Despliegue de IPv6: lista de verificación para administradores de red
Una lista de verificación práctica para desplegar IPv6 en producción. Desde planificación de direcciones hasta monitoreo, no te pierdas estos pasos críticos.
Desplegar IPv6 no es solo habilitar un protocolo. Se trata de planificar un esquema de direccionamiento que escale, configurar políticas de seguridad que coincidan con tus reglas IPv4 y asegurar que tu monitoreo detecte problemas antes que los usuarios.
Esta lista de verificación cubre lo que realmente necesitas hacer, basada en despliegues reales. Salta pasos bajo tu propio riesgo.
TL;DR - Resumen rápido
Puntos clave:
- Planifica tu direccionamiento antes de desplegar — necesitas al menos un /48 para flexibilidad
- Configura políticas de seguridad IPv6 antes de habilitar IPv6 en producción
- Monitorea ambos protocolos independientemente — fallas IPv6 pueden ocultarse detrás de fallback IPv4
- Usa SLAAC + RDNSS para simplicidad, DHCPv6 para control centralizado si es necesario
- Prueba todo el stack de aplicaciones — no asumas que "funciona en IPv4" significa "funciona en IPv6"
Ir a: Inventario | Planificación de direcciones | Seguridad | Monitoreo
Antes de empezar#
Haz inventario#
Lista cada dispositivo, aplicación y servicio que necesite conectividad de red. No asumas que todo soporta IPv6—pruébalo. Esa impresora heredada o sistema SCADA podría ser el bloqueador que no esperabas.
Verifica el soporte de tus proveedores. El soporte del sistema operativo es casi universal ahora, pero el software propietario y los sistemas embebidos pueden ir rezagados. Sabe qué funciona y qué no antes de comprometerte.
Obtén tu asignación#
Solicita espacio IPv6 de tu ISP o Registro Regional de Internet. La mayoría de los ISP proporcionan al menos un /48 a clientes empresariales, dándote 65,536 subredes /64. Si tienes múltiples conexiones o ejecutas un centro de datos, obtén tu propia asignación independiente del proveedor (PI).
No te conformes con un /64 a menos que seas una operación de una sola subred. Necesitas espacio para crecer.
Diseña tu esquema de direccionamiento#
Planifica tu direccionamiento antes de asignar nada. Un /48 te da un campo de subred de 16 bits—úsalo sabiamente. Agrupa subredes por ubicación, función o zona de seguridad.
Esquema de ejemplo:
2001:db8::/48 Tu asignación
2001:db8:0001::/64 Red de oficina central
2001:db8:0002::/64 VLAN de servidores central
2001:db8:0100::/64 Oficina sucursal 1
2001:db8:0200::/64 Oficina sucursal 2
2001:db8:1000::/64 Servidores web DMZReserva rangos para uso futuro. Deja espacios. No te arrepentirás de tener espacio extra.
Capacita a tu equipo#
IPv6 se ve diferente. La notación hexadecimal, reglas de abreviación de direcciones y el tamaño enorme de las direcciones confunden a la gente. Realiza sesiones de capacitación. Asegúrate de que todos entiendan lo básico antes del día del despliegue.
Cubre ICMPv6—no es opcional como ICMP en IPv4. Bloquearlo rompe el descubrimiento de vecinos y el descubrimiento de MTU de ruta.
Planificación de direcciones#
Usa subredes /64 completas#
Siempre asigna /64 para redes de usuarios finales. SLAAC lo requiere, y tratar de usar /127 o /126 en LANs causa dolores de cabeza operacionales. El espacio de direcciones es enorme—úsalo.
Para enlaces punto a punto, /127 está bien y es recomendado (RFC 6164). Previene ataques de ping-pong y ahorra una cantidad insignificante de espacio que no necesitas ahorrar.
Documenta todo#
Comienza la documentación desde el día uno. Registra tu asignación, asignaciones de subredes y la lógica detrás de ellas. Tu yo futuro—o tu reemplazo—necesitará esto.
Usa herramientas IPAM. Las hojas de cálculo funcionan para redes pequeñas, pero herramientas dedicadas como NetBox o phpIPAM escalan mejor y reducen errores.
Reserva espacio para crecimiento#
No asignes subredes secuencialmente sin planificar. Deja espacio entre grupos lógicos. Si tu red de oficina es 2001:db8:100::/64, no pongas la siguiente oficina en :101::/64. Usa :200::/64 y date 256 subredes de espacio para respirar.
Aleatoriza direcciones de servidores#
No numeres servidores secuencialmente (::1, ::2, ::3). Usa direcciones aleatorias o semánticamente significativas dentro de tu /64. El direccionamiento secuencial facilita el escaneo y expone el tamaño de tu red.
Genera direcciones aleatorias o usa EUI-64, pero deshabilita las extensiones de privacidad en servidores—quieres direcciones estables para DNS.
Mejores prácticas de DNS#
Agrega registros AAAA para todo#
Cada servicio con conectividad IPv6 necesita un registro AAAA. No hagas un despliegue a medias habilitando IPv6 pero omitiendo DNS. Los clientes intentarán IPv6 primero y fallarán, causando retrasos de conexión.
Para servicios de pila dual, publica tanto A como AAAA. Deja que Happy Eyeballs (RFC 6555) maneje el failover.
Configura DNS inverso#
Configura registros PTR en ip6.arpa. El DNS inverso no es solo para servidores de correo—se usa para registro, herramientas de seguridad y solución de problemas. Los registros PTR faltantes se ven descuidados y pueden activar filtros de spam.
Delega tu zona inversa correctamente. Si tu RIR o ISP maneja la delegación, envía los registros. Si lo controlas, automatiza las actualizaciones.
Asegura resolvers de pila dual#
Tus resolvers DNS deben responder consultas sobre IPv4 e IPv6. Configura transporte IPv6 incluso si tu red aún no es completamente de pila dual. Los clientes prefieren cada vez más el transporte IPv6 para DNS.
Prueba con dig o nslookup desde clientes solo IPv6. No asumas que funciona.
Prueba con clientes solo IPv6#
Inicia una VM o contenedor de prueba con solo IPv6—sin dirección IPv4. Intenta acceder a tus servicios. Encontrarás brechas que perdiste: direcciones IPv4 codificadas, registros AAAA rotos o aplicaciones que no manejan pila dual correctamente.
Consideraciones de enrutamiento#
Habilita IPv6 en todos los routers#
Activa el enrutamiento IPv6 globalmente. Incluso si un segmento aún no usa IPv6, tenerlo listo previene configuración apresurada después.
Configura direcciones de enlace local en todas las interfaces. Son requeridas para protocolos de enrutamiento y no necesitan direccionamiento global.
Elige tu protocolo de enrutamiento interior#
Tanto OSPFv3 como IS-IS soportan IPv6. Si estás ejecutando OSPFv2 para IPv4, OSPFv3 es la elección natural. IS-IS maneja ambas familias de direcciones en una sola instancia de protocolo, lo que simplifica las cosas si estás empezando de cero.
No ejecutes RIPng. Está obsoleto y limitado.
Configura BGP para conectividad externa#
Si tienes múltiples conexiones, ejecuta BGP para IPv6 como IPv4. Usa MP-BGP (Multiprotocol BGP) para transportar ambas familias de direcciones sobre una sesión, o ejecuta sesiones separadas—ambos funcionan.
Anuncia tu prefijo desde todos los upstreams. Configura filtros de ruta para prevenir fugas.
Filtra prefijos bogon#
Bloquea prefijos reservados y bogon en tu borde. La lista bogon es más pequeña que IPv4 pero aún necesaria. Filtra:
- ::/8 (excepto ::/128 y ::1/128)
- 0100::/64 (prefijo de descarte)
- 2001:db8::/32 (documentación)
- fc00::/7 (ULA—bloquea en borde de internet)
- fe80::/10 (enlace local)
- ff00::/8 (multicast, dependiente del contexto)
Team Cymru publica listas bogon actualizadas. Úsalas.
Mejores prácticas de seguridad#
Haz coincidir reglas de firewall con política IPv4#
Tu política de firewall IPv6 debería reflejar IPv4. Si bloqueas tráfico entrante excepto servicios específicos en IPv4, haz lo mismo para IPv6. No dejes IPv6 abierto porque es "nuevo".
Audita cuidadosamente. Muchos firewalls por defecto permiten todo para IPv6 cuando se habilitan por primera vez.
Permite ICMPv6 esencial#
ICMPv6 no es opcional. Debes permitir:
- Tipo 1 (Destination Unreachable)
- Tipo 2 (Packet Too Big) — rompe PMTUD si se bloquea
- Tipo 3 (Time Exceeded)
- Tipo 4 (Parameter Problem)
- Tipo 128/129 (Echo Request/Reply) — opcional pero útil
- Tipo 133-137 (Neighbor Discovery) — solo en segmentos locales
Bloquear ICMPv6 rompe las cosas. No lo hagas.
Habilita RA Guard en switches#
Los anuncios de router fraudulentos son un vector de ataque fácil. Habilita RA Guard en switches de acceso para bloquear RAs de puertos no confiables. Solo permite RAs de tus puertos de router.
La mayoría de los switches empresariales soportan esto. Configúralo durante el despliegue, no después de un incidente.
Monitorea RAs fraudulentos#
Incluso con RA Guard, monitorea RAs inesperados. Herramientas como NDPmon o RAmond detectan anuncios fraudulentos. Regístralos e investiga.
Los RAs fraudulentos pueden redirigir tráfico, causar interrupciones o habilitar ataques man-in-the-middle.
Monitoreo y registro#
Actualiza herramientas de monitoreo para IPv6#
SNMP, NetFlow, syslog—todos necesitan soporte IPv6. Actualiza tus recolectores para capturar tráfico IPv6. Configura tus dispositivos de red para enviar registros sobre transporte IPv6.
Prueba que gráficos, alertas y paneles muestren métricas IPv6. Muchas herramientas lo soportan pero no lo habilitan por defecto.
Registra direcciones de origen IPv6#
Asegúrate de que tus servidores web, registros de aplicaciones y herramientas de seguridad capturen direcciones IPv6 completas. Direcciones truncadas o faltantes paralizan la forense.
Verifica formatos de registro. Algunas aplicaciones registran direcciones IPv6 incorrectamente o no las registran en absoluto.
Rastrea tráfico IPv6 por separado#
Monitorea volumen y porcentaje de tráfico IPv6. Rastrea adopción con el tiempo. Conocer tu ratio de tráfico IPv6 ayuda a planificar capacidad e identificar problemas.
Configura alertas para caídas repentinas—usualmente significa que algo se rompió.
Alerta sobre problemas específicos de IPv6#
Crea alertas para:
- Fallos de adyacencia de protocolo de enrutamiento
- Gateways IPv6 inalcanzables
- Tasas altas de error ICMPv6
- Caídas de tráfico IPv6 o agujeros negros
No esperes a que los usuarios reporten problemas.
Lista de verificación de despliegue#
Usa esta lista para rastrear tu progreso de despliegue:
- Completar inventario de red (dispositivos, apps, servicios)
- Verificar soporte IPv6 del proveedor para todos los sistemas críticos
- Obtener asignación IPv6 del ISP o RIR
- Diseñar y documentar esquema de direccionamiento
- Capacitar equipo en básicos de IPv6 y solución de problemas
- Configurar herramienta IPAM para gestión de direcciones
- Configurar IPv6 en routers y switches core
- Habilitar OSPFv3/IS-IS para enrutamiento interior
- Configurar BGP para conectividad externa (si aplica)
- Implementar filtros de prefijo bogon en borde
- Crear registros AAAA para todos los servicios
- Configurar DNS inverso (ip6.arpa)
- Habilitar transporte IPv6 en resolvers DNS
- Probar resolución desde clientes solo IPv6
- Desplegar reglas de firewall coincidiendo política IPv4
- Permitir tipos ICMPv6 esenciales
- Habilitar RA Guard en switches de acceso
- Desplegar monitoreo de RA fraudulentos
- Actualizar herramientas de monitoreo para soporte IPv6
- Configurar registro IPv6 en todos los sistemas
- Crear paneles de tráfico IPv6
- Configurar alertas específicas de IPv6
- Probar conectividad desde clientes de prueba solo IPv6
- Documentar despliegue y lecciones aprendidas
Despliega metódicamente. Prueba exhaustivamente. Documenta todo. IPv6 no es difícil—solo es diferente.
Artículos relacionados#
- Mejores prácticas de seguridad IPv6 - Asegura tu red IPv6 contra amenazas
- Estrategias de migración IPv6 - Planifica y ejecuta tu despliegue IPv6
Planifica tu red
Usa nuestra Calculadora de subredes para diseñar tu esquema de direccionamiento IPv6.