The Cable GuyTráfico IPv6 sobre conexiones VPN
Joseph Davies
Cuando comienza a evaluar la función de la versión 6 del protocolo de Internet (IPv6) en la intranet y empieza a planear su implementación, debería comprender cómo se admite el tráfico IPv6 en las conexiones de red privada virtual (VPN) en Windows. Con conexiones VPN, puede ampliar su red para incluir los vínculos a través de
redes públicas como Internet. Las conexiones VPN están protegidas por protocolos de autenticación seguros para validar las credenciales del usuario que se conecta y por métodos de cifrado para la confidencialidad de los datos.
Windows® XP y Windows Server ® 2003 incluyen una pila de protocolo IPv6, pero muchos servicios principales y componentes de red no admiten IPv6. Windows™ Vista y Windows Server 2008, anteriormente designado con el nombre en código "Longhorn," tienen compatibilidad de características completas para IPv6, que se instala y se habilita de manera predeterminada. De hecho, casi todos los servicios y las aplicaciones de redes incluidos con Windows Vista y Windows Server 2008 admiten IPv6. Este mes, tratamos la compatibilidad de Windows Vista, Windows Server 2008, Windows XP y Windows Server 2003 con el tráfico IPv6 enviado sobre conexiones VPN establecidas a través del protocolo Internet versión 4 (IPv4) y de las redes Internet IPv6.
Conexiones VPN a través de Internet IPv4
Para la mayor parte de las intranets actuales, las conexiones VPN se crean a través de Internet IPv4. En la figura 1 se muestran los componentes basados en Windows para conexiones VPN de este tipo. Estos componentes constan de lo siguiente:
Figura 1** Componentes basados en Windows para conexiones VPN a través de Internet IPv4 **(Hacer clic en la imagen para ampliarla)
Cliente VPN Se trata de un equipo que inicia una conexión VPN de acceso remoto a un servidor VPN y se comunica con recursos de intranet. Una conexión VPN de acceso remoto permite al cliente VPN actuar como si estuviera conectado directamente a la intranet. Un cliente VPN puede ejecutar versiones de cliente o servidor de Windows.
Servidor VPN Este equipo está a la escucha de intentos de conexión VPN remotos, aplica requisitos de autenticación y conexión y dirige paquetes entre clientes VPN y recursos de intranet. Un servidor VPN ejecuta normalmente una versión de servidor de Windows con el servicio de enrutamiento y acceso remoto.
Enrutador VPN Un enrutador VPN es un equipo que inicia o escucha intentos de conexión VPN de sitio a sitio. Una conexión VPN de sitio a sitio interconecta dos partes de una Intranet. Un enrutador VPN ejecuta una versión de servidor de Windows y el servicio de enrutamiento y acceso remoto.
Conexión VPN Una conexión VPN es el vínculo lógico entre el cliente VPN y el servidor VPN o bien, entre enrutadores VPN tal como se define en la encapsulación de un protocolo VPN.
Intranet habilitada con IPv6 Esta intranet puede reenviar tráfico IPv6, de manera nativa o cómo túnel en forma de paquetes IPv4.
Host IPv6/IPv4 Este nodo de intranet envía y recibe tráfico IPv6, nativamente o como túnel en forma de paquetes IPv4.
Los clientes VPN basados en Windows, los servidores y los enrutadores pueden usar los siguiente protocolos VPN para encapsular los paquetes enviados a través de la conexión VPN: Protocolo de túnel punto a punto (PPTP), Protocolo de túnel de nivel dos con protocolo de seguridad de Internet (L2TP/IPsec) y Protocolo de túnel de sockets seguros (SSTP). SSTP sólo está admitido por Windows Vista con Service Pack 1 (SP1, ahora en la prueba de la versión beta) y Windows Server 2008.
Para conexiones VPN a través de Internet IPv4, hay dos métodos que se usan para enviar IPv6: paquetes IPv6 enviados por túnel en forma de paquetes IPv4, a partir de ahora denominados tráfico IPv6 sobre IPv4, y tráfico IPv6 nativo.
A lo largo de esta columna, la compatibilidad con el tráfico IPv6 a través de conexiones VPN se indica en términos de protocolos VPN y versiones de Windows. Para conexiones VPN de acceso remoto, una combinación determinada de protocolo VPN y versión de Windows implica compatibilidad por parte de los componentes del cliente de acceso remoto y del servidor de acceso remoto de Windows.
Tráfico IPv6 sobre IPv4
En este método, un cliente de acceso remoto o un host IPv6/IPv4 en la intranet encapsula paquetes IPv6 con un encabezado IPv4 y envían el resultado en forma de un paquete IPv4. Para intranets, la tecnología de transición IPv6 (RFC 4214) de ISATAP permite nodos IPv6/IPv4 para intercambiar tráfico IPv6 a través de una intranet de sólo IPv4. Con ISATAP, puede habilitar la conectividad IPv6 en la intranet sólo de IPv4 sin tener que configurar o actualizar los enrutadores existentes para admitir la asignación de direcciones y el reenvío de IPv6 nativo. Para obtener más información acerca de ISATAP, consulte "Tecnologías de transición de IPv6" en la dirección microsoft.com/technet/network/ipv6/ipv6coexist.mspx.
La figure 2 muestra la estructura de paquete general para el tráfico VPN al enviar un paquete IPv4 usando una conexión VPN a través de Internet IPv4. El paquete IPv4 está encapsulado por el protocolo VPN con un encabezado y, según el protocolo de VPN, un finalizador. El resultado se encapsula con un encabezado IPv4 que permite el reenvío a través de Internet IPv4.
Figura 2** Paquetes IPv4 que usan una conexión VPN a través de Internet IPv4 **
Para el tráfico IPv6 sobre IPv4, la carga del paquete IPv4 enviado a través de la conexión VPN es un paquete IPv6. La figura 3 muestra la estructura de paquete general para el tráfico VPN al enviar un paquete IPv6 sobre IPv4 usando una conexión VPN a través de Internet IPv4.
Figura 3** Paquetes IPv6 sobre IPv4 que usan una conexión VPN a través de Internet IPv4 **
Para conexiones VPN de acceso remoto, el tráfico IPv6 sobre IPv4 a través de Internet IPv4 es compatible con PPTP y L2TP/IPsec en Windows Vista, Windows Server 2008, Windows XP SP1 o posterior y Windows Server 2003 y SSTP en Windows Vista SP1 y Windows Server 2008. Para conexiones VPN de sitio a sitio, el tráfico IPv6 sobre IPv4 a través de Internet IPv4 es compatible con PPTP y L2TP/IPsec en Windows Server 2008 y Windows Server 2003.
Tráfico IPv6 nativo
Para el tráfico IPv6 nativo, el cliente VPN, el servidor o el enrutador envían paquetes IPv6 a través de la conexión VPN sin la encapsulación IPv4 inicial. Esto funciona para intranets con conectividad IPv6 nativa y requiere que los clientes VPN, servidores y enrutadores admitan el protocolo de control IPv6 (IPV6CP), RFC 2472, que define cómo los nodos IPv6 negocian opciones de configuración IPv6 para las conexiones basadas en el protocolo punto a punto (PPP). Windows Vista y Windows Server 2008 admiten IPV6CP, al contrario que Windows XP y Windows Server 2003. La figura 4 muestra la estructura de paquete general para el tráfico VPN al enviar un paquete IPv6 usando una conexión VPN a través de Internet IPv4.
Figura 4** Paquetes IPv6 nativo que usan una conexión VPN a través de Internet IPv4 **
Para conexiones VPN de acceso remoto, el tráfico IPv6 nativo a través de Internet IPv4 es compatible con PPTP y L2TP/IPsec en Windows Vista y Windows Server 2008, y con SSTP en Windows Vista SP1 y Windows Server 2008. Para conexiones VPN de sitio a sitio, el tráfico IPv6 nativo que viaja a través de Internet IPv4 es compatible con PPTP y L2TP/IPsec en Windows Server 2008.
Conexiones VPN a través de Internet IPv6
También puede realizar conexiones VPN a través de Internet IPv6. Dichas conexiones VPN son raras ahora pero pasarán a ser más predominantes conforme más proveedores de servicios de Internet ofrezcan IPv6 a sus clientes y más organizaciones incluyan la conectividad a Internet IPv6 en sus redes perimetrales de intranet.
Para admitir conexiones VPN a través de Internet IPv6, los protocolos VPN que se usan deben admitir conexiones sobre IPv6. En Windows Vista y Windows Server 2008, los protocolos L2TP/IPsec y VPN SSTP son compatibles con conexiones VPN de acceso remoto sobre IPv6. En Windows Server 2008, L2TP/IPsec es compatible con conexiones de sitio a sitio sobre IPv6. Las conexiones VPN a través de Internet IPv6 usan el mismo conjunto de componentes que los de las conexiones VPN a través de Internet IPv4 para las conexiones de acceso remoto y VPN de sitio a sitio.
También hay dos maneras de enviar paquetes IPv6 sobre Internet IPv6: Tráfico IPv6 sobre IPv4 y tráfico IPv6 nativo. La figura 5 muestra la estructura general de paquetes IPv6 sobre IPv4 cuando se envían a través de una conexión VPN a través de Internet IPv6.
Figura 5** Paquetes IPv6 sobre IPv4 que usan una conexión VPN a través de Internet IPv6 **
Para conexiones VPN de acceso remoto, el tráfico IPv6 sobre IPv4 a través de Internet IPv6 es compatible con L2TP/IPsec en Windows Vista y Windows Server 2008, y con SSTP en Windows Vista SP1 y Windows Server 2008. Para conexiones VPN de sitio a sitio, el tráfico IPv6 sobre IPv4 a través de Internet IPv6 es compatible con L2TP/IPsec en Windows Server 2008. De la misma manera que para el tráfico IPv6 sobre IPv4 sobre Internet IPv4, el tráfico IPv6 sobre IPv4 a través de Internet IPv6 requiere la implementación de una tecnología de transición IPv6 como ISATAP en su intranet.
La figura 6 muestra la estructura general de paquetes IPv6 cuando se envían a través de una conexión VPN a través de Internet IPv6. Al igual que para el tráfico IPv6 nativo sobre Internet IPv4, el tráfico IPv6 nativo sobre Internet IPv6 requiere compatibilidad con IPV6CP y la implementación de la conectividad IPv6 nativa en la intranet.
Figura 6** Paquetes IPv6 nativo que usan una conexión VPN a través de Internet IPv6 **
Para conexiones VPN de acceso remoto, el tráfico IPv6 nativo a través de Internet IPv6 es compatible con L2TP/IPsec en Windows Vista y Windows Server 2008, y con SSTP en Windows Vista SP1 y Windows Server 2008. Para conexiones VPN de sitio a sitio, el tráfico IPv6 nativo a través de Internet IPv6 es compatible con L2TP/IPsec en Windows Server 2008.
Conclusión
La figura 7 muestra los cuatro métodos para el envío de tráfico IPv6 sobre conexiones VPN y la compatibilidad en Windows para los dos tipos diferentes de conexiones VPN. En pocas palabras, si usa una tecnología de transición de IPv6 como, por ejemplo, ISATAP en la intranet, puede enviar tráfico IPv6 sobre IPv4 en conexiones VPN a través de intranets IPv4 e IPv6. Si la intranet admite la conectividad IPv6 nativa, puede enviar el tráfico IPv6 nativo sobre conexiones VPN a través de Internet IPv4 e IPv6 con Windows Vista y Windows Server 2008.
Figure 7 Compatibilidad para el tráfico IPv6 sobre conexiones VPN en Windows
Método de envío del tráfico IPv6 | Conexiones VPN de acceso remoto | Conexiones VPN de sitio a sitio |
Tráfico IPv6 sobre IPv4 a través de Internet IPv4 | PPTP y L2TP/IPsec en Windows Vista, Windows Server 2008, Windows XP SP1 o posterior, y Windows Server 2003 SSTP en Windows SP1 Vista y Windows Server 2008 | PPTP y L2TP/IPsec en Windows Server 2008 y Windows Server 2003 |
Tráfico IPv6 nativo sobre Internet IPv4 | PPTP y L2TP/IPsec en Windows Vista y Windows Server 2008 SSTP en Windows SP1 Vista y Windows Server 2008 | PPTP y L2TP/IPsec en Windows Server 2008 |
Tráfico IPv6 sobre IPv4 a través de Internet IPv6 | L2TP/IPsec en Windows Vista y Windows Server 2008 SSTP en de Windows Vista SP1 y Windows Server 2008 | L2TP/IPsec en Windows Server 2008 |
Tráfico IPv6 nativo sobre Internet IPv6 | L2TP/IPsec en Windows Vista y Windows Server 2008 SSTP en de Windows Vista SP1 y Windows Server 2008 | L2TP/IPsec en Windows Server 2008 |
Joseph Davieses escritor técnico de Microsoft y enseña y escribe sobre temas de red de Windows desde 1992. Ha escrito cinco libros para Microsoft Press y es autor de la columna mensual Cable Guy de TechNet.
© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.