# ipv6calc --quiet --action conv6to4 1.2.3.4
#printf 2002:%02x%02x:%02x%02x::1\n a b c d
El gateway es siempre una direccin especial anycast (192.88.99.1) que apunta al

Router 6to4 ms cercano.
Vamos a usar la Interface sit0 que tiene el deban desactivada.
IP pblica ADSL 79 148 113 222
DECIMAL
IP pblica ADSL 4f
HAXADECIMAL
94
71
de
#nano /etc/network/interfaces
auto sit0
iface sit0 inet6 static
address 2002:4f94:71de::1 (4F94:71 de IP pblica del ADSL en hexadecimal)
netmask 16
gateway ::192.88.99.1
endpoint any
local 79.148.113.222 (Ip pblica del ADSL)
Pag: 137
Este mecanismo funciona an cuando la direccin IPv4 global (pblica) es nica y se

accede a la red mediante mecanismos NAT (Network Address Translation), que es el
caso ms comn en las redes actuales para el acceso a Internet a travs de ISPs.
El mecanismo 6to4 est basado en la creacin de tneles ipv6-in-ipv4. Su
filosofa es permitir a los nodos Ipv4 que implementen el mecanismo 6to4.
Obtener una direccin Ipv6 basada en la direccin Ipv4 pblica del nodo y
poder contactar a travs de Ipv6 bien con otros nodos 6to4, usando para ello
la red Ipv4 como transporte, o bien con otros nodos Ipv6 nativos usando para
ello relays 6to4.
http://www.ipv6tf.org/images/figure_6to4.jpg
En el caso en el que se conectan dos redes que utilizan 6to4 la relacin

es simtrica. los Routers de ambos sistemas intercambian entre s los
paquetes.
Para enviar un paquete a una direccin IPv6 "nativa" es necesario, en
cambio, enviarlo a un Router que est conectado a la red IPv6 real. Esto se
logra enviando el paquete a una direccin anycast: 192.88.99.1. El emisor no
necesita saber dnde est ese Router, y se espera que muchas de las distintas
redes que conforman internet provean Routers que respondan a esta
direccin. Asimismo, desde la red pura IPv6 cuando un paquete est
destinado a una red 6to4 debe ser dirigido a un Router que anuncie manejar
el prefijo 2002::/16.
Cuando la direccin IPv4 utilizada es fija, el prefijo IPv6 que se genera en
base a ella es fijo tambin.
Pag: 138
4.3.
Teredo.
El objetivo de este mecanismo es dar conectividad IPv6 a aquellos usuarios que se

encuentran detrs de un NAT y que por lo tanto el host tiene una IP privada.
Su funcin es encapsular paquetes Ipv6 dentro de datagramas UDP-IPv4 para poder
atravesar dispositivos NAT y la red de Internet IPv4.
De forma similar a 6to4, este sistema se habilita de forma automtica aportando una
direccin IPv6 a los nodos Windows Xp/ 2003/ Vista y Windows 7 finales del usuario
cuando se cumplen las siguientes condiciones:
La pila IPv6 est habilitada
No existe conectividad nativa IPv6 y no dispone de una direccin IPv4
pblica.
Teredo desempea mltiples funciones:
Determina la conectividad UDP sobre IPv4 y descubre el tipo de nat presente
(DNAT, SNAT).
Asigna una direccin IPv6 nica global a cada host.
Enruta trfico entre host con Teredo y host IPv6 nativos (es decir, que no
usan Teredo)
Teredo aporta una direccin IPv6 con la siguiente forma a cada host:
Bits
0 - 31
32-63
64-79
80-95
96-127
Longitud
32 bits
32 bits
16 bits
16 bits
32 bits
Descripcin Prefijo
puerto UDP
IPv4 pblica del cliente
Ejemplo
63bf
c000:022d
40000
192.0.2.45
Teredo
Server Flags
IPv4
2001:0000 4136:e378
8000
65.54.227.120
cdigo Nat
http://en.wikipedia.org/wiki/Teredo_tunneling
El mecanismo Teredo requiere de cierta infraestructura, como servidores y

relays Teredo. Los servidores usualmente no redireccionan paquetes de
datos. Su funcin principal es facilitar el direccionamiento entre clientes y
relays Teredo. Por lo tanto, Teredo Server debe estar en la red pblica de
internet IPv4.
Pag: 139
Los host se conectan con los nodos Teredo Server y estos ltimos detectan
detrs de qu tipo de nat se encuentra el cliente. El host (Teredo cliente)
mantiene un vnculo permanente con Teredo Server enviando cada cierto
tiempo paquetes UDP. Este sistema asegura que el servidor puede contactar
con cualquiera de sus clientes y que el tnel est activo.
Los Relays Teredo son puertas de enlace entre internet IPv6 y los clientes
teredo. Su funcin principal es la transmisin y recepcin real de los
paquetes de trfico IPv6. Los relays deben estar en internet IPv4 e IPv6.
Estos relay pueden contactar con Servidores Teredo si lo necesitan para
redireccionar paquetes.
En la prctica, cundo un nodo Teredo Cliente quiere contactar con un nodo
IPv6 nativo, debe encontrar el Teredo relay que le corresponde (el cul
pblica los n de puertos UDP y una direccin pblica IPv4 para enviar
paquetes IPv6 encapsulados). Gracias a esta informacin el paquete se
encapsula en paquetes IPv4 y se transmiten a travs de su tnel hasta el
Teredo relay. Este desencapsula el paquete y lo enva a Internet IPv6, de
modo que el paquete finalmente debe alcanzar el nodo IPv6.
El servidor Teredo requiere poco ancho de banda debido a que no estn
involucrados en la transmisin y recepcin real de los paquetes de trfico
IPv6. Adems, no requiere de ningn acceso a los protocolos de
enrutamiento de Internet.
Un Teredo Relay potencialmente requiere mucho ancho de banda de Red.
De esta forma, Teredo Relay recibir el trfico desde cualquier host IPv6
dirigido a cualquier cliente Teredo, y lo remitir en formato UDP/IPv4.
Pag: 140
Servidores de Teredo pblicos:

teredo.remlab.net / teredo-debian.remlab.net (Francia)
teredo.autotrans.consulintel.com (Espaa)
teredo.ipv6.microsoft.com (por defecto para Windows XP/ 2003 / Vista /
2008 / 7)
teredo.ngix.ne.kr (Sur de korea)
teredo.managemydedi.com (USA, Chicago)
Teredo slo puede proporcionar una direccin IPv6 nica por el tnel a un punto
final. Como tal, no es posible utilizar un nico tnel Teredo para conectar varios hosts.
Para que los tneles Teredo funcionen los Firewalls no deben filtrar los paquetes
UDP 3544 entrantes ni salientes.
Pag: 141
5. EJEMPLOS de tuneles: Tunnel Broker y Teredo

En este apartado vamos a exponer diferentes ejercicios resueltos.
1. Creacin de tnel en un host con Windows con freenet6
2. Creacin de tnel de un firewall de Debian con hurricane
3. Creacin de tnel Teredo
5.1.
Creacin de tnel en un host con Windows con Freenet6.
La red que tenemos es una LAN IPv4 detrs de un ADSL con su IP pblica. Esta
vez no existe un Firewall entre el ADSL y la LAN.
Vamos a ver los pasos a seguir para crear un tnel con freenet6 en un host
(Windows) de la LAN (en este caso estamos detrs de NAT) y de esta manera conseguir
conectividad Ipv6 para este host teniendo Ipv4.
Antes de comenzar unas notas:
1. Nosotros vamos a configurar en el host la parte cliente (gogoCLIENT) del
tnel. El cliente deber interactuar con el servidor (gogoSERVER).
2. El tnel utiliza el protocolo TSP que establece y mantiene el tnel de datos
esttico. GogoCLIENT conecta con gogoSERVER y obtiene informacin
relativa al tnel usando el protocolo TSP. Si el host donde se va a crear el
tnel se encuentra detrs de un FIREWALL deberemos abrir el puerto 3653
en el mismo. En nuestro caso no estamos detrs de un FIREWALL por
lo tanto no abriremos ningn puerto.
3. El cdigo fuente es la misma para casi todas las plataformas cliente.
4. Se puede configurar el cliente para conectarse a un nico gogoSERVER o a
mltiples SERVIDORES. Esta flexibilidad tiene dos propsitos: Ofrecer
mejor calidad de servicio permitiendo a los usuarios conectarse al servidor
ms cercano y mantener redundancia de forma que ante cualquier suceso en
el que un servidor no est disponible el tnel seguir funcionando.
5. Existe un interfaz grfico para el sistema Operativo Microsoft Windows que
permite una fcil configuracin del tnel y que ofrece un informe con el
estado del servicio.
Pag: 142
COMENCEMOS:
Crear una cuenta
Como primer paso, tenemos que ir a la web de gogo6:
http://www.gogo6.com
Haremos clic en el vnculo que pone Freenet6 y nos aparecer la siguiente ventana
en la cual tendremos que elegir la opcin Sign Up:
Rellenaremos el formulario que nos aparece completando as el registro.
Pag: 143
Una vez registrados, podremos iniciar sesin introduciendo los datos del registro y
haciendo clic en Sign In.
Descarga de software
Una vez iniciada la sesin, nos aparece una ventana en la que tendremos que hacer
clic en DOWNLOAD Latest gogoCLIENT .
Se nos abrir una ventana con dos versiones diferentes, Basic Version y Home
Access versin. Descargamos la que nos convenga. Esta ltima se diferencia de la
primera porque dispone de una herramienta llamada HomeAccess que permite utilizar el
software como servicio web.
Pag: 144
Instalacin de gogoCLIENT
Se nos descargar un fichero ejecutable en el que haremos doble clic y con una
rpida y sencilla instalacin dispondremos del software de gogo instalado en nuestro
PC.
Ejecutamos gogoCLIENT utility. Debemos tener permisos de administrador. Esta

utilidad nos permite conectarnos Identificndonos o annimamente al servidor freenet6
haciendo clic en el botn Connect de la pestaa Basic.
Pag: 145
La conexin se realizar segn el botn de opcin seleccionado:

Seleccionando Connect anonymously en Server Address escribiremos
anonymous.freenet6.net. Esta ser una conexin annima. Tan slo nos permitir
navegar con IPv6 en Internet. No podr nadie acceder a una pgina Web que tengamos
alojada en nuestra mquina. Adems, no dar una direccin Ipv6 a ningn host de
nuestra LAN.
Seleccionando Connect Using the Following Credentials en Server Address
pondremos authenticated.freenet6.net y en user name y password el nombre de
usuario y la contrasea del registro realizado en freenet. En este caso tendremos todas
las opciones comentadas si las tenemos activas en la configuracin avanzada que se
explica ms adelante.
La opcin launch de gogoclient service system at startup activada cada vez que
reiniciamos o encendemos el ordenador pondr el tnel en marcha. De forma
predeterminada tendremos la red con IPv6. No es conveniente tenerla activada por
seguridad.
Para conectarnos con una identificacin, previamente tendremos que registrarnos
desde la pgina web en la que nos aparecan las diferentes versiones de gogoCLIENT
haciendo clic en here.
Pag: 146
Utilizaremos los datos del registro para conectarnos con nuestra identificacin en la
pestaa Basic, con esta identificacin, podremos utilizar la utilidad de servicio web en
la versin HomeAccess.
Si clicamos en la pestaa Status, veremos la informacin que freenet6 nos ha
asignado, observando que se trata de una configuracin Ipv6 in UDP Ipv4. (Significa
que estamos detrs de nat).
La longitud del prefijo asignado es de 64 bits. En los tneles con conexin annima
el prefijo cambia respecto a la conexin autenticada. En el primer caso, el prefijo tiene
la forma 2001:5c0:1400:a:: /64 (acaba con a) y la direccin IPv6 que tiene asociada
cambia con cada conexin del tnel mientras que en el segundo el prefijo tiene la
forma 2001:5c0:1400:b:: /64 (acaba con b) y la direccin IPv6 es asignada de forma
Pag: 147
permanente al usuario y no cambia aunque el usuario se desplace a una direccin IPv4

nueva.
En el modo de autenticacin, existen dos mtodos disponibles para realizar la
autenticacin: autenticacin simple o autenticacin encriptada. Con la autenticacin
simple, la identificacin de usuario y contrasea se envan como texto sin cifrar, con la
autenticacin encriptada (MD5), SASL-DIGEST-MD5 se utiliza para cifrar la cuenta.
Para cada tnel autenticado se crea un registro AAAA en el servidor DNS de
Freenet6. El FQDN asociado con los tneles autenticados utiliza el formato
userid.broker.freenet6.net, donde userid es el nombre de la cuenta del usuario final.
Un usuario registrado como "increibleipv6" tendra la siguiente entrada DNS:
increibleipv6.broker.freenet6.net. Un usuario annimo no tiene registro DNS.
Varios host simultneamente no pueden autenticarse con el mismo usuario. De
forma annima desde cualquier host de la LAN se puede crear un tnel.
Se puede conseguir diferentes cuentas en freenet siempre y cuando tenga direcciones
de correo diferentes.
El tnel expirar a los pocos minutos despus de
desconectado.
que el cliente se haya
Desde este momento, podemos comprobar la conexin Ipv6 haciendo un ping a la

direccin de google desde la consola cmd.
En el momento en el que ejecutamos el software, podremos comprobar que nos ha

creado una conexin virtual que funciona de tnel.
Pag: 148
NOTA:
Para navegar bien con direcciones IPv6 es necesario que la versin del Navegador
Explorer sea 8 o posterior. Podemos personalizar la configuracin. Para ello en el
software de gogo6client elegiremos la ficha Advanced:
La primera opcin Tunnel Mode: Nos permite elegir entre varias opciones.
IPv6-inIPv4 Tunnel, IPv6-inIPv4 Tunnel (Native), IPv6-in-UDP-IPv4
Tunnel (NAT Transversal), y IPv6-inIPv4 Tunnel (DSTM). Si dejamos
seleccionado el valor por defecto (se muestra en la imagen), gogoCLIENT
preguntar a gogoSERVER cul es el tipo de tnel que ms le conviene
crear. gogSERVER analizar a gogoCLIENT y determinar el tipo de tnel
que le conviene establecer (nativo o con NAT transversal). En la ficha Status
podremos consultar el tipo de tnel que finalmente ha creado.
Pag: 149
La opcin Tunnel Authenticaion Method tiene por defecto

Automatic(ANY). Significa que va unida a la opcin seleccionada en la
ficha Basic. Esta ficha puede tener seleccionado anonymous o
authenticated. Si decidimos autentificarnos en Server Address
pondremos authenticated.freenet6.net. Adems, aadiremos el usuario y
contrasea. De lo contrario, pondremos anonymous.freenet6.net.
Connect to Best Server. gogoCLIENT enviar ping a todos los
gogoSERVER y se conectar con el gogoSERVER que devuelva en primer
lugar la respuesta. Si no consigue crear el tnel entonces lo intentar con el
gogoSERVER que haya respondido al ping en segundo lugar. Seguir
intentndolo mientras no tenga xito o no le queden ms gogoSERVER con
quien intentarlo. Si fallasen todos los intentos dar error.
Connect Using Preferred gogoSERVER se conectar al servidor
especificado. Si no consiguiese crear el tnel se limitar en notificar el error.
Entre las dos ltimas opciones elegiremos una de ellas.
Hay varias razones por las cuales gogoCLIENT puede no conseguir
establecer el tnel:
1. Cada gogoSERVER tiene un n mximo de usuarios que pueden
conectarse simultneamente. En periodos de mucho trfico podra
ocurrir que se supere el nmero.
2. gogoCLIENT puede estar intentando crear un tipo de tnel con un
gogoSERVER que no lo soporta.
Obtain Source IP Address Automatically es la opcin por defecto. Si el
host tiene varias tarjetas de red elegiremos Specify Source IP Address. En
este caso se escribir en la caja la direccin IPv4 con la cual se quiere crear
el tnel.
Enable Keepalive Funcionally indica cada cunto tiempo debe enviar un
paquete ICMP a gogoSERVER para asegurarse que la sesin del tnel sigue
activa. El valor por defecto es 30 segundos.
Enable Routing Advertisements option es usado para publicar la
disponibilidad de la conectividad IPv6 al grupo de interfaces de la red y
proporcionar el prefijo para que generen su propia direccin IPv6. Cundo se
activa esta opcin, gogoCLIENT espera que el servidor provea el prefijo
como parte de la negociacin del tnel. Si esta opcin est activada una vez
realizada la conexin, gogoSERVER le va a proveer de un prefijo al tnel y
este host publicar este prefijo a todas los host de la LAN. Cada host formar
su propia direccin IPv6 y tendr acceso a las pginas con IPv6. De esta
Pag: 150
manera podemos con un solo tnel dar direcciones IPv6 a cada host de la
LAN.
Poner una pgina Web accesible desde Internet. Trabajaremos con las otras
dos pestaas que tiene nuestro aplicativo HomeWeb y HomeAccess. En
la primera ficha activaremos el cuadro Enable Home Web y en la caja de
texto pondremos la ruta donde tenemos nuestra pgina Web alojada en el
disco duro.
En la ficha HomeAccess activaremos la casilla Enable Homeaccess y

aadiremos una lnea indicando la direccin Ipv6 que tenemos asignada en el host
y un nombre (el que queramos).
Pag: 151
La pgina web estar accesible en la siguiente conexin que realicemos.
5.2.
Creacin de tnel de un firewall de Bebian con Hurricane.
La red que tenemos es una red LAN IPv4 detrs de un Firewall Debian que a su vez
este est conectado a un ADSL con su IP pblica esttica.
El objetivo es crear un tnel desde un firewall dotndole de una direccin ipv6 hacia
internet y que pueda llegar a ver pginas web ipv6.
Es suficiente con registrarse en la pgina web http://tunnelbroker.net .
Al pulsar en Register saldr un formulario con la siguiente forma:
Pag: 152
Rellenamos el formulario, lo enviamos y recibiremos por Email un mensaje con la

informacin del usuario con el que a continuacin vamos a logearnos. Una vez hemos
entrado, elegimos Create regular tunnel se visualizar una ventana que nos pedir la
IP pblica que tiene nuestro ADSL. Al tener una IP esttica y estar asociada a nuestro
usuario en el servidor del Broker no nos obliga a identificarnos constantemente. A
continuacin saldr una ventana mostrndonos la informacin de nuestro tnel.
Pag: 153
Entre toda la informacin que hay observamos, la direccin IPv4 e IPv6 de los dos
extremos del tnel. Adems, un prefijo IPv6 que tenemos asignado en exclusividad para
dar una direccin IPv6 a cada host de nuestra LAN que se encuentra detrs del Firewall.
Con la cuenta creada en el Broker, procedemos a realizar nuestra instalacin en el
Debian.
Este Host es un ordenador con distribucin Debian que tiene dos tarjetas de Red,
una de ellas unida a la red LAN (eth1) y la otra a la Red del ADSL (eth0).
Este Host adems es un Firewall y un servidor Apache. Al Firewall le hemos puesto
polticas por defecto de Aceptar.
REQUISITOS:
1. La IPv4 pblica del ADSL debe ser esttica.
2. La direccin IPv4 de cada host de la LAN puede ser esttica o dinmica.
3. El tnel que se crea es autenticado no existe annimo como en Freenet6.
Desde la web de Hurrricane, por usuario solo se pueden crear 5 tneles, tiene esa
limitacin.
Primeros pasos:
1. Probar que el kernel de deban admite IPv6. Este debe ser posterior a 2.6
#cat /proc/net/if_inet6 && echo 'IPv6 sistema preparado!' || echo 'No se
encuentra el soporte IPv6. Compile el Kernel!!'
Pag: 154
2. Probar que el mdulo IPv6 est cargado:

modprobe IPv6
o
lsmod | grep ipv6
Resultado:
ipv6
411425 18
Creamos un archivo que tiene las ordenes iptables que configura el Firewall. Al
archivo le damos el nombre de permitir y lo almacenamos en la ruta /etc/init.d
apacheaeg:/etc/init.d# cat permitir
#!/bin/bash
pt=/sbin/iptables
for TABLE in filter nat
do
$pt -t $TABLE -F
$pt -t $TABLE -X
$pt -t $TABLE -Z
done
echo 1 >/proc/sys/net/ipv4/ip_forward
echo 1 >/proc/sys/net/ipv6/conf/all/forwarding
iptables -t nat -A POSTROUTING --protocol ! 41 -o eth0 -j MASQUERADE
En este archivo adems de poner las polticas por defecto Aceptar, se da la orden
de forwardear entre las tarjetas los paquetes IPv4 e IPv6. Adems, se da la orden de
enmascarar nicamente los paquetes IPv4. Los paquetes IPv6 usan el protocolo 41 y se
le est indicando al Firewall que no enmascare estos paquetes. Este archivo tiene un
enlace creado en /etc/rc2.d para que se ejecute cada vez que se inicia el Host.
/etc/init.d# chmod 777 permitir
/etc/init.d# ln s /etc/init.d/permitir /etc/rc2.d/S99_permitir
Ordenes para crear el tnel:
ip tunnel add he-ipv6 mode sit remote 216.66.80.26 local 10.10.10.50 ttl 255
Sintaxis:
ip tunnel [add|change|delete] nombre_tunel mode [ipip|sit|gre] remote [direci. Ipv4 b broker]
local [la ip de nuestro host] dev [periferico]
Los argumentos posibles son:
Pag: 155
name NOMBRE -- selecciona el nombre del tnel

mode MODO -- hay 3 modos disponibles: ipip, sit y gre
El modo ipip corresponde a un simple tnel IP sobre IP. Se encapsulan los paquetes
sin ms. El modo sit se usa para tneles IPv6. El modo gre corresponde a los tneles
GRE especificados por la compaa Cisco, que son tneles IP sobre IP cifrados.
remote DIRECCION -- direccin de 'salida' del tnel
local DIRECCION -- direccin local de 'entrada' del tnel
dev PERIFERICO-- nombre del perifrico a travs del que se envan los paquetes
ip tun show Esta orden muestra los tneles
ip link set he-ipv6 up
Esta orden sirve para levantar el tnel llamado he-ipv6

ip addr add 2001:470:1f08:744::2/64 dev he-ipv6
Permite asignar una direccin IPv6 al extremo local del tnel

ip route add ::/0 dev he-ipv6
Permite poner una ruta esttica. Cualquier paquete que est destinado a una
direccin IPv6 deber salir por el tnel llamado he-ipv6.
ip -f inet6 addr
El -f significa family, y al poner inet6 hace referencia a la familia IPv6. Si no se

pone nada por defecto es IPv4. Esta orden tiene carcter informativo y muestra las
direcciones IPv6.
Todas las rdenes juntas forman el script para crear el tnel. Se puede usar cualquier
editor de texto (nano, vi,..) :
apacheaeg:/etc/init.d# nano tunel
ip tunnel add he-ipv6 mode sit remote 216.66.80.26 local 10.10.10.50 ttl 255
ip link set he-ipv6 up
ip addr add 2001:470:1f08:744::2/64 dev he-ipv6
ip route add ::/0 dev he-ipv6
ip -f inet6 addr
/etc/init.d# chmod 777 tunel
/etc/init.d# ln s /etc/init.d/tunel /etc/rc2.d/S99_tunel
A este archivo se le ha dado permisos de ejecucin, se ha creado el enlace a rc2.d

para su ejecucin en el arranque. La orden ifconfig me muestra:
apacheaeg:/home/apacheweb# ifconfig
Pag: 156
Neighbor Discovery (ND) es un protocolo de IPv6, y es equivalente al protocolo

Address Resolution Protocol (ARP) en IPv4.
Consiste en un mecanismo con el cual un nodo que se acaba de incorporar a una red,
descubre la presencia de otros nodos en el mismo enlace. Este protocolo tambin se
ocupa de mantener limpios las caches donde se almacena la informacin relativa al
contexto de la red a la que est conectado un nodo. As cuando una ruta hacia un cierto
nodo falla el enrutador correspondiente buscara rutas alternativas. Emplea los mensajes
de ICMPv6, y es la base para permitir el mecanismo de autoconfiguracin en IPv6.
Ahora debemos configurar el radvd (router advertisement daemon) en el Firewall
para que publique el prefijo de nuestra subred a todos los nodos que se encuentran en la
LAN. Para esto, modificamos el archivo /etc/radvd.conf (sustituimos cualquier lnea que
ya existiese en el archivo) aadiendo las siguientes lneas:
NOTA: Si radvd no est instalado a priori deberemos hacerlo.
#apt-get install radvd
apacheaeg:/etc/init.d# cat ../radvd.conf
interface eth1
{
AdvSendAdvert on;
MinRtrAdvInterval 3;
MaxRtrAdvInterval 10;
prefix 2001:470:1f09:744::/64
{
AdvPreferredLifetime 120;
};
};
Pag: 157
El valor de MaxRtrAdvInterval significa el valor mximo en segundos entre envos

de paquetes "Router advertisement" y MinRtrAdvInterval tiempo mnimo en segundos
para el envo de un paquete "Router advertisement. AdvSendAdvert on, establece que
se enviaran paquetes Router advertisement" bajo solicitud por parte de uno de los
nodos o automticamente cada cierto tiempo.
Para poner el demonio radvd en marcha damos la orden:
apacheaeg:/etc/init.d# /etc/radvd restart
Stopping radvd: radvd.

Starting radvd: radvd.
Para que se ejecute de forma automtica el radvd deberemos en el archivo rc.local
que se encuentra en /etc aadir la lnea /etc/radvd.conf restart. Este archivo tiene un
enlace a rc2.d llamado S99rc.local.
/etc# nano rc.local
Aadir la lnea:
/etc/radvd.conf restart
NOTA: La ltima accin ha sido necesaria ya que el enlace que tiene el demonio
radvd en rc2.d llamado S50radvd no se ejecuta.
Despus de dar esta orden cada interface de la LAN tendr una direccin IPv6
formada con el prefijo que le ha dado el demonio ms la Mac de la tarjeta de Red. En
este instante tenemos una Red IPv6. La Red IPv4 se mantiene y est funcionando. Tan
slo falta darle una direccin IPv6 a la interface eth1 perteneciente al prefijo que nos
han dado: 2001:470:1f09:744::1. Para ello, editamos en archivo /etc/network /interfaces
y aadimos las siguientes rdenes:
iface eth1 inet6 static
address 2001:470:1f09:744::1
netmask 64
El archivo quedara de la siguiente forma:
Pag: 158
En este instante desde cualquier host de nuestra red tenemos posibilidad de consultar
Pginas web IPv6 en Internet. Adems, podemos ver nuestra pgina web en el Firewall
desde cualquier host que tenga una direccin IPv6.
Consultando la informacin de la interface del host que est detrs de la LAN
observamos:
La puerta de enlace que est detrs de la LAN es la direccin IPv6 (fe80:---) local
de la interface del Firewall. No utiliza la direccin global IPv6. El servidor DNS no
coge una direccin IPv6 utiliza una direccin IPv4. El servidor DNS IPv4 resuelve
direcciones IPv4 e IPv6.
Pag: 159
Un paquete que debe salir a Internet desde un host de la LAN, inicialmente ser
enviado a la interface del Firewall local (fe80), una vez el paquete ha llegado al router
este consulta en su tabla de enrutamiento la direccin Ipv6 por la que debe salir para
llegar a internet.
Vamos a ver la tabla de enrutamiento de direcciones Ipv6.
#route A inet6
La lnea resaltada indica que para ir a cualquier direccin IPv6 (::/0) se saldr por el
tnel he-ipv6.
5.3.
Creacin de tnel Teredo
Este sistema tan slo permite salir hacia fuera (ver pginas web) desde el host y
nadie puede entrar en l. Es lgico ya que es una direccin IPv6 formada a partir de una
IPv4. Este sistema crea un tnel para cada host. No obtiene un prefijo y no permite dar
direcciones IPv6 a las mquinas.
El protocolo IPv6 y Teredo est habilitado por defecto tanto en Windows Vista,
Windows 7 como en Windows XP SP3.
Vamos a ver un ejemplo:
Deberemos tener un host con Windows 7 detrs de una ADSL. Antes de dar las
rdenes deberemos entrar en la ventana CMD con permisos de Administrador. Sobre el
Smbolo del sistema pulsamos botn derecho del ratn y elegimos Ejecutar como
Administrador.
Pag: 160
Podemos comprobar nuestro host a que servidor Teredo accede dando la orden:
Netsh interface ipv6 show teredo
Observamos que en tipo pone client. Este parmetro indica que nuestro host utiliza
Teredo cliente. El servidor al que va a acceder nuestro host es
teredo.ipv6.microsoft.com. El Intervalo de actualizacin del cliente tiene como valor
60 y su objetivo es la comprobacin del estado del tnel enviando un paquete. El
puerto se ha especificado con el valor 34567 y su estado es dormat. El hecho de que
tenga este valor significa que ha conectado con un servidor teredo. Si no lo consigue
(porque el Router ADSL no se lo permite) tendr el valor offline.
Si deseamos acceder a otro servidor teredo tenemos que dar la orden:
Netsh interface ipv6 set teredo client teredo.remlab.net 60 34567
Pag: 161
Vamos a comprobar los valores que tiene nuestra tarjeta de red:
Usando la orden ipconfig veremos:
Pag: 162
Comprobamos que la interface teredo Tunneling Pseudo-Interface tiene una

direccin IPv6 que comienza en 2001: . Ahora probamos a navegar a
pginas IPv6:
Vamos a acceder a la pgina Web creada en un host que se encuentra detrs de un
Firewall y que obtiene una direccin IPv6 creando un tnel con la aplicacin gogo6
usando el Broker Freenet6.
Vamos a acceder a la pgina Web creada en un host Debian que tiene un tnel
creado con el brker Hurricane. Su direccin IPv6 es : http://[2001:470:1f08:744::2]/
Este host con Windows 7 nos permite ver pginas Web en otros host con IPv6 pero
tan slo se puede salir de l y nadie podr llegar al mismo a ver su pgina web si la
tuviera ni haciendo ping.
Pag: 163
6. Inyeccin y captura de paquetes.

6.1.
WireShark
OBJETIVO: Capturar paquetes Ivp6 con el programa Wireshark.

Como primer paso, hemos instalado Wireshark en un PC con Debian.
Para instalarlo hay que escribir el siguiente comando en el terminal:
apt-get install wireshark
Despus, hemos ejecutado el programa como root (Wireshark as root), se nos abre la
pantalla principal y hay que hacer una pequea configuracin.
Hacemos clic en el icono de la imagen y se abrir otra ventana en la que tenemos

que elegir la interface a utilizar. En ella elegimos he-ipv6. Se trata del nombre que le
hemos dado al tnel.
Pag: 164
El crculo rojo de mayor tamao, es para elegir algn tipo de filtro si deseamos
filtrar los paquetes capturados.
Si hacemos clic en el botn de los filtros, nos aparece la siguiente ventana donde
podremos elegir el protocolo a filtrar o alguna de las opciones que nos aparecen en la
lista. Nosotros no vamos a elegir ningn filtro.
Aceptamos la ventana de los filtros si hemos elegido algn filtro y sino cancelamos
y una vez realizados estos pasos, clicamos en el botn Start y el programa iniciar la
captura de paquetes en modo promiscuo.
Pag: 165
La siguiente imagen, muestra los paquetes capturados navegando desde el mismo

equipo con Ipv6.
Como podemos ver, por cada captura nos muestra los siguientes apartados.
N de Paquete.
Tiempo tardado.
IP Origen.
IP Destino.
Protocolo.
Informacin acerca del paquete (puerto que se ha utilizado, accin que se ha
realizado, tardanza de la accin...)
En el siguiente ejemplo, muestra los paquetes capturados accediendo al Debian
mediante ssh desde un Windows Vista. En el debian, tendremos que instalar el ssh con
el comando:
apt-get install ssh
Cuando finalice ya tendremos instalado y funcionando a la perfeccin el demonio de
ssh.
Es necesario reiniciar el demonio de red, lo haremos con: /etc/init.d/ssh restart.
Para acceder mediante ssh desde un Windows Vista, hay que usar el software Putty
que lo descargamos desde:
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
Pag: 166
Ejecutaremos el programa y nos pedir la IP del host destino (IPv6 en nuestro caso).
Clicando en el botn Open se nos abrir una ventana parecida a CMD donde
tendremos que introducir un usuario y contrasea del otro host destino.
Pag: 167
Supongamos que la mquina TK1 con IPv6 2001:5c0:1400:b::6895 conecta usando

ssh con otra mquina TK2 con IPv6 2001:470:1f08:744::2.
La mquina TK1 hace una peticin (Request) de conexin hacia la mquina TK2.
Esta segunda mquina acepta la peticin (Response). Observamos que el trfico est
encriptado.
Esta otra imagen, muestra los paquetes capturados accediendo a la web que el
Debian tiene alojada con el navegador desde otro PC con conectividad Ipv6.
Una mquina TK1 con IPv6 2001:5c0:1400:b::70db consulta la pgina web de otra
mquina TK2 con IPv6 2001:470:1f08:744::2
Pag: 168
Han abierto una conexin segura TCP entre los puertos 49769 y 80 para la
sealizacin de la peticin de la pgina Web. Para esto utilizan el proceso de saludo a
tres vas de establecimiento de conexin TCP (Fijndonos en las tramas 3,4 y 5).
TK1 TK2. Enva un numero de secuencia y SYN para establecer conexin.
TK2 TK1. Responde con ACK (aceptar) y enva SYN para establecer la conexin
en el otro sentido.
TK1 TK2. Responde con ACK (aceptar).
Pag: 169
7. Nuevas amenazas con Ipv6

El uso de IPv6 puede ser aprovechado de forma maliciosa para llevar a cabo
actividades fraudulentas, no solo cuando se disfruta de una red IPv6 nativa, sino
tambin cuando se utilizan mecanismos de transicin.
7.1.
Comunicaciones a travs de IPv6
Con IPv6 no se utiliza NAT sino que las direcciones IPv6 globales son alcanzables
desde cualquier punto de Internet. Esto permite la proliferacin de sistemas p2p (peer to
peer) donde los dispositivos finales envan y reciben contenidos de forma independiente
a un servidor.
Por tanto se hace imprescindible la existencia de al menos un firewall
perimetral con soporte IPv6 en la red en la que se encuentra el usuario como
medida bsica de proteccin.
Adems es recomendable que cada nodo IPv6 tenga un firewall local
instalado en el propio nodo que filtre las comunicaciones indeseadas. En
realidad las vulnerabilidades que pueden ser aprovechadas de forma maligna
para ganar el control de una mquina o con otros fines no las proporciona el
protocolo de red (en este caso IPv6) sino las propias aplicaciones o el
sistema operativo que tiene instalados la mquina.
Las mismas medidas de proteccin que se usan en la actualidad para IPv4
son igualmente vlidas para IPv6.
7.2.
Ataques contra la autoconfiguracin IPv6
Los nodos IPv6 se autoconfiguran usando el protocolo NDP (Neighbor Discovery

Protocol). Adems NDP permite descubrir a otros nodos IPv6 en el mismo enlace,
determinar su direccin de nivel de red, encontrar otros Routers IPv6 en su mismo
enlace y mantener informacin de la ruta IPv6 hacia otros nodos activos. NDP es
similar en muchos aspectos al protocolo ARP en IPv4 y funciona bsicamente enviando
paquetes ICMPv6 a la LAN (u otro enlace) para encontrar otros nodos IPv6 vecinos con
los que poder contactar.
Sin embargo NDP tambin posee una nueva funcin en relacin a su homlogo
ARP, que es la autoconfiguracin de la direccin IPv6 por medio del envo de
paquetes Router Advertisement (RA).
Como se puede deducir, el proceso de autoconfiguracin es bsico para que los
nodos IPv6 puedan obtener conectividad IPv6 global. Sin embargo NDP tal y como
est definido es vulnerable a varios ataques si no se utilizan las herramientas de
seguridad adecuadas.
Pag: 170
En particular, es relativamente fcil poder realizar un bloqueo a todos los

nodos IPv6 conectados en un segmento de red (denegacin de servicio) sin
ms que un nodo IPv6 inyecte paquetes RA con un prefijo errneo de forma
intencionada o por descuido. En este caso, todos los nodos del segmento de
red configurarn una direccin IPv6 basada en el prefijo errneo y por tanto
nunca sern alcanzables por un nodo IPv6 externo.
Segn las especificaciones de IPv6, los mensajes de ND (Neighbor
Discovery) se pueden proteger con la cabecera de autenticacin (AH Authentication Header) de IPsec con el fin de establecer una relacin de
confianza con el supuesto router que enva los paquetes RA. Sin embargo
existen limitaciones prcticas en el uso de la gestin automtica y dinmica
de claves.
Con el fin de minimizar este tipo de ataque en entornos no controlados, se ha
definido un mecanismo llamado SEND (Secure Neighbor Discovery) que
proporciona seguridad a los mensajes de NDP. SEND define una serie de
extensiones y mejoras de NDP que posibilita a los nodos IPv6 estar
seguros de que el nodo que enva paquetes RA es adecuado y que el
prefijo que anuncia es correcto. De esta manera los administradores de un
domino IPv6 tienen una herramienta que garantiza que su red no va a ser
contaminada (intencionadamente o por descuido) con el envo de paquetes
RA errneos, garantizando por tanto la seguridad de la autoconfiguracin de
los equipos IPv6 en ambientes donde la seguridad en el nivel fsico est
comprometida, como por ejemplo en las redes pblicas inalmbricas.
7.3.
Vulnerabilidades con Teredo
7.3.1. Puerta abierta a Internet

El objetivo principal de Teredo es proporcionar una direccin IPv6 global al nodo
cliente situado detrs de un NAT por lo que lo primero que hay que tener en cuenta al
usar Teredo es que el nodo cliente est puenteando las medidas de seguridad perimetral
instaladas habitualmente en la red IPv4 y est abriendo las puertas a la Internet IPv6
global. Con el fin de evitar que el nodo cliente sufra algn tipo de ataque que aproveche
la vulnerabilidad de una determinada aplicacin servidora que se est ejecutando es
conveniente configurar alguna Suplantacin de identidades regla en el firewall local
de la mquina para que solo responda a peticiones provenientes de entornos
controlados, por ejemplo la red local u otros. Alternativamente se podra utilizar un
firewall perimetral con capacidad de inspeccionar trfico encapsulado en tneles
Teredo, el cual sigue un patrn bien conocido por el tipo de protocolo de transporte
(UDP) y nmero de puerto (3544).
Pag: 171
7.3.2. Suplantacin de identidades

Debido a las caractersticas intrnsecas de Teredo, el cliente Teredo debe contactar
con un servidor y con un relay con el fin de cursar trfico IPv6 de forma efectiva. Esto
hace que ambos agentes, que por lo general estn ubicados fuera del dominio del cliente
Teredo, sean objeto de ataques externos por dos motivos: provocar un ataque de
denegacin de servicio (DoS) y interceptar trfico de un cliente Teredo con diversos
fines.
Existen diversas formas de conseguir el primero de ellos pero el segundo es el que
tiene peores consecuencias puesto que un ataque de denegacin de servicio, si bien no
deja de ser un inconveniente al impedir que el cliente tenga conectividad IPv6, no
compromete la seguridad de las comunicaciones del cliente.
La suplantacin de direccin ms comprometedora es la del agente relay puesto que
este componente se encarga de retransmitir trfico IPv6 desde/hacia la Internet IPv6
hacia/desde clientes Teredo. Por tanto est manejando trfico de datos, mientras que con
la suplantacin del servidor Teredo solo se intercepta trfico de sealizacin del cliente
Teredo.
La nica manera de estar seguro de que las comunicaciones IPv6 a travs de Teredo
no son vulnerables a un ataque de suplantacin de la identidad es protegerlas
adecuadamente por medio de IPsec ya que proporciona seguridad de extremo-aextremo impidiendo que en el caso de que existan servidores/relays que interceptan
trfico, estos puedan ver su contenido.
7.3.3. Ataques de denegacin de Servicios
Por definicin un ataque de denegacin de servicio es aquel que impide el
funcionamiento normal de un servicio de red. Existen diversas formas documentadas
para conseguir este tipo de ataques que principalmente se basan en el envo masivo de
trfico a una determinada vctima (el nodo que presta el servicio bajo ataque) con el fin
de saturarle hasta el punto de que no pueda contestar todas las peticiones que le lleguen
o incluso se quede bloqueado por un desbordamiento de memoria.
Como se apuntaba en la seccin anterior, este tipo de ataques no comprometen
directamente la seguridad en las comunicaciones en el sentido de que los datos no son
interceptados ni modificados, pero s causan perjuicios puesto que impiden que la
comunicacin IPv6 en un cliente Teredo se lleve a cabo.
Debido a la complejidad de Teredo y a la diversidad de nodos que pueden llegar a
intervenir en una comunicacin entre un cliente Teredo y otro nodo IPv6, Teredo es un
campo abonado para llevar a cabo ataques de tipo DoS y/o para magnificarlos.
Existen ciertos procedimientos paliativos para la mayora de ellas, aunque son
medidas que se llevan a cabo en la propia implementacin o en el administrador que
Pag: 172
despliega los agentes Teredo, por lo que el usuario final no tiene muchos recursos para
luchar contra ellos.
7.4.
Vulnerabilidades con 6to4
Gracias a 6to4 los nodos que se encuentran en una red que slo es IPv4 pueden
obtener conectividad IPv6 de una forma sencilla sin ningn despliegue especial en la
red en la que se encuentra. Al igual que ocurre con Teredo, este mecanismo no es
inseguro en s mismo. Tan solo ofrece nuevas posibilidades de realizar ataques a gente
sin escrpulos, por lo que es conveniente conocer sus posibles vulnerabilidades con el
fin de que los administradores de red puedan poner los medios adecuados para evitar se
atacados o ser utilizados como fuente de ataque en el caso de utilizar este servicio en su
red.
Los tipos de ataque que se pueden llevar a cabo con 6to4 se fundamentan en las
caractersticas del mecanismo: los nodos 6to4 deben aceptar trfico IPv4/IPv6 enviado
desde cualquier lugar, sin comprobar identidades y sin una relacin de confianza previa.
Con esta premisa es fcil entender que 6to4 se pueda usar para llevar a cabo ataques
de tipo DoS y de suplantacin de la identidad posibilitando ataques de tipo man-in-themiddle. Pero tambin existen otras vulnerabilidades como se describir a continuacin.
7.4.1. Puerta abierta a Internet
Al igual que ocurre con Teredo, al usar 6to4 el nodo cliente se conecta a la Internet
IPv6 global de forma directa, puenteando las posibles medidas de seguridad perimetral
instaladas habitualmente en la red para IPv4. Por tanto se pueden aplicar en este caso
las mismas consideraciones que con Teredo en cuanto a las medidas de seguridad en las
comunicaciones extremo-a-extremo.
7.4.2. Suplantacin de identidades
Puesto que un nodo 6to4 necesita de un relay 6to4 para conectar con un nodo IPv6
nativo, un atacante podra hacerse pasar por un relay 6to4con el fin de espiar el trfico
intercambiado entre ambos.
La nica forma de hacer esto es conseguir que el relay 6to4 haga pensar al nodo
6to4 que l es el relay adecuado (bien porque tenga la direccin anycast 192.88.99.1
asignada a este servicio o bien porque se use una direccin unicast y se haga pasar por
un relay confiable) y adems sea capaz de anunciar por BGP el prefijo IPv6
correspondiente a 6to4: 2002::/16 .
Sin embargo este ataque es ms difcil de llevar a cabo que en el caso de Teredo
debido a la asimetra en las rutas que sigue el trfico intercambio entre ambos nodos: el
relay 6to4 que usa el nodo 6to4 y el nodo IPv6 nativo puede ser diferente en la
comunicacin llevada a cabo entre ambos.
Pag: 173
7.4.3. Ataques de denegacin de Servicios

Este ataque es muy similar al descrito para Teredo.
7.5.
Usos de IPv6 con fines maliciosos
Los mecanismos de transicin IPv6 basados en tneles podran ser usados para
puentear las medidas de seguridad perimetrales (firewalls, proxies, etc.) instaladas en
cualquier dominio puesto que tienen la facilidad de ocultar el trfico TCP/UDP
transportado a travs de IPv6 dentro del tnel IPv4.
Esta caracterstica podra ser aprovechada para llevar a cabo actividades ilcitas
como:
Visitas web a sitios no autorizados por el administrador de la red.
Comunicacin o coordinacin entre grupos delictivos.
Ataques coordinados de DoS.
Comparticin ilegal de material informtico como software, libros, videos,
msica, etc.
Todo ello con la novedad de que ser indetectables en la Internet actual en el caso de
que las medidas de control de trfico solo controlen paquetes TCP/UDP transportados
sobre paquetes IPv4.
Un ejemplo de esto podra ser el uso de servidores de tneles IPv6, tambin
llamados Tunnel Brokers (TB), los cuales los usuarios lcitos usan para obtener
lcitamente conectividad IPv6 y que los usuarios fraudulentos pueden utilizar para
construir una red "virtual" distribuida mundialmente sobre la actual Internet IPv4 que
les posibilita la comunicacin entre ellos sin que sea detectable por sistemas que no
soportan comunicaciones IPv6.
Pag: 174
8. Aspectos de seguridad mejorados con Ipv6.

A pesar de lo que pueda parecer por lo descrito en las secciones anteriores, IPv6 no
es ms inseguro que su predecesor IPv4, en realidad es todo lo contrario puesto que
desde el comienzo de su estandarizacin la seguridad ha sido una pieza fundamental. De
hecho, existen algunos aspectos de la seguridad con IPv6 que han mejorado con
respecto a IPv4 como se describen a continuacin:
El escaneo de Red es ms complicada. Escanear por fuerza bruta una red de
rea local IPv6 puede llevar, con la tecnologa actual, ms de 5.000 millones
de aos, lo cual evidentemente es impensable. Tambin los ataques
automatizados, por ejemplo gusanos que seleccionan direcciones aleatorias
para propagarse, se ven dificultados.
IPsec. La especificacin de IPv6 dice que toda pila IPv6 debe llevar IPsec
incorporada. Esto es una ventaja ya que IPsec est disponible si se quiere
usar. En la prctica el uso de IPsec es escaso debido sobre todo a la falta de
un mecanismo generalizado y global de intercambio de claves.
Ataques broadcast (smurf). Este problema desaparece. En IPv4 se generan
enviando un paquete ICMP echo request a la direccin de broadcast de la
red con la direccin origen del nodo atacado. En IPv6 no existe el concepto
de broadcast. IPv6 especifica que no se debe responder con un mensaje
ICMP a ningn paquete que tenga direccin destino de nivel tres
multicast o direcciones de nivel dos multicast o broadcast.
Fragmentacin de paquetes. En IPv6 la fragmentacin de paquetes slo se
puede realizar en los extremos de la comunicacin, por lo que se reducen
los riesgos por ataques con fragmentos superpuestos o de pequeo tamao.
Las consideraciones sobre fragmentos fuera de secuencia sern las mismas
que para IPv4, pero en el nodo final. Los firewalls no debern filtrar los
fragmentos de paquetes.
Pag: 175

IPv6TknikaFinal ES

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

IPv6TknikaFinal ES

Hochgeladen von

Copyright:

Verfügbare Formate

1.

DISTRIBUCIN DE DIRECCIONES IPV4

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

MECANISMOS DE TRASICIN PARA CONSEGUIR CONECTIVIDAD.

CREACIN DE TNEL EN UN HOST CON WINDOWS CON FREENET6.

COMUNICACIONES A TRAVS DE IPV6

ASPECTOS DE SEGURIDAD MEJORADOS CON IPV6.

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

Distribucin de direcciones IPv4

Debido a la longitud de la direcciones IPv4, que es de 32 bits, hay un total de 2 =

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

Puede parecer que ms de 4.000 millones de direcciones deberan ser suficientes

En este enlace se pueden ver estadsticas diarias de la progresin del reparto de

Evolucin de la necesidad de direcciones

En septiembre de 1981 se public la RFC 791 "Internet Protocol". Desde

Inconvenientes tcnicos de IPv4

La evolucin de las necesidades de Internet ha supuesto un reto para IPv4.

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

Efectivamente, la solucin a los problemas comentados se logra mediante IPv6

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

En IPv6 no existe trfico de broadcast. Cada paquete de informacin tiene un origen

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

Como se puede ver, IPv6 ha aprendido de las carencias de su antecesor y ofrece un

Las alternativas barajadas inicialmente fueron las siguientes:

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

2. Cabecera, direccionamiento y configuracin bsica.

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

Entender la estructura de la cabecera de un protocolo y el tipo de informacin que se

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

A continuacin se explican los motivos por los han desaparecido.

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

Debido a esto, no es necesario que los routers IPv6 proporcionen fragmentacin

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

2.1.3. Las cabeceras de Extensin

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

o Si la cabecera de Extensin es del tipo Opciones Hop-by-Hop, la

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

De carga til de seguridad encriptada (Encrypted Security Payload =ESP)

La flexibilidad de esta arquitectura permitir el desarrollo de nuevas cabeceras de

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

Una vez analizados y aclarados los problemas de IPv4 en relacin a la gestin de

Tipos de direcciones IPv6

Multicast: este es el sustituto del broadcast de IPv4. La diferencia entre broadcast y

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

Representacin de las direcciones

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

Si hay varias cadenas de 4 ceros hexadecimales, es decir, 16 ceros (...:0000:....), se

2.2.1. Los prefijos

El campo Longitud del prefijo especifica cuantos bits de la parte izquierda de la

Prefijos de enrutado global

2.2.2. Direccin No Especificada y Direccin de Loopback

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

Es la direccin 0:0:0:0:0:0:0:0 y tambin se le llama la direccin de todo ceros

2.2.3. Direcciones Unicast Globales

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

Identificador de Subred ((64 - n) bits).

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900

En caso de que la organizacin sea muy grande, puede solicitar un prefijo de

Identificador de Interfaz (64 bits).

2.2.4. Direccin Unicast de Enlace Local

En la siguiente imagen, se puede ver dnde aparece la Direccin de enlace local en

ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900