Seminario de IPv6 con MikroTik RouterOS.pdf

May 18, 2018 | Author: SilverTecnologia | Category: I Pv6, Router (Computing), Network Architecture, Computer Architecture, Wide Area Network


Comments



Description

Seminario de IPv6 conMikroTik RouterOS Contenidos Objetivos Modulo 3: Mecanismos IPv6 ICMPv6 Neighbor Discovery (ND) Autoconfiguración Autoconfiguración son servidor Modulo 1: Introducción a IPv6 Introducción IPv6 vs IPv4 Formato de paquete Direccionamiento Ejemplo de una red simple Habilitando IPv6 Modulo 2: Direccionamiento IPv6 Direcciones Link-local Identificador EUI-64 Multicast Subnetting Modulo 4: Routing v6 Ruteo estático OSPFv3 BGP4 Module 5: Firewall v6 Filter Mangle Module 6: Resumen final 2014 © Prozcenter 2 Objetivos Conocer la arquitectura de IPv6 Estructura de paquete Esquema de direccionamiento Mecanismos de IPv6 Configuración y resolución de problemas de redes RouterOS que utilizan este nuevo protocolo. 2014 © Prozcenter 3 Modulo 1 Introducción a IPv6 2014 © Prozcenter 4 . "IPv6 es en muchos aspectos como IPv4. pero estos protocolos no son iguales" 2014 © Prozcenter 5 . algo asi como trillones de direcciones por ser humano! (nunca mas se acabarían las direcciones IP). Reduce la complejidad del encabezado IP (mayor performance). Provee conectividad real extremo a extremo (NAT ya no es requerido).Introducción IPv6 es un protocolo capa 3 que se diseño para resolver algunas limitaciones de IPv4 (se puede decir que IPv6 es un reemplazo directo de IPv4). Provee un espacio de direccionamiento mucho más amplio. IPv4 2014 © Prozcenter 6 .IPv6 vs. 296 direcciones disponibles.920. IPv4 – Espacio de IPs En IPv4 (232) hay 4.294.967.768.607.456 direcciones disponibles (serían 340 sextillones).IPv6 vs.431.374.366.211. En IPv6 (2128) hay 340.938. "Todas las IPv4 'entrarian' en un cuadrado de 4 x 4 cms. En cambio para las IPv6 necesitaríamos un cuadrado del tamaño del sistema solar!" 2014 © Prozcenter 7 .463.463.282. 2014 © Prozcenter 8 ..Recordando IPv4.. Formato de un paquete IPv6 A M E TE LAV C 2014 © Prozcenter 9 . Formato de un paquete IPv6 Campos excluidos de IPv6: IHL Identification Flags Fragment offset Header checksum Options (existen en IPv6 pero NO en el encabezado). 2014 © Prozcenter 10 . Formato de un paquete IPv6 Campos de IPv4 que se mantienen en IPv6: Version (mismo nombre) Traffic Class (llamado ToS / DSCP) Payload lenght (llamado Total Lenght) Next Header (llamado Protocol) Hop Limit (llamado Time to Live) Src and Dst Address Campo nuevo en IPv6: Flow Label (20 bits) 2014 © Prozcenter 11 . Formato de un paquete IPv6 En RouterOS. se puede leer estos campos en las reglas de IPv6 Firewall: 2014 © Prozcenter 12 . se puede leer estos campos en las reglas de IPv6 Firewall: 2014 © Prozcenter 13 .Formato de un paquete IPv6 En RouterOS. Formato de un paquete IPv6 También se puede leer el campo Flow Label con reglas en la sección Switch: 2014 © Prozcenter 14 . 2014 © Prozcenter 15 .Multicast Broadcast ya no es soportado.Anycast (es como unicast) .Link-local .Global .A M E TE LAV C Direccionamiento – Tipos IPv6 soporta los siguientes tipos de direcciones: . todas las tareas son resueltas usando diferentes direcciones Multicast.Unicast . Estas pueden configurarse de tres formas (se verán más adelante). Opcionalmente una o más direcciones unicast global. 2014 © Prozcenter 16 .Direccionamiento – Tipos Cada equipo IPv6 tiene al menos los siguientes tipos de direcciones: Una dirección unicast para la interfaz loopback. Cada interfaz debería estar "unida" a algunos grupos multicast. Una dirección unicast link-local por interfaz. Direccionamiento – Tipos 2014 © Prozcenter 17 . separada en 4 partes de 32 bits: 00100000000000000000000000000000 00000000000000000000000100100010 00001100001101000000000000111111 01010100110010100000000000001011 . . pero expresada en hexadecimal: 2000:0000:0000:0122:0C34:003F:54CA:000B (Esta dirección se puede comprimir como se vera en breve.Direccionamiento – Estructura Las direcciones IPv6 tienen 128 bits de longitud.Misma dirección IPv6. de modo que los diseñadores optaron por la notación hexadecimal y dividiendo la dirección en grupos de 16 bits.Dirección IPv6 en "crudo".) 2014 © Prozcenter 18 . uno para cada tipo de dirección. indica cuantos bits pertenecen al prefijo. por ejemplo: 2000:0000:0000:0122:0C34:003F:54CA:000B/64 (los primeros 64 bits corresponden al prefijo) 2014 © Prozcenter 19 . El parámetro prefix-lenght.A M E TE LAV C Direccionamiento – Estructura El espacio de direcciones esta dividido en prefijos. Cada prefijo se indenfifica mirando los PRIMEROS bits de una dirección IPv6. A veces.Direccionamiento – Estructura En resumen. 2014 © Prozcenter 20 . es decir el Interface ID. y el resto es la identificación de la interfaz en particular. vamos a disponer de unos bits extra conocidos como Subnet ID. una dirección v6 tiene dos partes. una es el Prefijo. Interface ID tienen que estar en un formato especial conocido como EUI-64 (mas detalles en breve). Link-Local Unicast Addresses FF00::/8 .0/8) 2000::/3 .0/16) (similar al rango 224.0/4) 2014 © Prozcenter 21 .A M E TE LAV C Direccionamiento – Estructura 77% del espacio total de direcciones IPv6 esta aún reservado para futuros usos.0.0.0. Resumen de los prefijos más importantes: 0000::/8 .0.0/0 o 127.Sin especificar.0.0.Global Unicast Addresses (similar a las públicas IPv4) FC00::/7 .254.0.Multicast Adresses (similar al rango 169. Lookback (similar a 0.Unique Local Addresses (similar a las privadas IPv4) FE80::/10 . los primeros 24 bits indican la red y no pueden cambiar..127.0.0/0 es ahora ::/0 (0000:0000:0000:0000:0000:0000:0000:0000/0) 127. los primeros 48 bits indican la red y no pueden cambiar..0. 2014 © Prozcenter 22 .Direccionamiento – Estructura Ejemplos con sus sinónimos IPv4 0.0/ 24.. 2001:1291:02EB::/48.0.151.1 es ahora ::1 (0000:0000:0000:0000:0000:0000:0000:0001) Redes IPv4 / IPv6 (mismo concepto) 200.0.. Direccionamiento . puede reemplazarse con un sólo cero. Ejemplo: Antes -> 2001:1291:0200:8738:0000:0000:0000:0001 Después -> 2001:1291:0200:8738:0:0:0:0001 2014 © Prozcenter 23 . (1) Grupos con todos "ceros".Representación Las direcciones IPv6 pueden comprimirse para una fácil lectura y escritura mediante tres métodos. Representación (2) Quitar los ceros de la izquierda en los grupos que corresponda.Direccionamiento . Ejemplo: Antes -> 2001:1291:0200:8738:0:0:0:0001 Después -> 2001:1291:200:8738:0:0:0:1 2014 © Prozcenter 24 . Representación (3) Multiples grupos de ceros. Ejemplo: Antes -> 2001:1291:200:8738:0:0:0:1 Después -> 2001:1291:200:8738::1 2014 © Prozcenter 25 . preferentemente donde cause más efecto. pueden ser comprimidos utilizando los dos puntos (":").Direccionamiento . Este método puede ser utilizado una vez. Direccionamiento .Representación Otro ejemplo con la siguiente IPv6: 2800:0000:0000:0456:0000:0000:0000:00AB (1) 2800:0:0:0456:0:0:0:00AB (2) 2800:0:0:456:0:0:0:AB (3) 2800:0:0:456::AB 2014 © Prozcenter 26 . . Requerimientos: Paso 1: Instalar o habilitar el paquete ipv6.Se puede tener ambas versiones de IP en el mismo router. (Si. para hacer lo que se llama "router dual stack". Paso 2: Reiniciar el router.Tambié se puede migrar completamente a IPv6.Habilitando IPv6 RourteOS soporta IPv4 por defecto. IPv6 se puede activar en una forma sencilla y sin costo!: . eso es todo!) 2014 © Prozcenter 27 .npk. Habilitando IPv6 2014 © Prozcenter 28 . SSH. DHCP Client. OSPFv3 and BGP-4) Soporte para protocolos PPP. NTP. 2014 © Prozcenter 29 . herramientas de Ping. DNS Cache. DHCP Server (sólo trabajando como DHCP-PD). Firewall (Filter / Mangle) Ruteo estática y dinámico (RIPng.Habilitando IPv6 La implementación de IPv6 sobre RouterOS nos brinda las siguiente posibilidades: IP estática. Cliente DNS. autoconfiguración. Ejemplo de red simple 2014 © Prozcenter 30 . Ejemplo de red simple Router A PC 2014 © Prozcenter 31 . ¿Dudas? 2014 © Prozcenter 32 . Modulo 2 Direccionamiento IPv6 2014 © Prozcenter 33 . Se utiliza un identificador que se obtiene de las interfaces para construir la dirección completa. no siempre vamos a tener que escribir direcciones IPv6 en hexadecimal para cada dispositivo. 2014 © Prozcenter 34 .A M E TE LAV C Identificador EUI-64 IPv6 fue diseñado para ser sencillo. Por ende. desde 2000::/3 a E000::/3 requieren que la porción Interface ID de la IP.A M E TE LAV C Identificador EUI-64 Los routers. La mayoría de los prefijos. utilizaran la dirección MAC de las interfaces para construir una dirección IPv6 completa. cuando sea posible. 2014 © Prozcenter 35 . este en formato EUI-64. A M E TE LAV C Identificador EUI-64 En caso de Ethernet. 2014 © Prozcenter 36 . Esta conversión se realiza agregando 16 bits (0xFFFE) a la dirección MAC. las direcciones MAC estan en formato EUI-48. ergo se necesita una conversión. También se invierte el séptimo bit del primer byte de una dirección MAC. Identificador EUI-64 A M E TE LAV C 2014 © Prozcenter 37 . se puede agregar una dirección unicast solamente especificando el prefijo. el resto se completa usando el EUI-64 obtenido desde la dirección MAC. 2014 © Prozcenter 38 .Identificador EUI-64 Por ejemplo. Permite comunicación entre dispositivos ubicados en el mismo enlace (link). Se autoconfiguran a penas se habilita IPv6.A M E TE LAV C Direcciones Link-local Se utiliza el prefijo FE80::/10. 2014 © Prozcenter 39 . Sólo una dirección link-local debería existir por interfaz. El Interface ID se toma de la dirección MAC. es decir mismo dominio L2. Direcciones Link-local Que se puede hacer con una dirección link-local? Supongamos que tenemos un dispositivo Mikrotik conectado a una PC (todo con IPv6 habilitado): 2014 © Prozcenter 40 . Direcciones Link-local 2014 © Prozcenter 41 . De modo que hay que especificar un identificador de interfaz. cuando se desea enviar tráfico a cualquier dispositivo conectado directamente usando direcciones locales. Por ejemplo. 2014 © Prozcenter 42 .Direcciones Link-local Todas las direcciones link-local estan conectadas a la misma red. es decir la FF80::/10. o si desea comunicarse con herramientas como ping (más ejemplos más adelante). Existen muchas direcciones multicast. se utiliza como reemplazo el modo de comunicación multicast.A M E TE LAV C Multicast Como no hay soporte para broadcast. Un formato especial es utilizado: 2014 © Prozcenter 43 . . sólolos últimos 2 son usados: el bit T (Transient) y el bit P (Prefix). 2 (0010) = link (enlace). de lo contrario se considera como una dirección permanente (llamadas también "direcciones multicast conocidas").Multicast Flags: 4 bits (00PT). 8 (1000) = organization (organización). 2014 © Prozcenter 44 . E (1110) = global (global).P = se pone en 1 para indiar que el resto de la dirección (112 bits) hace referencia a un prefijo en particular. - 1 (0001) = node (nodo). 5 (0101) = site (sitio). Scope: 4 bits (XXXX). . que identifican el alcance del mensaje.T = se pone en 1 para indicar direcciones multicast temporales. Multicast Direcciones multicast conocidas: FF01::1 – Todos los nodos (node-local) FF01::2 – Todos los routers (node-local) FF02::1 – Todos los nodos (link-local) FF02::2 – All routers (link-local) FF02::5 – OSPFv3 (Hellos. LSAs) (link-local) FF02::6 – OSPFv3 (Designated Routers) (link-local) FF02::C – Servidores DHCP (link-local) 2014 © Prozcenter 45 . 2014 © Prozcenter 46 . Se puede utilizar el parámetro interface para filtrar el resultado.Multicast Pueden hacer ping a la dirección multicast FF02::1 (todos los nodos del enlace) para descubrir vecinos IPv6. Con 16 bits tenemos posibilidad de hacer 65536 subredes! 2014 © Prozcenter 47 . que se puede utilizar para hacer subnetting. de los cuales 16 se usan como subnet ID. el prefijo tienen 64 bits.Subnetting Recordando la estructura de una dirección v6. por cada dirección tenemos un prefix y un interface ID. Para las direcciones global unicast. 2014 © Prozcenter 48 .Subnetting NOTA: aunque matematicamente es posible hacer subnetting dentro del interface ID. no es recomendable porque la mayoría de los rangos estan pensados para respetar el formato EUI-64. RIPE) ISP Prefix. ISPs) Subnet Prefix (donde los Carriers/ISP hacen subnetting) 2014 © Prozcenter 49 . LACNIC. esta dividido en: Registry Prefix (ARIN.A M E TE LAV C Subnetting Como se puede observar. Site Prefix (Carriers. un prefijo Global the Global Prefix. 2014 © Prozcenter 50 . recordar que cada cifra es hexadecimal y cuenta como 4 bits. recordar que cada cifra es hexadecimal y cuenta como 4 bits.Subnetting LACNIC tiene asignados 2001:1200::/23 2001:1200:: ~ 2001:13FF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF Los primeros 23 bits permanecen fijos. 2800::/12 2800:: ~ 280F:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF Los primeros 12 bits permanecen fijos. donde tenemos 16 bits extras para usar con Subnet ID. 2001:1291:02EB:0000::/64 (primer subred) 2001:1291:02EB:0001::/64 (segunda subred) 2001:1291:02EB:0002::/64 (tercer subred) 2001:1291:02EB:0003::/64 (cuarto subred) 2014 © Prozcenter 51 . variando la mascara se subnetea. Descomprimiendo: 2001:1291:02EB:XXXX::/48. Esas 4 cifras hexadecimales (16 bits) nos da 65536 posibilidades para definir subredes.Subnetting Si LACNIC nos asigna la red 2001:1291:02EB::/48. Al igual que en IPv4. Subnetting Otro ejemplo: 2001:1291:02EB:0000::/63 (primer subred) 2001:1291:02EB:0002::/63 (segunda subred) 2001:1291:02EB:0004::/63 (tercer subred) 2001:1291:02EB:0006::/63 (cuarto subred) Más ejemplos: 2001:1291:02EB:0000::/62 (primer subred) 2001:1291:02EB:0004::/62 (segunda subred) 2001:1291:02EB:0008::/62 (tercer subred) 2001:1291:02EB:000C::/62 (cuarto subred) 2014 © Prozcenter 52 . ¿Dudas? 2014 © Prozcenter 53 . Module 3 Mecanismos IPv6 2014 © Prozcenter 54 . Echo Request / Echo Reply (ping y traceroute) Mensajes de error . 2014 © Prozcenter 55 .Destination unreachable / Time exceeded Descubrimiento de MTU (MTU Discovery) .ICMPv6 Es una nueva versión del ICMP que soporta IPv6. Provee lo siguiente: Diagnostico de red .Lo hace a traves de unos mensaje de eror denominados "Packet too big" (paquete muy grande). 2014 © Prozcenter 56 .ICMPv6 Tener en cuenta que al Hacer ping a una dirección link-local se deber especificar la interfaz. Esto se debe a que todas las interfaces estan conectadas a la red FE80::/10. El MTU elegido en principio. el cual funciona leyendo los mensajes de error de ICMPv6. Entonces los host realizan lo que se conoce como MTU Path Discovery.ICMPv6 – MTU Path Discovery La fragmentación de un paquete IPv6 es sólo permitida en los equipos. Básicamente los equipos intentan comunicarse y sólo ajustan su MTU si reciben un mensaje de error ICMP. particularmente el mensaje "Packet too big". los routers ya no tienen esa función. es el de la interfaz de red del equipo que inicia la comunicación. 2014 © Prozcenter 57 . ICMPv6 – MTU Path Discovery 2014 © Prozcenter 58 . Descubrimiento de routers. aunque trae nuevas funciones. 2014 © Prozcenter 59 . Autoconfiguración de dirección IP.A M E TE LAV C Neighbor Discovery (ND) ND es el remplazo directo de ARP. Detección de dirección duplicada. Provee: 1234- Resolución de direcciónes de capa 2. Router Solicitation (solicitud de router) RA .Neighbor Advertisement (publicación de vecino) RS .Neighbor Solicitation (solicitud de vecino) NA .Neighbor Discovery (ND) Mensajes ND: NS .Router Advertisment (publicación de router) 2014 © Prozcenter 60 . 2014 © Prozcenter 61 . llamada "solicited-node" o "nodo solicitado". En particular el mensaje NS se envia a una dirección multicast especial.Resolución de direcciónes de capa 2 Se hace con dos mensajes ICMPv6: NS (similar al ARP Request) y NA (similar al ARP Reply). donde xx:xxxx son los últimos 24 bits de la dirección IP del nodo buscado. El formato de esta dirección especial es: FF02::1:FFxx:xxxx.Neighbor Discovery (ND) 1. 2014 © Prozcenter 62 .Neighbor Discovery (ND) 1.Resolución de direcciónes de capa 2 Por ejemplo. la IP multicast resultante donde se enviaria el NS seria: FF02::1:FFAB:CDEF (Explicación: porque se toman sólo los últimos 24 bits. en este ejemplo: 2800:1::500:1AB:CDEF). si un equipo necesita la MAC de otro equipo con IP 2800:1::500:1AB:CDEF. Neighbor Discovery (ND) 1- Resolución de direcciónes de capa 2 NS además tiene un campo interno llamado "target address" que contiene tiene la IP buscada de forma completa. NA es enviado en forma unicast al equipo que realizo la consulta NS. 2014 © Prozcenter 63 Neighbor Discovery (ND) 1- Resolución de direcciónes de capa 2 (ejemplo) 2014 © Prozcenter 64 Neighbor Discovery (ND) 1- Resolución de direcciónes de capa 2 (ejemplo) Nodo A quiere enviar datos a Nodo B, entonces envia un NS a la dirección multicast FF02::1:FFAA:BBBB. Este mensaje NS incluye el target address (dirección completa de Nodo B) para evitar conflictos. Nodo B y Nodo C escuchan y procesan el mensaje enviado a FF02::1:FFAA:BBBB (porque los últimos 24 bits de su IP coincide). Pero sólo Nodo B responde con un mensaje NA, porque Nodo C lee el campo target address y se da cuenta que el mensaje es para otro nodo. 2014 © Prozcenter 65 Neighbor Discovery (ND) 1. se usa el comando ipv6 neighbor print. son dos cosas distintas! 2014 © Prozcenter 66 .Resolución de direcciónes de capa 2 Para ver la tabla de vecinos. No confundir esta tabla con ip neighbor. que es similar a la tabla ARP. transmitirá un mensaje NS pidiendo la dirección en cuestión. esa dirección no será utilizada por el dispositivo.Neighbor Discovery (ND) 2. Si hay una respuesta. Si no hay respuesta (mensaje NA).DAD Se realiza con mensajes NS. 2014 © Prozcenter 67 . Si un nodo quiere saber si cierta dirección se está utilizando en el enlace. entonces la dirección se puede utilizar.Detección de dirección duplicada . Autonconfiguración con servidor (Stateful) Usando DHCPv6. Autonconfiguración sin estado (Stateless) Usando mensajes ND y DAD (RS / RA / NS / NA). 2014 © Prozcenter 68 .Configuración de direcciones IPv6 Existen tres métodos: Asignación de dirección estática Configuración manual. A M E TE LAV C Configuración de direcciones IPv6 /ipv6 address add address=prefix eui-64=yes Con este comando se construye la dirección completa a partir de un prefijo y la dirección MAC de la interfaz. 2014 © Prozcenter 69 . Los routers publican periodicamente o mediante una solicitud el prefijo /64 de la interfaz correspondiente. Esta publicación se hace con el mensaje RA.A M E TE LAV C Autoconfiguración sin estado Se realiza utilizando mensajes ND. 2014 © Prozcenter 70 . precisamente RS y RA. De modo que los dispositivos que se conecten con ese router pueden configurarse sólo una IPv6 y demás parámetros. 2014 © Prozcenter 71 .A M E TE LAV C Autoconfiguración sin estado /ipv6 address add address=prefix advertise=yes Con este comando se habilita la autoconfiguración sin estado de los dispositivos conectados a la interfaz. Sólo se puede utilizar con prefijos / 64. el dispositivo solicitante llevará a cabo un DAD.A M E TE LAV C Autoconfiguración sin estado Ejemplo: Un dispositivo envía un mensaje de RS. Si DAD indica que la dirección es única. El dispositivo solicitante usa su identificador EUI-64 para completar su dirección. el dispositivo que solicita toma todos los anuncios que recibe. 2014 © Prozcenter 72 . entonces el dispositivo se configura y utiliza esa dirección. Si hay más de un router. routers en el enlace responden con un mensaje RA indicando el prefijo / 64. Antes de finalizar la configuración de la dirección. RouterOS soporta servidor DHCP-PD. Por ahora. Estos clientes pueden utilizar el prefijo adquirido desde el servidor DHCP-PD. DHCP-PD es un servidor que asigna prefijos a clientes DHCPv6. 2014 © Prozcenter 73 .Autoconfiguration con servidor Puede usar DHCPv6 para asignar direcciones IP a los hosts de forma "stateful". usándolo como un Pool vinculado a los servicios de PPP (como PPPoE). ¿Dudas? 2014 © Prozcenter 74 . Module 4 Routing v6 2014 © Prozcenter 75 . Ruteo estático Usa las mismas reglas que IPv4. La herramienta Check Gateway continua existiendo pero sólo comprueba por ICMP. El prefijo más especifico es el utilizado primero. D. Distancia administrativa. Tipo de rutas: A. b. o. C. r. Algoritmo de selección de ruta. 2014 © Prozcenter 76 . S. hay que usar el identificador %interface.Ruteo estático Ejemplo de configuración de un default gateway: Si el gateway de cualquier ruta es una IP tipo link-local. 2014 © Prozcenter 77 . Ruteo dinámico El ruteo dinámico IPv6 se puede realizar con los siguiente protocolos: RIPng OSPFv3 BGP4 Si bien no hay grandes cambios. 2014 © Prozcenter 78 . es conveniente considerar algunas modificaciones hechas en estos protocolos. Retira la autenticación. 2014 © Prozcenter 79 . delegando esa responsabilidad a la capa 3 (IPv6 con IPSec). Mejoras importantes de OSPFv3: Cabecera de protocolo es más simple. pero se debe considerar como un nuevo protocolo.OSPFv3 OSPFv3 utiliza casi los mismos mecanismos que OSPFv2. El procesamiento interno del protocolo se realiza por enlace (interfaz) en vez de por subred. 2) Agregar interfaces indicando el area . 2014 © Prozcenter 80 . 3) Opciones de distribución (opcional).OSPFv3 Una configuración sencilla de un sólo area requiere: 1) Configurar router-id. 2) Agregar al menos un peer. 3) Prefijos de red a distribuir (opcional).BGP4 Para configurar un par de peers BGP se requiere: 1) Configurar router-id. 2014 © Prozcenter 81 . especificando IPv6 como "address family". ¿Dudas? 2014 © Prozcenter 82 . Module 5 Firewall v6 2014 © Prozcenter 83 . Connection Traking se mantiene sin cambios. Hay soporte para listas de direcciones (Address List). Filter y Mangle se conservan con sus mismos principios de funcionamiento. 2014 © Prozcenter 84 . ergo la solapa NAT y Service Ports desaparece.Firewall v6 No hay más NAT!. Por ahora no hay soporte para Layer 7. Ejemplo a continuación: Permitir sólo acceso WinBOX. ICMP y conexiones establecidas al router desde la WAN.Firewall v6 . 2014 © Prozcenter 85 . Permitir conectividad TCP 443 a servidor con IP 2001:1291:200:8738:5054:ff:fe90:a5d1. denegar el resto.Filter Protejer el router o los dispositivos asociados de accesos no autorizados. Firewall v6 - Filter /ipv6 firewall filter add add add add action=accept chain=input protocol=icmpv6 action=accept chain=input dst-port=8291 protocol=tcp action=accept chain=input connection-state=established action=drop chain=input /ipv6 firewall filter add action=accept chain=forward dst-port=443 protocol=tcp dst-address=2001:1291:200:8738:5054:ff:fe90:a5d1/128 add action=drop chain=forward 2014 © Prozcenter 86 Firewall v6 - Mangle Permite identificar y marcar conexiones o paquetes para su posterior procesamiento en Filter o en Queues (Qos). Ejemplo a continuación: Marcar cualquier paquete originado en el servidor 2001:1291:200:8738:5054:ff:fe90:a5d1. 2014 © Prozcenter 87 Firewall v6 - Mangle IPv6 /ipv6 firewall mangle add action=mark-connection chain=forward \ connection-mark=no-mark new-connection-mark=conn_servidorv6 passthrough=no src-address=2001:1291:200:8738:5054:ff:fe90:a5d1/128 add action=mark-packet chain=forward \ connection-mark=conn_servidorv6 \ new-packet-mark=mp_servidorv6 passthrough=no 2014 © Prozcenter 88 ¿Dudas? 2014 © Prozcenter 89 . Module 6 Resumen final 2014 © Prozcenter 90 . IPv6 hoy 2014 © Prozcenter 91 . Para arrancar con IPv6 Tres opciones: Contratar conexión a un ISP IPv6 Configurar un tunel IPv6 (con un "tunnel broker") Hacer tu propia red privada IPv6 (con IPs "Unique Local" o "Link Local") 2014 © Prozcenter 92 . net (tunnel broker) http://portalipv6.com/wiki/Manual:IPv6 (manual) https://www.org (portal del día de lanzamiento de IPv6.php (herramientas IPv6) http://www.mikrotik.worldipv6launch.lacnic.subnetonline.net (portal IPv6 de LACNIC) http://www.Para arrancar con IPv6 Mas sitios: http://wiki.net (tunnel broker) https://tunnelbroker. que fue el 06/06/2012) 2014 © Prozcenter 93 .sixxs.com/pages/ipv6-network-tools. ¡Muchas gracias! /company/prozcenter /prozcenter 2014 © Prozcenter /prozcenter 94 .
Copyright © 2024 DOKUMEN.SITE Inc.