Implementacion

Proyecto de implantación del protocolo IPv6 en el ministerio del poder popular para ciencia y tecnología

OBJETIVOS DEL PROYECTO

Adaptación de la plataforma de redes y sistemas para la presentación de contenidos del Ministerio de modo que sean accesibles desde el exterior con direccionamiento IPv6/ IPv4.

Creación y publicación de un portal de internet bajo el nombre de dominio “ipv6.es” con información divulgativa y de referencia en IPv6.

La experiencia de este proyecto se utilizará de referencia para la incorporación del protocolo IPv6 en otras organizaciones públicas y privadas.

SITUACIÓN INICIAL

Está previsto que se agoten los recursos de direccionamiento de Internet en los próximos meses. Del actual protocolo, denominado IPv4, se han repartido ya los últimos paquetes de los 4.294 millones de direcciones IP que lo componen a nivel mundial. Para que Internet siga funcionando plenamente y puedan crecer los servicios y los dispositivos que acceden por esta vía hay que iniciar un proceso de adaptación al nuevo protocolo IPv6 con direcciones de 128 bits de longitud, que permite la asignación de un número muy superior de puntos de conexión (340 sextillones).

El final de la asignación de las direcciones IPv4 y el inicio de uso del plan de direccionamiento IPv6 supondrá la necesidad de convivencia durante un periodo previsiblemente largo de ambas versiones. Para que sea viable esta coexistencia técnica deben desplegarse mecanismos técnicos de transición por parte de los operadores, prestadores de servicios y contenidos y fabricantes de equipamiento de comunicaciones.

El protocolo IPv6 se desarrolló en el año 1998 pero la adaptación de las organizaciones proveedoras de servicios por Internet es aún limitada, no existiendo aún ninguna entidad pública en la Administración General del Estado plenamente adaptada. La necesidad de renovación de algunos elementos de red actualmente en servicio para permitir la compatibilidad técnica para uso de la nueva versión, la revisión de las aplicaciones y contenidos y la falta de una masa crítica de usuarios que demanden la adaptación a IPv6 han sido algunos de los factores que han retrasado una incorporación más temprana del nuevo protocolo.

SOLUCIÓN TECNOLÓGICA

La introducción del protocolo IPv6 en los servicios de publicación de contenidos y aplicaciones web en el Ministerio se ha diseñado como un proceso que permita ir avanzando en varias vías: por un lado, presentar los contenidos web de forma que los internautas que accedan desde ordenadores configurados ya en este protocolo puedan recibirlos y por otro, adaptar los servicios internos de la organización para que los contenidos ofrecidos por otras páginas web externas en IPv6 sean accesibles desde los puestos de usuarios internos, así como la comunicación dentro de la red de área local.

Dada la complejidad técnica del proyecto se decidió crear una infraestructura paralela de publicación en Internet en IPv6. De este modo se mantienen funcionando los servicios actuales y se pueden realizar pruebas sobre la nueva plataforma sin penalizar la disponibilidad de los servicios de administración electrónica actuales.

Se comenzó instalando un entorno paralelo con doble pila ipv4/ipv6 para permitir alcanzar los objetivos propuestos de trasladar algunas páginas web a IPv6/ IPv4 en corto plazo, sirviendo de laboratorio y permitiendo adquirir el conocimiento necesario para la explotación de la nueva red y minimizando los riesgos sobre la plataforma actual del Ministerio. Posteriormente se hará una traslación paulatina de servicios a IPv6 configurando los dispositivos de red de modo que puedan trabajar simultáneamente con IPv4 e IPv6.

Dentro de las posibilidades de implantación de soluciones tecnológicas para convivencia IPv4/ IPv6 existen varias alternativas recomendadas en función del enfoque de prestación de servicios nativos IPv4 o Ipv6, de necesidades de convivencia tecnológica multiprotocolo, transición entre protocolos o si la entidad es únicamente consumidora de servicios. Los distintos métodos se muestran en la figura 1: doble pila IPv4/ IPv6 (RFC 4213), tunelización encapsulando IPv6 sobre IPv4 y transportando el tráfico de forma transparente por la infraestructura en IPv4 con mecanismos como Teredo/Miredo (RFC 4380) y traducción de direcciones con transformación de cabeceras (RFC 2766). En nuestro caso, dado que somos un prestador de contenidos y aplicaciones web ya en funcionamiento en IPv4 sobre servicios de internet de operador y que debemos asegurar convivencia IPv4/ IPv6, el método que utilizamos es el de doble pila. En un futuro es posible que sea necesario utilizar alguno de los dos últimos métodos para interoperar con otros organismos

Mecanismos de implementación para coexistencia de IPv4/ IPv6

Los elementos principales que conforman el entorno piloto son:

- Acceso a Internet. Acceso redundado a través del operador RedIRIS con capacidad de enrutamiento BGP. Las dos líneas de acceso desplegadas para la solución del piloto se configuran con protocolo Border Gateway Protocol (BGP) en IPv6 e IPv4 conectadas al sistema autónomo de BGP en el proveedor de conectividad a Internet Red IRIS. Tras solicitar a Red IRIS direccionamiento para el proyecto, se utilizará direccionamiento global 2001:0720.0438::/64 de IPv6 y la clase C de IPv4 193.146.1.0/24.

Doble línea de acceso físico del operador Telefónica desde los conversores del nodo de acceso a Internet (RedIRIS) hasta los terminadores de electrónica del Centro de Proceso de Datos del Ministerio

Equipos de comunicaciones CISCO: Equipos Catalyst 6509 nivel 3 con doble tarjeta supervisora 720, un módulo de fibra de 24 puertos y un módulo de cobre de 48 puertos. Estos equipos permiten asegurar la disponibilidad de los servicios prestados en los dos protocolos y escalabilidad a ampliaciones futuras

El segundo nivel de seguridad perimetral está constituido por dos equipos Palo Alto PA-5050 en alta disponibilidad y doble pila con sistemas independientes para IPv4 e IPv6 y sus correspondientes políticas independientes de cada sistema. Entre los equipos de nivel 3 y este nivel de seguridad perimetral se crea un enlace con direccionamiento IPv4 e IPv6

A continuación se ha creado la DMZ o zona segura con dos equipos en stack de nivel 2 para alta disponibilidad y continuidad de servicio. En esta DMZ se instalan dos servidores DNS con doble pila para ser accedidos por los dos protocolos IPv4/IPv6 y atender las resolución de nombres con independencia del protocolo utilizado en las peticiones.

En un tercer nivel tenemos los balanceadores de carga F5 3900 en alta disponibilidad y configuración en doble pila. Se conectan en línea por un lado a la nueva DMZ con protocolo IPv4 e IPv6 con su correspondiente virtual server del grupo de servidores que sirven el dominio IPv6.es y por el otro extremo a la DMZ actual en producción de direccionamiento privado y en IPv4.

A continuación se presenta un esquema físico de la solución, que muestra el entorno actual en IPv4 así como la propuesta de entorno paralelo en IPv6, en la que se identifican los elementos mencionados anteriormente:

En la figura se muestra, en la zona de la derecha, la infraestructura de acceso a Internet en IPv4 y, en la zona de la izquierda, el diseño para la línea paralela en doble pila IPv4/IPv6 que replica el modelo actual en IPv4.