Planificando la transición a IPv6

Tengo que reconocer que había subestimado las implicaciones de la inminente transición de IPv4 a IPv6. El pasado jueves (19/01/2012) tuve el privilegio de asistir a una jornada formativa sobre la transición a IPv6 de la mano de un reconocido experto mundial como Jordi Palet y mis impresiones previas sobre este asunto han cambiado por completo.

En este blog hablo exclusivamente de cuestiones profesionales por lo que voy a limitarme a analizar las implicaciones que este proceso de transición tiene en un entorno empresarial, dejando de lado las afectaciones a los usuarios domésticos.

El cambio es necesario y no negociable

No es una cuestión de decidir si me cambio o no a IPv6. Si no hacemos nada a nivel de empresa y seguimos trabajando con IPv4, en los próximos meses nos podemos encontrar con varios efectos:

1. Podemos empezar a tener problemas para acceder a determinadas páginas web. Por ejemplo, si tenemos proveedores en China podría darse el caso de que no pudiéramos acceder a sus páginas web. En la región de Asia Pacífico ya se han quedado sin direcciones IPv4. Eso significa que cuando un nuevo usuario de esa zona del mundo vaya a su ISP y le pida nuevas direcciones públicas éste le va a decir que ya no puede dárselas en IPv4. Este nuevo usuario podrá optar por implementar sus servicios con IPv6 (en China ya llevan años haciéndolo) o trabajar con IPv4 pero no con una dirección IP pública sino privada (asignada por el ISP y compartida con otros usuarios mediante NAT).

La consecuencia para mi es que si este usuario chino decide montar su portal web en IPv6 puede que yo no sea capaz de llegar hasta su portal (estamos suponiendo que nosotros nos quedamos en IPv4) o que si opta por trabajar con IPv4 bajo NAT determinados servicios y/o partes de su portal web no sean accesibles para mi (es bastante complejo desarrollar aplicaciones web que funcionen a través de varios niveles de NAT).

2. Si la web corporativa de mi empresa sólo funciona con IPv4 no podrá ser accedida por usuarios que trabajen exclusivamente con IPv6 (como ya empieza a pasar en algunas regiones del mundo). Las aplicaciones de mi organización, como por ejemplo el portal web corporativo, deben ser capaces de funcionar con una doble pila IPv4-IPv6 si quiero que sigan manteniendo su funcionalidad actual.

3. El próximo 6 de junio de 2012 los grandes proveedores de contenidos de internet (Google, Facebook, Yahoo, Microsoft Bing…) activarán de forma definitiva y permanente IPv6.

Ese es un primer paso que pretende forzar a los ISP a la transición a IPv6 y que antecederá al despliegue de nuevos servicios basados en las nuevas características de IPv6 de las que carece IPv4.

Eso significa que si no hago cambios y sigo en IPv4 no podré acceder a esos nuevos servicios.

Quiero que uses IPv6
Fotografía cortesía de Blacknight (CC BY 2.0)

Necesito un plan

Como consecuencia de lo expuesto en el apartado anterior, aunque sólo sea para seguir manteniendo los servicios actuales, necesitaremos elaborar un plan (un proyecto en sí mismo en el caso de organizaciones de cierto tamaño) para organizar la transición.

¿Qué elementos deberemos tener en cuenta? Siguiendo las recomendaciones de Jordi Palet, será conveniente que nuestro plan incluya los siguientes puntos:

1. Formar en IPv6 al departamento TIC.

2. Hacer un nuevo plan de direccionamiento IP.

Y no sirve intentar traspasar lo que hay en IPv4 de forma análoga a IPv6. Eso sería un error porque los cambios en el nuevo protocolo nos llevan a una nueva estrategia de direccionamiento de partida. Es muy recomendable utilizar un plan de direccionamiento NO contiguo (que puede ser gestionado por un dispositivo IPAM) y que nos permite aprovechar las nuevas prestaciones de IPv6 y dificultar ataques de escaneo de puertos

3. Obtener direcciones IPv6.

En el caso de una empresa que trabaje con varios ISP aquí hay una novedad. Hay que gestionar la obtención de las nuevas direcciones globales con RIPE NCC directamente (en el caso de Europa y Oriente Próximo y parte de Asia Central). Es lo que se llama direccionamiento IPv6 Independiente del Proveedor o “portable” y se regula mediante lo que se conoce como “contrato de usuario final”.

RIPE NCC nos va a entregar direciones IPv6 de tipo /48, por defecto. Si sólo trabajamos con un ISP y gestionamos la obtención de direccionamiento IPv6 con él deberemos exigirle ésto mismo.

4. Auditar la red.

Se trata de analizar si nuestro equipamiento actual (cortafuegos, balanceadores de carga, IDS, proxys, …) soporta IPv6.

5. Planificar actualizaciones y/o adquisiciones.

Aquí incluyo tanto aplicaciones (propias o ajenas) como sistemas operativos, firmware, o incluso certificados ssl.

Un punto importante es hacer las gestiones necesarias de forma que desde “ya” no se adquiera ningún nuevo equipamiento en la organización que no soporte IPv6.

Para empresas de gran tamaño todo este proyecto puede llevar tiempo y ser costoso. Parece, en ese caso, razonable abordarlo en 2 fases: primero asegurarme de que mis clientes y proveedores puedan acceder a mis servicios y aplicaciones y después conseguir que mis usuarios puedan acceder a internet con IPv6.

La estrategia de transición a IPv6 de mis ISP

¿Cómo nos afectará la estrategia de transición de nuestros proveedores de internet? Pues mucho. Los ISP españoles se van a quedar sin direcciones IPv4 a lo largo de los próximos meses (de hecho, Jordi Palet nos comentó que alguno de ellos ya las habría agotado) y han empezado a gestionar la solicitud de direcciones IPv6 a RIPE NCC.

Pero no van a dar soporte IPv6 de la noche a la mañana. Eso significa que utilizarán mecanismos de transición (generalmente basados en túneles) como NAT444 o Dual Stack Lite. Son mecanismos que, en general, trasladan el NAT del CPE a la propia red del operador, lo que se conoce como Carrier Grade-NAT (CGN).

Como consecuencia, las mismas direcciones ip son compartidas entre varios usuarios del ISP repartiendo el conjunto de puertos entre ellos (a razón de 2000 puertos por cliente). En este escenario muchas aplicaciones dejan de funcionar, no es posible hospedar servidores en “puertos conocidos” y es preciso utilizar complejos mecanismos como ALG para traspasar el NAT del ISP y lograr que algunas cosas funcionen.

Conclusiones

1. No podemos esperar más. Hay que planificar y ejecutar la transición a IPv6 en nuestras organizaciones.

2. Debemos informarnos detalladamente de los planes de transición de nuestros ISP para ver cómo nos van a afectar y decidir si nos conviene su estrategia o si será necesario un cambio de proveedor.

Para acabar esta entrada, os dejo un enlace hacia un buen libro introductorio a IPv6 que se puede descargar de forma gratuita; “IPv6 para todos“.

Planificando la transición a IPv6