• Artículo

The Cable GuyMigración de la intranet a IPv6 con ISATAP

Joseph Davies

Este artículo se basa en una versión preliminar de Windows Server 2008. Por tanto, toda la información de este documento está sujeta a cambios.

Un concepto erróneo bastante frecuente acerca del protocolo de Internet versión 6 (IPv6) es que, con el objeto de usarlo, debe implementar el direccionamiento y el enrutamiento nativos de IPv6, lo cual requiere un análisis detallado de los esquemas de direccionamiento de IPv6, las actualizaciones y la configuración del enrutador, así como un programa de lanzamiento. Si bien, eventualmente, esto debería hacerse para la conectividad nativa de

IPv6, es posible implementar fácilmente la conectividad IPv6 de túnel mediante el Protocolo de direccionamiento automático de túnel dentro de un sitio (ISATAP). Con conectividad IPv6 de túnel, los hosts compatibles con ISATAP pueden comunicarse mediante el tráfico IPv6 encapsulado con un encabezado IPv4 (el campo del Protocolo IPv4 se establece en 41). El tráfico de ISATAP puede atravesar una intranet de sólo IPv4, por lo que puede comenzar a probar las aplicaciones compatibles con IPv6 inmediatamente, sin tener que esperar una infraestructura nativa de IPv6.

ISATAP es una tecnología de asignación de direcciones y de tunelización automática definida en RFC 4214 que ofrece conectividad unidifusión IPv6 entre hosts IPv6/IPv4 a través de una intranet de sólo IPv4. Los hosts ISATAP usan una interfaz de tunelización lógica a la que se asignan direcciones ISATAP, que tienen la forma UnicastPrefix:0:5EFE:w.x.y.z (cuando w.x.y.z es una dirección IPv4 privada asignada al host ISATAP) o UnicastPrefix:200:5EFE:w.x.y.z (cuando w.x.y.z es una dirección IPv4 pública asignada al host ISATAP). UnicastPrefix es un prefijo de dirección unidifusión de 64 bits. Aquí se incluyen prefijos locales de vínculo, globales y locales únicos. Ejemplos de direcciones ISATAP son 2001:DB8::98CA:200:131.107.28.9 y 2001:DB8::98CA:0:10.91.211.17.

Migración de intranet a IPv6 con ISATAP

Una implementación de ISATAP consiste en una o más subredes ISATAP lógicas, que son redes de sólo IPv4 a las que se ha asignado un prefijo de subred IPv6 de 64 bits. En una subred ISATAP lógica, hay hosts ISATAP y enrutadores ISATAP. Un host ISATAP usa una interfaz de tunelización de ISATAP para encapsular el tráfico IPv6. Este tráfico puede enviarse directamente a otros hosts ISATAP en la misma subred ISATAP lógica. Para alcanzar los destinos que están en otras subredes ISATAP o en subredes IPv6 nativas, el tráfico se envía a un enrutador ISATAP. Un enrutador ISATAP es un enrutador de IPv6 que anuncia prefijos de subred a los hosts ISATAP y reenvía el tráfico IPv6 entre los hosts ISATAP y los hosts de otras subredes IPv6. La Figura 1 muestra los componentes de ISATAP en una intranet simplificada.

Figura 1 Partes de sólo IPv4 y partes con capacidad para IPv6 de la intranet

Figura 1** Partes de sólo IPv4 y partes con capacidad para IPv6 de la intranet **(Hacer clic en la imagen para ampliarla)

ISATAP permite implementar capacidades de direccionamiento y enrutamiento nativos de IPv6 en la intranet en tres fases.

Fase 1: Intranet de sólo IPv4 En esta fase, toda la intranet puede ser una única subred ISATAP lógica. La Figura 2 muestra un ejemplo con una intranet de sólo IPv4 con un enrutador ISATAP que sólo anuncia un prefijo de dirección global o local único a los hosts ISATAP.

Figura 2 Una intranet de sólo IPv4

Figura 2** Una intranet de sólo IPv4 **(Hacer clic en la imagen para ampliarla)

Fase 2: Partes de sólo IPv4 y partes con capacidad para IPv6 de la intranet En esta fase intermedia, la intranet tiene una parte de sólo IPv4 (la subred ISATAP lógica) y una parte con capacidad para IPv6. La parte con capacidad para IPv6 de la intranet es compatible con IPv4 y se ha actualizado para ofrecer compatibilidad con el direccionamiento y el enrutamiento nativos de IPv6. Ya vimos esta configuración en la Figura 1.

Fase 3: Intranet con capacidad para IPv6 En esta fase final, toda la intranet es compatible con IPv4 y con el direccionamiento y el enrutamiento nativos de IPv6. Tenga en cuenta que ISATAP ya no es necesario. La Figura 3 muestra un ejemplo.

Figura 3 Intranet con capacidad para IPv6

Figura 3** Intranet con capacidad para IPv6 **(Hacer clic en la imagen para ampliarla)

Con ISATAP, puede tener conectividad IPv6 entre hosts y aplicaciones durante las primeras dos fases de la transición de una intranet de sólo IPv4 a una intranet con capacidad para IPv6.

Windows Server 2008 y Windows Vista

El protocolo IPv6 para Windows Server® 2008 y Windows Vista® es compatible con ISATAP como host ISATAP y como enrutador ISATAP. Hay una interfaz de tunelización de ISATAP independiente para cada interfaz LAN que se encuentra instalada en el equipo que tenga un sufijo DNS diferente. Por ejemplo, si un equipo que ejecuta Windows Vista tiene dos interfaces LAN, ambas están asociadas a la misma intranet y se les ha asignado el mismo sufijo DNS, sólo habrá una interfaz de tunelización de ISATAP. Si estas dos interfaces LAN están asociadas a dos redes distintas con sufijos DNS diferentes, habrá dos interfaces de tunelización de ISATAP. Para equipos que ejecutan Windows Server 2008 o Windows Vista SP1, las interfaces de túnel ISATAP se colocan en un estado de medios desconectados a menos que se pueda resolver el nombre "ISATAP".

De manera predeterminada, el protocolo IPv6 para Windows Vista sin service packs instalados automáticamente configura direcciones ISATAP locales de vínculo (FE80::5EFE: w.x.y.z o FE80::200:5EFE:w.x.y.z) en las interfaces de túnel ISATAP para las direcciones IPv4 que se asignan a las interfaces LAN correspondientes.

El protocolo IPv6 para Windows Server 2008 y Windows Vista SP1 configura direcciones ISATAP locales de vínculo en interfaces de túnel ISATAP sólo si el nombre "ISATAP" se puede resolver.

Para recibir un mensaje de anuncio de enrutador desde el enrutador ISATAP, el host ISATAP debe enviar al enrutador ISATAP un mensaje de solicitud de enrutador. En una subred Ethernet, un host IPv6 nativo envía un mensaje de solicitud de enrutador multidifusión y, a continuación, los enrutadores de la subred responden con un mensaje de anuncio de enrutador. Puesto que ISATAP no usa el tráfico multidifusión IPv4 ni requiere una infraestructura con capacidad multidifusión IPv4, el host ISATAP debe llevar a cabo la unidifusión del mensaje de solicitud de enrutador al enrutador ISATAP.

Para llevar a cabo la unidifusión del mensaje de solicitud de enrutador al enrutador ISATAP, el host ISATAP debe determinar, en primer lugar, la dirección IPv4 unidifusión de la interfaz del enrutador ISATAP en la subred ISATAP lógica. Para el protocolo IPv6 de Windows Server 2008 y Windows Vista, un host ISATAP obtiene la dirección IPv4 unidifusión del enrutador ISATAP a través de la resolución satisfactoria del nombre de host "ISATAP" en una dirección IPv4 o con el comando netsh interface isatap set router.

Migración de la intranet: Fase 1:

Con el objeto de implementar ISATAP en la intranet para la fase 1 de su migración a IPv6, necesita llevar a cabo los pasos siguientes:

Determinar el prefijo de subred ISATAP Debe determinar el prefijo de subred de 64 bits para asignarlo a la subred ISATAP lógica correspondiente a su intranet. Puede obtener un prefijo de 48 bits de un ISP o de un registro de Internet, o puede derivar su propio prefijo local único de 48 bits (consulte RFC 4193 en línea en tools.ietf.org/html/rfc4193).

A partir del prefijo de 48 bits, elija un identificador de subred de 16 bits para la subred ISATAP lógica. El resultado de la combinación del prefijo de 48 bits y del identificador de subred de 16 bits es el prefijo de subred ISATAP de 64 bits. Por ejemplo, el prefijo local único de 48 bits FD8A:219C:052A::/48 y el identificador de subred 1 forman el prefijo de subred de 64 bits FD8A:219C:052A:1::/64.

Designar un equipo de enrutador ISATAP Determine qué equipo será el enrutador ISATAP. Aunque muchos enrutadores comerciales son compatibles con la funcionalidad de enrutador ISATAP, la información que presento aquí es específica para los equipos que ejecutan Windows Server 2008.

El equipo de enrutador ISATAP no necesita varias interfaces LAN, ni necesita estar conectado a una parte con capacidad para IPv6 de la intranet para la fase 1. Sin embargo, debe elegirse el equipo que posteriormente pueda actualizarse con una interfaz LAN adicional conectada a la parte con capacidad para IPv6 de la intranet.

Configurar el equipo de enrutador ISATAP En el equipo de enrutador ISATAP, la publicación del siguiente comando ubica las interfaces de tunelización de ISATAP en el equipo de enrutador ISATAP en un estado de medios conectados:

netsh interface isatap set router IPv4Address

IPv4Address es la dirección IPv4 asignada a la interfaz LAN del equipo de enrutador ISATAP asociado a la subred ISATAP lógica.

A continuación, determine el nombre o índice de la interfaz de tunelización de ISATAP que corresponde a la interfaz LAN del equipo de enrutador ISATAP asociado a la subred ISATAP lógica, todo a partir del resultado de este comando:

netsh interface ipv6 show interfaces

Después, use este comando para habilitar los anuncios en la interfaz ISATAP:

netsh interface ipv6 set interface ISATAPInterfaceNameOrIndex advertise=enabled

ISATAPInterfaceNameOrIndex es el nombre o índice de la interfaz de tunelización de ISATAP.

A continuación, use este comando con el fin de configurar el equipo de enrutador ISATAP para anunciar el prefijo de subred ISATAP a los hosts ISATAP:

netsh interface ipv6 add route ISATAPSubnetPrefix ISATAPInterfaceNameOrIndex publish=yes

ISATAPSubnetPrefix es el prefijo de subred ISATAP determinado.

Configurar DNS En su DNS, agregue un registro (A) de dirección para el nombre ISATAP a los dominios apropiados de forma que los hosts ISATAP de la intranet puedan resolver satisfactoriamente el nombre "ISATAP". Por ejemplo, si los hosts de la intranet usan el sufijo DNS contoso.com, ahora debe agregar un registro A al dominio contoso.com para el nombre isatap.contoso.com con la dirección IPv4 que se asigna a la interfaz LAN del enrutador ISATAP en la intranet de sólo IPv4.

Si el servidor DNS ejecuta Windows Server 2008, use el editor del Registro (regedit.exe) en el servidor DNS para quitar la entrada de ISATAP del valor del Registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList.

Probar los hosts ISATAP Desde un host ISATAP en la intranet, use la herramienta Ipconfig para ver las direcciones asignadas. Los hosts ISATAP deben tener una dirección con el formato ISATAPSubnetPrefix:: 5EFE:w.x.y.z o ISATAPSubnetPrefix:: 200:5EFE:w.x.y.z. Por ejemplo, si su prefijo de subred ISATAP es FD8A:219C: 052A:1::/64 y un host ISATAP tiene la dirección IPv4 10.1.31.97, el host ISATAP debe tener la dirección FD8A: 219C:052A:1::5FE:10.1.31.97 asignada a su interfaz de tunelización de ISATAP.

Si un host ISATAP no tiene una dirección ISATAP basada en el prefijo de subred ISATAP, compruebe que el host puede resolver el nombre "ISATAP". En caso contrario, compruebe que los registros A se han creado en los dominios apropiados y, para los servidores DNS que ejecutan Windows Server 2008, compruebe que el valor del Registro GlobalQueryBlockList se ha modificado para quitar la entrada de ISATAP. Si se puede resolver el nombre, compruebe que el equipo de enrutador ISATAP se ha configurado correctamente. Si se ha configurado, compruebe que los enrutadores en la intranet permiten el reenvío del tráfico del protocolo IPv4 en 41.

Cuando los hosts ISATAP se pueden configurar así mismos correctamente con direcciones basadas en el prefijo de subred ISATAP, estos registran las direcciones ISATAP como registros AAAA en el DNS y comienzan a usarlas para la conectividad basada en IPv6.

Migración de la intranet: Fase 2

En la fase 2 de la migración a IPv6, es necesario que modifique la configuración del enrutador ISATAP para realizar el reenvío entre la parte de sólo IPv4 y la parte con capacidad para IPv6 de la intranet.

En el equipo de enrutador ISATAP, publique el comando siguiente:

netsh interface ipv6 show interfaces

A partir del resultado del comando anterior, determine el nombre o índice de la interfaz LAN asociada a la parte con capacidad para IPv6 de la intranet y la interfaz de tunelización de ISATAP.

Use este comando para habilitar el reenvío en la interfaz ISATAP:

netsh interface ipv6 set interface ISATAPInterfaceNameOrIndex forwarding=enabled

Use este comando para habilitar el reenvío en la interfaz LAN:

netsh interface ipv6 set interface LANInterfaceNameOrIndex forwarding=enabled

LANInterfaceNameOrIndex es el nombre o índice de la interfaz LAN.

Use el siguiente comando para agregar una ruta predeterminada al enrutador ISATAP:

netsh interface ipv6 add route ::/0 LANInterfaceNameOrIndex NextHopAddress publish=yes

NextHopAddress es la dirección IPv6 de un enrutador IPv6 nativo y vecino en la parte con capacidad para IPv6 de la intranet.

Para que la subred ISATAP lógica sea accesible desde la parte con capacidad para IPv6 de la intranet, es importante que configure los enrutadores IPv6 nativos con una ruta para el prefijo de subred ISATAP que señala al equipo de enrutador ISATAP.

Para deshabilitar de manera selectiva ISATAP de los equipos en la parte con capacidad para IPv6 de la intranet, manipule los registros A para el nombre ISATAP en su DNS de manera que los equipos en la parte con capacidad para IPv6 de la intranet no puedan resolver el nombre ISATAP.

Otra opción con la que cuenta es crear y establecer el valor del Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip6\Parameters\DisabledComponents en 0x4 (tipo DWORD).

Migración de la intranet: Fase 3

Para la fase 3, cuando toda la intranet tiene capacidad para IPv6, necesitará quitar la implementación de ISATAP a través de DNS y volver a configurar el equipo de enrutador ISATAP. Para DNS, quite todos los registros A para el nombre ISATAP. Esto evitará que cualquier host determine la dirección IPv4 del enrutador ISATAP.

Para el equipo de enrutador ISATAP, ejecute el comando siguiente:

netsh interface isatap set router default

Este comando vuelve a establecer el componente ISATAP en su estado predeterminado.

Determine el nombre o índice de la interfaz de tunelización de ISATAP a partir del resultado de este comando:

netsh interface ipv6 show interfaces

Use este comando para deshabilitar el reenvío y los anuncios en la interfaz ISATAP:

netsh interface ipv6 set interface ISATAPInterfaceNameOrIndex forwarding=disabled advertise=disabled

Use este comando para quitar la ruta del prefijo de subred ISATAP del equipo de enrutador ISATAP:

netsh interface ipv6 delete route ISATAPSubnetPrefix ISATAPInterfaceNameOrIndex

ISATAPSubnetPrefix es el prefijo de subred ISATAP.

Para obtener más información acerca de la implementación de ISATAP, incluidos detalles acerca de consideraciones de enrutadores y firewalls ISATAP redundantes, consulte la "Guía de implementación del Protocolo de direccionamiento automático de túnel dentro de un sitio" en go.microsoft.com/fwlink/?LinkId=106926.

Joseph Davies es escritor técnico de Microsoft, y enseña y escribe sobre temas de red de Windows desde 1992. Ha escrito ocho libros para Microsoft Press y es autor de la columna mensual en línea Cable Guy de TechNet. Para obtener más detalles acerca de The Cable Guy, consulte microsoft.com/technet/community/columns/cableguy/about.mspx.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.