Professional Documents
Culture Documents
Y
TELECOMUNICACIONES
Índice.
Objetivos ____________________________________________________Pag. 1
Introducción __________________________________________________Pag. 2
Listas de control de acceso ______________________________________Pag.3
Ejemplo de laboratorio __________________________________________Pag.4,5,6
DHCPV6 _____________________________________________________Pag.7
Ejemplo de laboratorio 1 _________________________________________Pag.8
Ejemplo de laboratorio 2 _________________________________________Pag.9
NAT64 _______________________________________________________Pag.10,11
Ejemplo de laboratorio ___________________________________________Pag.12,13,14
Conclusión ____________________________________________________Pag.15
Objetivos
Pag.1
Introducción
En el presente informe tiene como objetivo dar a conocer ACL para Ipv6, DhcpV6 y nat64 lo cual
explicaremos para que nos sirve estas configuraciones para así poder comprender mejor los pasos
a seguir al momento de ejecutar los comandos, Sin embargo, cabe señalar que una de las
habilidades más importantes que necesita un administrador de red es el dominio de las listas de
control de acceso (ACL). También hablaremos lo importante que es dhcpv6 para nuestra red, La
introducción de un servidor de protocolo de configuración dinámica de host (DHCP) en la red local
simplifica la asignación de direcciones IP tanto a los dispositivos de escritorio como a los móviles.
También mencionaremos las configuraciones de nat64 y para que nos pueden ayudar
Pag.2
Listas de control de acceso
Una ACL es una lista secuencial de instrucciones permit (permitir) o deny (denegar) que se aplican
a los protocolos de capa superior o a las direcciones. Las ACL son una herramienta potente para
controlar el tráfico hacia y desde la red. Se pueden configurar ACL para todos los protocolos de
red enrutada.
El motivo más importante para configurar ACL es aportar seguridad a una red.
los diseñadores de red utilizan firewalls para proteger las redes del uso no autorizado.
Los firewalls son soluciones de hardware o de software que aplican las políticas de seguridad de
la red. Imagine una cerradura en la puerta de una habitación dentro de un edificio. La cerradura
permite que solo los usuarios autorizados que poseen una llave o una tarjeta de acceso puedan
entrar. De igual forma, un firewall filtra los paquetes no autorizados o potencialmente peligrosos e
impide que ingresen a la red. En un router Cisco, puede configurar un firewall simple que
proporcione capacidades básicas de filtrado de tráfico mediante ACL. Los administradores utilizan
las ACL para detener el tráfico o para permitir solamente tráfico específico en sus redes.
una ACL es una serie de comandos del IOS que controlan si un router reenvía o descarta paquetes
según la información que se encuentra en el encabezado del paquete. Las ACL son una de las
características del software IOS de Cisco más utilizadas.
Proporcionan control del flujo de tráfico. Las ACL pueden restringir la entrega de
actualizaciones de routing. Si no se requieren actualizaciones debido a las condiciones
de la red, se preserva ancho de banda.
Proporcionan un nivel básico de seguridad para el acceso a la red. Las ACL pueden
permitir que un host acceda a una parte de la red y evitar que otro host acceda a la
misma área. Por ejemplo, se puede restringir el acceso a la red de Recursos Humanos a
los usuarios autorizados.
Filtran el tráfico según el tipo de tráfico. Por ejemplo, una ACL puede permitir el tráfico de
correo electrónico, pero bloquear todo el tráfico de Telnet.
Filtran a los hosts para permitirles o denegarles el acceso a los servicios de red. Las ACL
pueden permitirles o denegarles a los usuarios el acceso a determinados tipos de
archivos, como FTP o HTTP.
Las ACL de IPv6 son similares a las ACL de IPv4 en cuanto a la configuración y el
funcionamiento. Si ya está familiarizado con las listas de acceso de IPv4, las ACL de IPv6
serán fáciles de comprender y configurar. Existen dos tipos de ACL en IPv4: las estándar
y las extendidas. Ambos tipos de ACL pueden ser numeradas o con nombre.
En cuanto a IPv6, hay solamente un tipo de ACL, que equivale a la ACL de IPv4 extendida con
nombre. No existen ACL numeradas en IPv6. En resumen, las características de las ACL de IPv6
son las siguientes:
Son ACL con nombre únicamente.
Equivalen a la funcionalidad de una ACL de IPv4 extendida
Pag.3
Ejemplo de laboratorio
se muestra la topología que se utilizará para configurar las ACL de IPv6. Esta es similar a la
topología de Ipv4 , excepto por el esquema de direccionamiento Ipv6. Hay tres subredes de
2001:DB8:CAFE::/64: 2001:DB8:CAFE:10::/64, 2001:DB8:CAFE:11::/64 y
2001:DB8:CAFE:30::/64. Hay dos redes seriales que conectan los tres routers:
2001:DB8:FEED:1::/64 y 2001:DB8:FEED:2::/64.
En las siguientes imágenes se muestra la configuración de la dirección Ipv6 para cada uno de
los routers. El comando show ipv6 interface brief se utiliza para verificar la dirección y el
estado de la interfaz.
Pag.4
Router R1
Router R2
Pag.5
Router R3
Pag.6
DHCPV6
Todo dispositivo que se conecta a una red necesita una dirección IP única. Los administradores
de red asignan direcciones IP estáticas a los routers, a los servidores, a las impresoras y a otros
dispositivos de red cuyas ubicaciones (físicas y lógicas) probablemente no cambien. Por lo
general, se trata de dispositivos que proporcionan servicios a los usuarios y dispositivos en la red.
Por lo tanto, las direcciones que se les asignan se deben mantener constantes. Además, las
direcciones estáticas habilitan a los administradores para que administren estos dispositivos en
forma remota. A los administradores de red les resulta más fácil acceder a un dispositivo cuando
pueden determinar fácilmente su dirección IP.
Sin embargo, las computadoras y los usuarios en una organización, a menudo, cambian de
ubicación, física y lógicamente. Para los administradores de red, asignar direcciones IP nuevas
cada vez que un empleado cambia de ubicación puede ser difícil y llevar mucho tiempo. Además,
para los empleados móviles que trabajan desde ubicaciones remotas, puede ser difícil establecer
de forma manual los parámetros de red correctos. Incluso para los clientes de escritorio, la
asignación manual de direcciones IP y otra información de direccionamiento plantea una carga
administrativa, especialmente a medida que crece la red.
La introducción de un servidor de protocolo de configuración dinámica de host (DHCP) en la red
local simplifica la asignación de direcciones IP tanto a los dispositivos de escritorio como a los
móviles. El uso de un servidor de DHCP centralizado permite a las organizaciones administrar
todas las asignaciones de direcciones IP desde un único servidor. Esta práctica hace que la
administración de direcciones IP sea más eficaz y asegura la coherencia en toda la organización,
incluso en las sucursales.
DHCP está disponible tanto para IPv4 (DHCPv4) como para IPv6 (DHCPv6)
DHCPV6 sin estado: Si bien DHCPv6 es similar a DHCPv4 en cuanto a lo que proporciona,
los dos protocolos son independientes respecto sí. DHCPv6 se define en RFC 3315. Se
trabajó mucho en esta especificación a través de los años, como lo indica el hecho de que
RFC DHCPv6 tiene el número de revisión más alto que cualquier borrador de Internet.
La opción de DHCPv6 sin estado informa al cliente que utilice la información del mensaje
RA para el direccionamiento, pero que hay más parámetros de configuración disponibles
de un servidor de DHCPv6. Mediante el prefijo y la longitud de prefijo en el mensaje RA,
junto con EUI-64 o una IID generada aleatoriamente, el cliente crea la dirección IPv6 de
unidifusión global.
DHCPV6 con estado (DHCPV6 solamente): Esta opción es la más similar a DHCPv4. En
este caso, el mensaje RA le informa al cliente que no utilice la información contenida en el
mensaje RA. Toda la información de direccionamiento y de configuración debe obtenerse
de un servidor de DHCPv6 con estado. Esto se conoce como DHCPv6 con estado, debido
a que el servidor de DHCPv6 mantiene información de estado de IPv6. Esto es similar a la
asignación de direcciones para IPv4 por parte de un servidor de DHCPv4.
Pag.7
Ejemplo de laboratorio:
1- Se requiere el uso del comando ipv6 unicast-routing para habilitar el routing IPv6.
Este comando no es necesario para que el router sea un servidor de DHCPv6 sin
estado, pero se requiere para enviar mensajes RA ICMPv6
Pag.8
Ejemplo 2:
El comando ipv6 dhcp pool nombre-pool crea un pool e ingresa el router en el modo de
configuración DHCPv6, que se identifica por la petición de entrada Router(config-dhcpv6)#.
Con DHCPv6 con estado, todos los parámetros de direccionamiento y otros parámetros de
configuración deben ser asignados por el servidor de DHCPv6. El comando address
longitud/prefijo se utiliza para indicar el conjunto de direcciones que debe asignar el
servidor. La opción lifetime indica el tiempo de arrendamiento válido y preferido en
segundos. Al igual que con DHCPv6 sin estado, el cliente utiliza la dirección IPv6 de origen
del paquete que contenía el mensaje RA.
Otra información proporcionada por el servidor de DHCPv6 con estado suele incluir la
dirección del servidor DNS y el nombre de dominio.
El comando de interfaz ipv6 dhcp server nombre-pool vincula el pool de DHCPv6 con la
interfaz. El router responde a las solicitudes de DHCPv6 sin estado en esta interfaz con la
información incluida en el pool. El indicador M debe cambiarse de 0 a 1 mediante el
comando de interfaz ipv6 nd managed-config-flag. Esto le informa al dispositivo que no
utilice SLAAC, sino que obtenga el direccionamiento IPv6 y todos los parámetros de
configuración de un servidor de DHCPv6 con estado.
Pag.9
NAT64
Es un mecanismo que permite a hosts ipv6 comunicarse con servidores ipv4. El servidor
NAT64 dispone de al menos una dirección ipv4 y un segmento de red ipv6 de 32 bits (por
ejemplo 64:ff9b::/96, véase RFC 6052, RFC 6146). El cliente ipv6 construye la dirección
ipv6 destino utilizando rango anterior de 96 bits mas los 32 bits de la dirección ipv4 con la
que desea comunicarse, enviando los paquetes a la dirección resultante, el servidor NAT64
crea entonces un mapeo de NAT entre la dirección ipv6 y la dirección ipv4, permitiendo la
comunicación.
Un entorno de NAT64 simplista puede verse como un dispositivo de red (un router, por
ejemplo) con al menos dos interfaces. Uno de los interfaces está conectado a la red IPv4,
y el otro a la red IPv6. La red estará configurada de modo que los paquetes de la red IPv6
a la red IPv4 son encaminados a través de este router. El router realizará todas las
traducciones necesarias para transferir paquetes de la red IPv6 a la red IPv4, y viceversa.
NAT para IPv6 se usa en un contexto muy distinto al de NAT para IPv4. Las variedades de
NAT para IPv6 se usan para proporcionar acceso de manera transparente entre redes solo
IPv6 y redes solo IPv4. No se utiliza como forma de traducción de IPv6 privada a IPv6
global.
Pag.10
Pag.11
Ejemplo de laboratorio:
En la figura se muestra que los hosts de las LAN 192.168.0.0/16, la PC1 y la PC2, no
pueden hacer ping a los servidores en la red externa, el Svr1 y el Svr2.
Para iniciar la resolución de problemas, utilice el comando show ip nat translations a fin
de verificar si actualmente hay alguna traducción en la tabla de NAT. El resultado de la
figura muestra que no hay traducciones en la tabla.
Pag.12
El comando show ip nat statistics se utiliza para determinar si se realizaron traducciones.
También identifica las interfaces entre las que debe ocurrir la traducción. Como se muestra
en el resultado de la figura 2, los contadores de NAT están en 0, lo que verifica que no se
realizó ninguna traducción. Al comparar el resultado con la topología de la figura 1, observe
que las interfaces del router están definidas de forma incorrecta como NAT interna o NAT
externa. También es posible verificar una configuración incorrecta con el comando show
running-config.
Pag.13
el comando show access-lists se utiliza para determinar si la ACL a la que hace referencia
el comando NAT permite todas las redes necesarias. Al examinar el resultado, se
comprueba que se utilizó una máscara de bits wildcard incorrecta en la ACL que define las
direcciones que se deben traducir. La máscara wildcard solo permite la subred
192.168.0.0/24. Primero se elimina la lista de acceso y después se reconfigura con la
máscara wildcard correcta.
Una vez corregidas las configuraciones, se genera otro ping de la PC1 al Svr1, y esta vez
el ping es correcto. Como se muestra en la figura , los comandos show ip nat translations
y show ip nat statistics se utilizan para verificar que se produzca la traducción NAT.
Pag.14
Conclusión
Pag.15