8. ICMPv6 y Neighbor Discovery Protocol

IPv6 no puede funcionar sin ICMPv6 y su componente más visible, el Neighbor Discovery Protocol (NDP). Estos mecanismos reemplazan a ARP, permiten descubrir routers, detectar vecinos, configurar direcciones automáticamente y proteger la comunicación local.

En este tema se analiza cómo ICMPv6 habilita funciones esenciales, qué mensajes componen NDP, cómo opera SLAAC, qué problemas de seguridad pueden aparecer y cómo se investigan con herramientas como Wireshark o PowerShell.

8.1 Función de ICMPv6 en IPv6

ICMPv6 (RFC 4443) combina roles que en IPv4 estaban separados: gestiona errores, envía mensajes informativos y soporta extensiones como PMTUD (Path MTU Discovery). Sin ICMPv6 no es posible detectar si un paquete es demasiado grande, confirmar que un destino está activo o ejecutar ping con direcciones IPv6.

Dentro de ICMPv6 se encuentran los mensajes de Neighbor Discovery (RFC 4861) y las funciones de autoconfiguración SLAAC (RFC 4862), lo que explica por qué este protocolo tiene privilegios especiales: muchos firewalls permiten ICMPv6 de forma predeterminada para no obstaculizar la configuración automática.

8.2 Neighbor Discovery Protocol (NDP)

NDP reemplaza a ARP y extiende sus capacidades. Opera en el nivel de enlace local (multicast) para descubrir vecinos, resolver direcciones MAC, detectar duplicados y anunciar routers. Sus componentes principales son:

  • Neighbor Solicitation (NS) y Neighbor Advertisement (NA): equivalentes a ARP request/response, pero usan direcciones link-local multicast.
  • Router Solicitation (RS) y Router Advertisement (RA): permiten que un host descubra routers y parámetros de red sin intervención manual.
  • Redirect: indica a un host que existe un router más adecuado para cierto destino.

NDP también detecta cambios en la topología mediante Neighbor Unreachability Detection (NUD), garantizando que una dirección MAC se invalide rápidamente cuando un dispositivo se desconecta.

8.3 Mensajes: NS, NA y RS

Cada tipo de mensaje tiene campos específicos. La tabla ayuda a recordarlos:

Mensaje Objetivo Dirección destino Información clave
Neighbor Solicitation (135) Resolver la dirección MAC o verificar alcance. Multicast FF02::1:FFXX:XXXX o unicast (NUD). Target Address, opción Source Link-Layer.
Neighbor Advertisement (136) Respuesta con la MAC correspondiente. Unicast o multicast FF02::1. Flags Router/Solicited/Override.
Router Solicitation (133) Solicitar parámetros a routers locales. Multicast FF02::2 (todos los routers). Option Source Link-Layer Address (opcional).
Router Advertisement (134) Anunciar prefijos, MTU y timers. Multicast FF02::1 o unicast al solicitante. Prefix Information, M/O bits para DHCPv6.

En sistemas Windows se puede capturar la tabla de vecinos IPv6 con PowerShell: 

Get-NetNeighbor -AddressFamily IPv6 |
  Select-Object ifIndex, IPAddress, LinkLayerAddress, State |
  Format-Table -AutoSize

El comando muestra qué vecinos han respondido NS/NA recientemente, útil para diagnosticar problemas de conectividad local.

8.4 SLAAC y autoconfiguración

SLAAC (Stateless Address Autoconfiguration) permite que un host genere su dirección IPv6 combinando el prefijo anunciado por el router con un identificador, sin necesidad de DHCPv6. El proceso incluye:

  1. El host envía RS para descubrir routers.
  2. Recibe un RA con prefijos válidos y parámetros (lifetime, MTU, flags M/O).
  3. Genera su dirección (EUI-64 o aleatoria) y ejecuta Duplicate Address Detection (DAD) mediante NS/NA.
  4. Si no hay conflictos, instala la dirección como válida.

Muchos administradores habilitan SLAAC para direcciones globales y utilizan DHCPv6 solo para entregar parámetros adicionales (DNS, dominios de búsqueda). También se combina con Privacy Extensions para rotar identificadores y proteger la identidad del dispositivo.

8.5 Seguridad con SEND

NDP es susceptible a ataques como spoofing o RA falsos. Para mitigarlos se definió Secure Neighbor Discovery (SEND, RFC 3971), que agrega firmas criptográficas basadas en certificados y CGA (Cryptographically Generated Addresses).

SEND permite que un host verifique que el router que envía un RA posee una clave válida y que la dirección origen corresponde a la clave pública. Aunque no está disponible en todos los equipos, es relevante en entornos gubernamentales o de misión crítica donde la integridad de NDP es esencial.

Otras prácticas de seguridad incluyen:

  • Filtrar RA no autorizados en switches (RA Guard).
  • Monitorear la tabla de vecinos en busca de direcciones duplicadas o estados “Stale” prolongados.
  • Registrar eventos de DAD para detectar equipos que intentan suplantar direcciones.

8.6 Ejemplo práctico: análisis con Wireshark

Capturar tráfico NDP es el método ideal para confirmar que SLAAC y DAD funcionan correctamente. El siguiente flujo describe una captura típica en Wireshark:

  1. Iniciar Wireshark en una interfaz IPv6 y aplicar el filtro icmpv6.
  2. Solicitar una nueva dirección (por ejemplo, deshabilitando y habilitando la interfaz).
  3. Observar la secuencia RS → RA → NS (DAD) → NA.
  4. Verificar que el RA incluye el prefijo esperado y que el NS DAD responde “no existe”, lo que confirma que la dirección es única.

Para automatizar verificaciones básicas desde PowerShell se puede enviar un ping ICMPv6 (echo request) a la dirección link-local del router: 

Test-NetConnection -ComputerName "fe80::1" -InterfaceAlias "Ethernet" -InformationLevel Detailed

Este comando produce estadísticas de latencia y asegura que los mensajes ICMPv6 atraviesan correctamente la red local.

ICMPv6 y NDP sostienen la experiencia de IPv6 desde la autoconfiguración hasta la seguridad. Comprender sus mensajes y saber cómo diagnosticarlos resulta indispensable para administrar redes modernas. En el próximo tema abordaremos las VPN y veremos cómo se construyen túneles cifrados sobre estas bases de conectividad.

Retornar