Proyecto de implantación del protocolo IPv6 en el ministerio
del poder popular para ciencia y tecnología
OBJETIVOS DEL PROYECTO
Adaptación de la plataforma de redes y sistemas para la presentación
de contenidos del Ministerio de modo que sean accesibles desde el exterior con
direccionamiento IPv6/ IPv4.
Creación y publicación de un portal de internet bajo el nombre de
dominio “ipv6.es” con información divulgativa y de referencia en IPv6.
La experiencia de este proyecto se utilizará de referencia para la
incorporación del protocolo IPv6 en otras organizaciones públicas y privadas.
SITUACIÓN
INICIAL
Está previsto que se agoten los recursos de direccionamiento de
Internet en los próximos meses. Del actual protocolo, denominado IPv4, se han
repartido ya los últimos paquetes de los 4.294 millones de direcciones IP que
lo componen a nivel mundial. Para que Internet siga funcionando plenamente y
puedan crecer los servicios y los dispositivos que acceden por esta vía hay que
iniciar un proceso de adaptación al nuevo protocolo IPv6 con direcciones de 128
bits de longitud, que permite la asignación de un número muy superior de puntos
de conexión (340 sextillones).
El final de la asignación de las direcciones IPv4 y el inicio de uso
del plan de direccionamiento IPv6 supondrá la necesidad de convivencia durante
un periodo previsiblemente largo de ambas versiones. Para que sea viable esta
coexistencia técnica deben desplegarse mecanismos técnicos de transición por
parte de los operadores, prestadores de servicios y contenidos y fabricantes de
equipamiento de comunicaciones.
El protocolo IPv6 se desarrolló en el año 1998 pero la adaptación de
las organizaciones proveedoras de servicios por Internet es aún limitada, no
existiendo aún ninguna entidad pública en la Administración General del Estado
plenamente adaptada. La necesidad de renovación de algunos elementos de red
actualmente en servicio para permitir la compatibilidad técnica para uso de la
nueva versión, la revisión de las aplicaciones y contenidos y la falta de una
masa crítica de usuarios que demanden la adaptación a IPv6 han sido algunos de
los factores que han retrasado una incorporación más temprana del nuevo
protocolo.
SOLUCIÓN
TECNOLÓGICA
La introducción del protocolo IPv6 en los servicios de publicación de
contenidos y aplicaciones web en el Ministerio se ha diseñado como un proceso
que permita ir avanzando en varias vías: por un lado, presentar los contenidos
web de forma que los internautas que accedan desde ordenadores configurados ya
en este protocolo puedan recibirlos y por otro, adaptar los servicios internos
de la organización para que los contenidos ofrecidos por otras páginas web
externas en IPv6 sean accesibles desde los puestos de usuarios internos, así
como la comunicación dentro de la red de área local.
Dada la complejidad técnica del proyecto se decidió crear una
infraestructura paralela de publicación en Internet en IPv6. De este modo se
mantienen funcionando los servicios actuales y se pueden realizar pruebas sobre
la nueva plataforma sin penalizar la disponibilidad de los servicios de
administración electrónica actuales.
Se comenzó
instalando un entorno paralelo con doble pila ipv4/ipv6 para permitir alcanzar
los objetivos propuestos de trasladar algunas páginas web a IPv6/ IPv4 en corto
plazo, sirviendo de laboratorio y permitiendo adquirir el conocimiento
necesario para la explotación de la nueva red y minimizando los riesgos sobre
la plataforma actual del Ministerio. Posteriormente se hará una traslación
paulatina de servicios a IPv6 configurando los dispositivos de red de modo que
puedan trabajar simultáneamente con IPv4 e IPv6.
Dentro de
las posibilidades de implantación de soluciones tecnológicas para convivencia
IPv4/ IPv6 existen varias alternativas recomendadas en función del enfoque de
prestación de servicios nativos IPv4 o Ipv6, de necesidades de convivencia
tecnológica multiprotocolo, transición entre protocolos o si la entidad es
únicamente consumidora de servicios. Los distintos métodos se muestran en la
figura 1: doble pila IPv4/ IPv6 (RFC 4213), tunelización encapsulando IPv6
sobre IPv4 y transportando el tráfico de forma transparente por la
infraestructura en IPv4 con mecanismos como Teredo/Miredo (RFC 4380) y
traducción de direcciones con transformación de cabeceras (RFC 2766). En
nuestro caso, dado que somos un prestador de contenidos y aplicaciones web ya
en funcionamiento en IPv4 sobre servicios de internet de operador y que debemos
asegurar convivencia IPv4/ IPv6, el método que utilizamos es el de doble pila.
En un futuro es posible que sea necesario utilizar alguno de los dos últimos
métodos para interoperar con otros organismos
Mecanismos de implementación para coexistencia de
IPv4/ IPv6
Los
elementos principales que conforman el entorno piloto son:
- Acceso
a Internet. Acceso redundado a través del operador RedIRIS
con capacidad de enrutamiento BGP. Las
dos líneas de acceso desplegadas para la solución del piloto se configuran con
protocolo Border Gateway Protocol (BGP) en IPv6 e IPv4 conectadas al sistema
autónomo de BGP en el proveedor de conectividad a Internet Red IRIS. Tras
solicitar a Red IRIS direccionamiento para el proyecto, se utilizará
direccionamiento global 2001:0720.0438::/64 de IPv6 y la clase C de IPv4
193.146.1.0/24.
Doble
línea de acceso físico del operador Telefónica
desde los conversores del nodo de acceso a Internet (RedIRIS) hasta los
terminadores de electrónica del Centro de Proceso de Datos del Ministerio
Equipos
de comunicaciones CISCO: Equipos Catalyst
6509 nivel 3 con doble tarjeta supervisora 720, un módulo de fibra de 24
puertos y un módulo de cobre de 48 puertos. Estos equipos permiten asegurar la
disponibilidad de los servicios prestados en los dos protocolos y escalabilidad
a ampliaciones futuras
El segundo
nivel de seguridad perimetral está constituido por dos equipos Palo Alto
PA-5050 en alta disponibilidad y doble pila con
sistemas independientes para IPv4 e IPv6 y sus correspondientes políticas
independientes de cada sistema. Entre los equipos de nivel 3 y este nivel de
seguridad perimetral se crea un enlace con direccionamiento IPv4 e IPv6
A
continuación se ha creado la DMZ o zona segura con dos equipos en stack de nivel 2 para alta disponibilidad y
continuidad de servicio. En esta DMZ se instalan dos servidores
DNS con doble pila para ser accedidos por los
dos protocolos IPv4/IPv6 y atender las resolución de nombres con independencia
del protocolo utilizado en las peticiones.
En un
tercer nivel tenemos los balanceadores de carga F5 3900 en alta disponibilidad y configuración en doble pila. Se conectan en
línea por un lado a la nueva DMZ con protocolo IPv4 e IPv6 con su
correspondiente virtual server del grupo de servidores que sirven el dominio
IPv6.es y por el otro extremo a la DMZ actual en producción de direccionamiento
privado y en IPv4.
A
continuación se presenta un esquema físico de la solución, que muestra el
entorno actual en IPv4 así como la propuesta de entorno paralelo en IPv6, en la
que se identifican los elementos mencionados anteriormente:
En la
figura se muestra, en la zona de la derecha, la infraestructura de acceso a
Internet en IPv4 y, en la zona de la izquierda, el diseño para la línea
paralela en doble pila IPv4/IPv6 que replica el modelo actual en IPv4.
