IPv6 para el administrador de Windows: La direccion 2002: (Tunel 6to4) y su impacto.
Una entrega mas de nuestra seccion de traduccion del post original.
Hola, este es otro post por Venkat Kalyanasundaram de IPv6 para todos.
Ya discutimos en el post anterior IPv6 para el Administración en Windows: ¿Cómo funciona la resolución de nombres en un escenario IPv4/IPv6? y se discutió sobre el comportamiento cuando se utiliza un rango de direcciones IP privadas. Hoy vamos a hablar de un escenario especial cuando se tiene rangos de direcciones IPv4 públicas en nuestra red interna. Vamos a empezar.
Repaso Rapido
Los siguientes tres bloques de direcciones IPv4 en el mundo son tratados como direcciones privadas. En resumen, estas direcciones no pueden ser utilizadas por enrutadores para tráfico de Internet y se pueden implementar dentro de la red corporativa para el tráfico de Intranet. Si usted tiene la paciencia y el tiempo para leer RFC, puede obtener más información sobre este tema en los siguientes enlaces.
https://www.faqs.org/rfcs/rfc1918.html.
10.0.0.0 - 10.255.255.255 (10/8 prefijo)
172.16.0.0 - 172.31.255.255 (prefijo 172.16/12)
192.168.0.0 - 192.168.255.255 (prefijo 192.168/16)
Si has implementado el rango de direccionamiento IPv4 que no sea uno de los tres bloques de direcciones anteriores, entonces probablemente se utilizó unas direcciones públicas. Si bien no es común para utilizar rango público de direcciones IPv4 en la red interna, la gente todavía puede hacerlo por varias razones. Técnicamente no hay nada que pueda impedir el utilizar rango público de direcciones IPv4 en la red interna.
Si tu eres una de las personas que habían utilizado rango público de direcciones IPv4 en la red interna, esto te podrá parecer interesante y servir de ayuda.
Dual Stack Comportamiento predeterminado y las direcciones de túnel 6to4
Las máquinas de Windows (con dual stack habilitado para IPv4 e IPv6) que son configuradas con un rango publico de IPv4 (131.107.xy por ejemplo) en su red, tendrá un comportamiento por defecto para generar direcciones de túnel 6to4.
Si usted se está preguntando cuál es la dirección de un túnel 6to4, entonces usted necesita entender los conceptos tecnológicos de transición con IPv6. Discutido de forma rápida, esto quiere decir - Básicamente un paquete de túnel IPv6 dentro del marco de IPv4 en una red que solo soporte IPv4. Hay diferentes tipos de mecanismo disponibles para crear túneles (ISATAP, 6to4 y Teredo) dependiendo del tipo de redes IPv4 involucrados. Si usted está interesado en aprender más sobre las tecnologías de túnel de IPv6, puede obtener la información de este enlace.
Technet
https://technet.microsoft.com/en-us/library/bb726951.aspx
Veamos esto con un ejemplo. Una máquina de Windows se configura a partir de un rango de direcciones IPv4 públicas 131.107.23.20 como se muestra en el resultado del comando IPCONFIG arriba. Supongamos IPv6 también está habilitado y no hay una dirección IPv6 global configurado para esta máquina. El comportamiento predeterminado en Windows es, generar la dirección del túnel 6to4 y en este caso se configura en la sección del Adaptador.
La dirección de túnel 6to4 siempre comienza con un 2002. Los dígitos restantes 836b: 1714 se genera en función de la dirección IPv4 configurada en la máquina y también se repite en la parte del ID de interfaz. Se trata básicamente de la representación hexadecimal de los valores de direcciones IPv4. Si se convierte el dígito decimal 131 en un valor hexadecimal, es 83, 107 se convierte a 6B hexadecimal y así sucesivamente. Como mencioné anteriormente, si usted quiere saber más acerca de cómo las tecnologías de túneles trabajan, revisar el los enlaces en el technet https://technet.microsoft.com/en-us/library/bb726951.aspx
Impacto en el mundo real y Active Directory
Con la generación automática de la dirección del túnel 6to4, veamos ahora el impacto que crea. Una dirección 6to4 es tratada como una dirección IPv6 normal y queda registrado en el DNS como registros AAAA con actualizaciones dinámicas habilitadas a nivel de DNS. Con ambos registros AAAA y A registrados entre dos equipos con Windows, el comportamiento predeterminado en Windows es tratar de comunicarse a través de IPv6. (De acuerdo con el comportamiento de resolución de nombres que hemos hablado en el blog anterior y se explica en el diagrama anterior). La red sigue funcionando por que la direccion 6to4 se envia a traves del tunel dentro de un paquete IPV4 y se transmite como trafico IPv4 por medio de la red inmediata como enrutadores, etc.
La mayoría de las personas no se dan cuenta que el comportamiento anterior está ocurriendo en su red cuando utilizan un rango público IPv4 en las máquinas de Windows. Ellos se sorprenden al ver los registros AAAA en DNS, como se muestra en la imagen de arriba muestra AAAA y registros A para la máquina con 6to4 habilitada. También tienden a olvidar como definir la asociación equivalente en la subred / site IPv6 en Active Directory (Consulte la imagen siguiente para la consola MMC Sites and Services)
Por lo tanto el impacto real - aquí usted comienza a tener problemas de rendimiento a nivel de Active Directory porque los clientes Windows están tratando de comunicarse a través de IPv6 (dirección túnel 6to4) y no tienen ninguna subred / sitios definidos en Active Directory IPv6. Por lo que podría terminar en escenarios como - cliente Windows está tratando de autenticar con un controlador de dominio en el sitio remoto (aunque hay un DC disponible en el sitio local) o cualquiera de los servicios como DFS o aplicaciones que se basa en la configuración de costos en AD puede encontrar problemas de rendimiento.
La siguiente pregunta lógica es ¿cómo puedo deshabilitar la generación automática de la dirección del túnel 6to4 en el caso que discutimos anteriormente con un ejemplo?
Forma correcta para desactivación 6to4
Puede usar un GPO “política de grupo” de Windows para deshabilitar el adaptador túnel 6to4 como se muestra en la imagen siguiente. Al desactivar a través de la GPO “política del grupo”, IPv6 se mantiene habilitado pero no se generarán direcciones 6to4. Si desea utilizar la opción “”Disabledcomponents” debe utilizar la clave del Registro como se menciona en el KB
https://support.microsoft.com/kb/929852
Como último punto a tener en cuenta, usted no tiene que preocuparse de esto si despliega rangos privados de direcciones IPv4 en la red.
Venkat