ISATAP

ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) es un mecanismo de transición de IPv6 para transmitir paquetes de IPv6 entre nodos con doble pila (dual-stack) sobre redes IPv4.

A diferencia de 6over4, ISATAP utiliza IPv4 como un nivel de enlace de una red de acceso múltiple sin broadcast, por lo que no requiere que la red IPv4 subyacente soporte multicast.

Como funciona ISATAP

ISATAP define un método para generar una dirección IPv6 local a partir de una dirección IPv4, y un mecanismo para realizar el protocolo de descubrimiento de vecinos (Neighbor Discovery Protocol) sobre IPv4.

Generación de la dirección local ("link-local")

Cualquier máquina que desee participar en ISATAP sobre una red IPv4 puede establecer una interfaz de red IPv6 virtual. La dirección local se determina mediante la concatenación de fe80:0000:0000:0000:0000:5efe: con los 32 bits de la dirección IPv4 (expresado en notación hexadecimal).

Por ejemplo, el host 192.0.2.143 utilizaría fe80:0000:0000:0000:0000:5efe:c000:028f como su dirección IPv6 local (192.0.2.143 es c000028f en la notación hexadecimal). La notación simplificada sería fe80::5efe:c000:28f.

Descubrimiento de vecinos

Como ISATAP utiliza IPv4 como un nivel de enlace sin capacidad de multicast/broadcast-capable (al contrario que Ethernet), el ICMPv6 Neighbor Discovery no se puede hacer de la forma habitual. Este es el motivo por el que ISATAP es un poco más complejo que 6over4.

El nivel de enlace asociado con una dirección IPv6 dada está incluida en los 32 bits más bajos de la dirección IPv6, por lo que el descubrimiento de vecinos no se necesita realmente. Sin embargo, la falta de capacidad multicast impide el uso del descubrimiento automático del router (Router Discovery). Por lo tanto, los hosts con ISATAP tienen que configurar una lista de routers posibles (potential routers list o PRL). Cada uno de estos routers son sondeados con poca frecuencia por un mensaje ICMPv6 de Descubrimiento de router, para determinar cuales de ellos están funcionando, y para realizar la autoconfiguración de "unicast-only" (obtener la lista de los prefijos IPv6 on-link que puede utilizar).

En la práctica, las implementaciones construyen su PRL consultando el DNS, por ejemplo, preguntando por isatap.example.com si el dominio local es example.com. El dominio local se obtiene a través de DHCP (sobre IPv4) o se configura localmente.

Límites ISATAP

ISATAP está implementado en Microsoft Windows Vista, Windows XP, Windows Mobile y en algunas versiones de Cisco IOS. Debido a una demanda de patentes, las primeras implementaciones fueron retiradas tanto de KAME (*BSD) como de USAGI (Linux). Sin embargo IETF ha informado que los propietarios de las patentes no necesitan licencia para los implementadores [1].

ISATAP también conlleva los mismos riesgos de seguridad que 6to4: el enlace virtual IPv4 debe definirse con cuidado en el perímetro de la red, para que los hosts IPv4 externos no intenten ser parte del enlace ISATAP. Normalmente se puede evitar asegurando que el protocolo 41 no pueda atravesar el cortafuegos.

Referencias

• F. Tremplin, T. Gleeson, M. Talwar & D. Thaler Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) RFC 4214, octubre de 2005.