INFORMATICA

Y
TELECOMUNICACIONES
Índice.

Objetivos ____________________________________________________Pag. 1
Introducción __________________________________________________Pag. 2
Listas de control de acceso ______________________________________Pag.3
Ejemplo de laboratorio __________________________________________Pag.4,5,6
DHCPV6 _____________________________________________________Pag.7
Ejemplo de laboratorio 1 _________________________________________Pag.8
Ejemplo de laboratorio 2 _________________________________________Pag.9
NAT64 _______________________________________________________Pag.10,11
Ejemplo de laboratorio ___________________________________________Pag.12,13,14
Conclusión ____________________________________________________Pag.15
Objetivos

 Comprender nat64 y el agotamiento de las direcciones de ipv4

 Explicar las listas de control de acceso como podemos utilizarlas de la mejor
manera
 Dhcpv6 conocer como asignar de forma dinámica información de direccionamiento
IPv4 e Ipv6, respectivamente

Pag.1
 Introducción

En el presente informe tiene como objetivo dar a conocer ACL para Ipv6, DhcpV6 y nat64 lo cual
explicaremos para que nos sirve estas configuraciones para así poder comprender mejor los pasos
a seguir al momento de ejecutar los comandos, Sin embargo, cabe señalar que una de las
habilidades más importantes que necesita un administrador de red es el dominio de las listas de
control de acceso (ACL). También hablaremos lo importante que es dhcpv6 para nuestra red, La
introducción de un servidor de protocolo de configuración dinámica de host (DHCP) en la red local
simplifica la asignación de direcciones IP tanto a los dispositivos de escritorio como a los móviles.
También mencionaremos las configuraciones de nat64 y para que nos pueden ayudar

Pag.2
 Listas de control de acceso

Una ACL es una lista secuencial de instrucciones permit (permitir) o deny (denegar) que se aplican
a los protocolos de capa superior o a las direcciones. Las ACL son una herramienta potente para
controlar el tráfico hacia y desde la red. Se pueden configurar ACL para todos los protocolos de
red enrutada.
El motivo más importante para configurar ACL es aportar seguridad a una red.
los diseñadores de red utilizan firewalls para proteger las redes del uso no autorizado.
Los firewalls son soluciones de hardware o de software que aplican las políticas de seguridad de
la red. Imagine una cerradura en la puerta de una habitación dentro de un edificio. La cerradura
permite que solo los usuarios autorizados que poseen una llave o una tarjeta de acceso puedan
entrar. De igual forma, un firewall filtra los paquetes no autorizados o potencialmente peligrosos e
impide que ingresen a la red. En un router Cisco, puede configurar un firewall simple que
proporcione capacidades básicas de filtrado de tráfico mediante ACL. Los administradores utilizan
las ACL para detener el tráfico o para permitir solamente tráfico específico en sus redes.
una ACL es una serie de comandos del IOS que controlan si un router reenvía o descarta paquetes
según la información que se encuentra en el encabezado del paquete. Las ACL son una de las
características del software IOS de Cisco más utilizadas.

Cuando se las configura, las ACL realizan las siguientes tareas:

 Limitan el tráfico de la red para aumentar su rendimiento. Por ejemplo, si la política

corporativa no permite el tráfico de video en la red, se pueden configurar y aplicar ACL
que bloqueen el tráfico de video. Esto reduciría considerablemente la carga de la red y
aumentaría su rendimiento.

 Proporcionan control del flujo de tráfico. Las ACL pueden restringir la entrega de
actualizaciones de routing. Si no se requieren actualizaciones debido a las condiciones
de la red, se preserva ancho de banda.

 Proporcionan un nivel básico de seguridad para el acceso a la red. Las ACL pueden
permitir que un host acceda a una parte de la red y evitar que otro host acceda a la
misma área. Por ejemplo, se puede restringir el acceso a la red de Recursos Humanos a
los usuarios autorizados.

 Filtran el tráfico según el tipo de tráfico. Por ejemplo, una ACL puede permitir el tráfico de
correo electrónico, pero bloquear todo el tráfico de Telnet.

 Filtran a los hosts para permitirles o denegarles el acceso a los servicios de red. Las ACL
pueden permitirles o denegarles a los usuarios el acceso a determinados tipos de
archivos, como FTP o HTTP.

Las ACL de IPv6 son similares a las ACL de IPv4 en cuanto a la configuración y el
funcionamiento. Si ya está familiarizado con las listas de acceso de IPv4, las ACL de IPv6
serán fáciles de comprender y configurar. Existen dos tipos de ACL en IPv4: las estándar
y las extendidas. Ambos tipos de ACL pueden ser numeradas o con nombre.

En cuanto a IPv6, hay solamente un tipo de ACL, que equivale a la ACL de IPv4 extendida con
nombre. No existen ACL numeradas en IPv6. En resumen, las características de las ACL de IPv6
son las siguientes:
 Son ACL con nombre únicamente.
 Equivalen a la funcionalidad de una ACL de IPv4 extendida

Pag.3
Ejemplo de laboratorio

se muestra la topología que se utilizará para configurar las ACL de IPv6. Esta es similar a la
topología de Ipv4 , excepto por el esquema de direccionamiento Ipv6. Hay tres subredes de
2001:DB8:CAFE::/64: 2001:DB8:CAFE:10::/64, 2001:DB8:CAFE:11::/64 y
2001:DB8:CAFE:30::/64. Hay dos redes seriales que conectan los tres routers:
2001:DB8:FEED:1::/64 y 2001:DB8:FEED:2::/64.

En las siguientes imágenes se muestra la configuración de la dirección Ipv6 para cada uno de
los routers. El comando show ipv6 interface brief se utiliza para verificar la dirección y el
estado de la interfaz.

Pag.4
Router R1

Router R2

Pag.5
Router R3

Pag.6
 DHCPV6

Todo dispositivo que se conecta a una red necesita una dirección IP única. Los administradores
de red asignan direcciones IP estáticas a los routers, a los servidores, a las impresoras y a otros
dispositivos de red cuyas ubicaciones (físicas y lógicas) probablemente no cambien. Por lo
general, se trata de dispositivos que proporcionan servicios a los usuarios y dispositivos en la red.
Por lo tanto, las direcciones que se les asignan se deben mantener constantes. Además, las
direcciones estáticas habilitan a los administradores para que administren estos dispositivos en
forma remota. A los administradores de red les resulta más fácil acceder a un dispositivo cuando
pueden determinar fácilmente su dirección IP.
Sin embargo, las computadoras y los usuarios en una organización, a menudo, cambian de
ubicación, física y lógicamente. Para los administradores de red, asignar direcciones IP nuevas
cada vez que un empleado cambia de ubicación puede ser difícil y llevar mucho tiempo. Además,
para los empleados móviles que trabajan desde ubicaciones remotas, puede ser difícil establecer
de forma manual los parámetros de red correctos. Incluso para los clientes de escritorio, la
asignación manual de direcciones IP y otra información de direccionamiento plantea una carga
administrativa, especialmente a medida que crece la red.
La introducción de un servidor de protocolo de configuración dinámica de host (DHCP) en la red
local simplifica la asignación de direcciones IP tanto a los dispositivos de escritorio como a los
móviles. El uso de un servidor de DHCP centralizado permite a las organizaciones administrar
todas las asignaciones de direcciones IP desde un único servidor. Esta práctica hace que la
administración de direcciones IP sea más eficaz y asegura la coherencia en toda la organización,
incluso en las sucursales.
DHCP está disponible tanto para IPv4 (DHCPv4) como para IPv6 (DHCPv6)

 DHCPV6 sin estado: Si bien DHCPv6 es similar a DHCPv4 en cuanto a lo que proporciona,
los dos protocolos son independientes respecto sí. DHCPv6 se define en RFC 3315. Se
trabajó mucho en esta especificación a través de los años, como lo indica el hecho de que
RFC DHCPv6 tiene el número de revisión más alto que cualquier borrador de Internet.
La opción de DHCPv6 sin estado informa al cliente que utilice la información del mensaje
RA para el direccionamiento, pero que hay más parámetros de configuración disponibles
de un servidor de DHCPv6. Mediante el prefijo y la longitud de prefijo en el mensaje RA,
junto con EUI-64 o una IID generada aleatoriamente, el cliente crea la dirección IPv6 de
unidifusión global.

 DHCPV6 con estado (DHCPV6 solamente): Esta opción es la más similar a DHCPv4. En
este caso, el mensaje RA le informa al cliente que no utilice la información contenida en el
mensaje RA. Toda la información de direccionamiento y de configuración debe obtenerse
de un servidor de DHCPv6 con estado. Esto se conoce como DHCPv6 con estado, debido
a que el servidor de DHCPv6 mantiene información de estado de IPv6. Esto es similar a la
asignación de direcciones para IPv4 por parte de un servidor de DHCPv4.

Pag.7
Ejemplo de laboratorio:

1- Se requiere el uso del comando ipv6 unicast-routing para habilitar el routing IPv6.
Este comando no es necesario para que el router sea un servidor de DHCPv6 sin
estado, pero se requiere para enviar mensajes RA ICMPv6

2- El comando ipv6 dhcp pool nombre-pool crea un pool e ingresa el router en el

modo de configuración DHCPv6, que se identifica por la petición de entrada
Router(config-dhcpv6)#.

3- Durante el proceso SLAAC, el cliente recibió la información que necesitaba para

crear una dirección IPv6 de unidifusión global. El cliente también recibió la
información de gateway predeterminado mediante la dirección IPv6 de origen del
mensaje RA, que es la dirección link-local del router. Sin embargo, el servidor de
DHCPv6 sin estado puede configurarse para proporcionar otra información que
pudo no haberse incluido en el mensaje RA, como la dirección del servidor DNS y
el nombre de dominio.

4- El comando del modo de configuración de interfaz ipv6 dhcp server nombre-pool

vincula el pool de DHCPv6 con la interfaz. El router responde a las solicitudes de
DHCPv6 sin estado en esta interfaz con la información incluida en el pool. El
indicador O debe cambiarse de 0 a 1 mediante el comando de interfaz ipv6 nd
other-config-flag. Los mensajes RA enviados en esta interfaz indican que hay
información adicional disponible de un servidor de DHCPv6 sin estado.

Pag.8
 Ejemplo 2:

Configurar un servidor de DHCPv6 con estado es similar a configurar un servidor sin

estado. La diferencia más importante es que un servidor con estado también incluye
información de direccionamiento IPv6 de manera similar a un servidor DHCPv4

 Como se muestra en la ilustración, se requiere el uso del comando ipv6 unicast-routing

para habilitar el routing IPv6. Este comando no es necesario para que el router sea un
servidor de DHCPv6 con estado, pero se requiere para enviar mensajes RA ICMPv6.

 El comando ipv6 dhcp pool nombre-pool crea un pool e ingresa el router en el modo de
configuración DHCPv6, que se identifica por la petición de entrada Router(config-dhcpv6)#.

 Con DHCPv6 con estado, todos los parámetros de direccionamiento y otros parámetros de
configuración deben ser asignados por el servidor de DHCPv6. El comando address
longitud/prefijo se utiliza para indicar el conjunto de direcciones que debe asignar el
servidor. La opción lifetime indica el tiempo de arrendamiento válido y preferido en
segundos. Al igual que con DHCPv6 sin estado, el cliente utiliza la dirección IPv6 de origen
del paquete que contenía el mensaje RA.
Otra información proporcionada por el servidor de DHCPv6 con estado suele incluir la
dirección del servidor DNS y el nombre de dominio.

 El comando de interfaz ipv6 dhcp server nombre-pool vincula el pool de DHCPv6 con la
interfaz. El router responde a las solicitudes de DHCPv6 sin estado en esta interfaz con la
información incluida en el pool. El indicador M debe cambiarse de 0 a 1 mediante el
comando de interfaz ipv6 nd managed-config-flag. Esto le informa al dispositivo que no
utilice SLAAC, sino que obtenga el direccionamiento IPv6 y todos los parámetros de
configuración de un servidor de DHCPv6 con estado.

Pag.9
 NAT64

Es un mecanismo que permite a hosts ipv6 comunicarse con servidores ipv4. El servidor
NAT64 dispone de al menos una dirección ipv4 y un segmento de red ipv6 de 32 bits (por
ejemplo 64:ff9b::/96, véase RFC 6052, RFC 6146). El cliente ipv6 construye la dirección
ipv6 destino utilizando rango anterior de 96 bits mas los 32 bits de la dirección ipv4 con la
que desea comunicarse, enviando los paquetes a la dirección resultante, el servidor NAT64
crea entonces un mapeo de NAT entre la dirección ipv6 y la dirección ipv4, permitiendo la
comunicación.

Un entorno de NAT64 simplista puede verse como un dispositivo de red (un router, por
ejemplo) con al menos dos interfaces. Uno de los interfaces está conectado a la red IPv4,
y el otro a la red IPv6. La red estará configurada de modo que los paquetes de la red IPv6
a la red IPv4 son encaminados a través de este router. El router realizará todas las
traducciones necesarias para transferir paquetes de la red IPv6 a la red IPv4, y viceversa.

La traducción no es simétrica, dado que el espacio de direcciones ipv6 es mucho mayor

que el de direcciones ipv4 (compara: 2128 en IPv6 y 232 en IPv4), por lo que no es posible
una traducción una-una. Para poder llevar a cabo la traducción, el equipo NAT64 debe
mantener un mapeo de direcciones IPv6 a IPv4 (es decir, mantiene estado). Este tipo de
mapeo de direcciones se configura estáticamente por los administradores del sistema o,
habitualmente, se crea automáticamente cuando llega el primer paquete IPv6 al servidor
NAT64. Después de que se haya creado este flujo, los paquetes pueden pasar en ambas
direcciones.
En general, NAT64 está diseñado para usarse cuando las comunicaciones son iniciadas
por los hosts IPv6. Pero también existen algunos mecanismos, (tales como mapeos
estáticos de direcciones) para permitir lo contrario.

NAT para IPv6 se usa en un contexto muy distinto al de NAT para IPv4. Las variedades de
NAT para IPv6 se usan para proporcionar acceso de manera transparente entre redes solo
IPv6 y redes solo IPv4. No se utiliza como forma de traducción de IPv6 privada a IPv6
global.

Pag.10
Pag.11
Ejemplo de laboratorio:

En la figura se muestra que los hosts de las LAN 192.168.0.0/16, la PC1 y la PC2, no
pueden hacer ping a los servidores en la red externa, el Svr1 y el Svr2.
Para iniciar la resolución de problemas, utilice el comando show ip nat translations a fin
de verificar si actualmente hay alguna traducción en la tabla de NAT. El resultado de la
figura muestra que no hay traducciones en la tabla.

Pag.12
El comando show ip nat statistics se utiliza para determinar si se realizaron traducciones.
También identifica las interfaces entre las que debe ocurrir la traducción. Como se muestra
en el resultado de la figura 2, los contadores de NAT están en 0, lo que verifica que no se
realizó ninguna traducción. Al comparar el resultado con la topología de la figura 1, observe
que las interfaces del router están definidas de forma incorrecta como NAT interna o NAT
externa. También es posible verificar una configuración incorrecta con el comando show
running-config.

Se debe eliminar la configuración NAT actual de las interfaces antes de aplicar la

configuración correcta.
Luego de definir correctamente las interfaces NAT interna y externa, otro ping de la PC1 al
Svr1 falla. El uso de los comandos show ip nat translations y show ip nat statistics
nuevamente verifica que no hay traducciones en curso.

Pag.13
el comando show access-lists se utiliza para determinar si la ACL a la que hace referencia
el comando NAT permite todas las redes necesarias. Al examinar el resultado, se
comprueba que se utilizó una máscara de bits wildcard incorrecta en la ACL que define las
direcciones que se deben traducir. La máscara wildcard solo permite la subred
192.168.0.0/24. Primero se elimina la lista de acceso y después se reconfigura con la
máscara wildcard correcta.

Una vez corregidas las configuraciones, se genera otro ping de la PC1 al Svr1, y esta vez
el ping es correcto. Como se muestra en la figura , los comandos show ip nat translations
y show ip nat statistics se utilizan para verificar que se produzca la traducción NAT.

Pag.14
 Conclusión

Bueno en conclusión explicamos que NAT presenta desventajas en términos de sus

efectos negativos en el rendimiento de los dispositivos, la seguridad, la movilidad y la
conectividad de extremo a extremo, y se debe considerar como una implementación a corto
plazo para el agotamiento de direcciones, cuya solución a largo plazo es IPv6.
En conclusión a las listas de control de acceso podemos determinar que Las ACL se
configuran para aplicarse al tráfico entrante o al tráfico saliente una ACL es una lista
secuencial de instrucciones permit o deny. La última instrucción de una ACL siempre es
una instrucción deny implícita que bloquea todo el tráfico. Para evitar que la instrucción
deny any implícita al final de la ACL bloquee todo el tráfico, es posible agregar la instrucción
permit ip any any. Y por ultimo dhcpv6 que La asignación estática de información de
direccionamiento IP en una red grande produce una carga administrativa que puede
eliminarse mediante el uso de DHCPv4 o DHCPv6 para asignar de forma dinámica
información de direccionamiento IPv4 e IPv6, respectivamente.

Pag.15