Internet Week 2010 (S9) IPv6トラブルシューティング　～サーバ編～

Size: px

Start display at page:

Download "Internet Week 2010 (S9) IPv6トラブルシューティング　～サーバ編～"

うたろうがうん
5 years ago
Views:

1 2011/01/22 Internet Week 2010 (S9) IPv6 トラブルシューテゖング ~ サーバ編 ~ ( 株 ) クララオンラン白畑真

2 今日の内容はじめに IPv4/IPv6デュゕルスタックでのサービス提供サーバでのIPv4/IPv6デュゕルスタック IPv4シングルスタック+ミドルボックス IPv4/IPv6 関連のバグセキュリテゖホールの傾向まとめ 2

3 はじめに今日の目的デュゕルスタックでのサービス運用において遭遇する可能性のあるサーバとミドルボックス関連の問題と解決策前提知識 IPv4/IPv6 デュゕルスタックで各種サービスを構築できること今回は特に説明のない限り Linux を前提に説明 3

4 IPv6 IPv4 IPv6 IPv4 IPv4 サービスにおける二つの IPv6 対応手法サーバを IPv4/IPv6 デュアルスタックで運用する構成 D サーバ自体は IPv4 シングルスタックで運用ミドルボックスが IPv6 を IPv4 に変換トランスレータロードバランサリバースプロキシなどのミドルボックスを利用し IPv4 IPv6 を変換 M v4 v4 v6 v6 MiddleBox 前提 : ネットワークは IPv4/IPv6 デュゕルスタック 4

5 サーバのトラブルシューテゖング D M IPv4/IPv6 デュゕルスタックサーバまで IPv4/IPv6 デュゕルスタック IPv4/IPv6 変換なし IPv4/IPv6 変換 +IPv4 サーバサーバは IPv4 シングルスタック NAT-PT/ リバースプロキシ等で IPv4/IPv6 を変換 5

6 問題事例 0 D M サービスを IPv6 対応にしたつもりはないがいつのまにか IPv6 で通信が行われている ( あるいは IPv6 のソケットが開いている ) 想定原因多くの OS ではデフォルトの設定で IPv6 が有効になっているネットワーク側が IPv6 に対応したタミングでサービスも IPv6 対応に IPv6 自動トンネル技術が有効になっている 7

7 切り分け方法 : IPv6 のデフォルト設定 IPv6 ゕドレスが存在するかどうか確認 ifconfig (UNIX 系 ) ipconfig (Windows) IPv6 ゕドレス : 自動トンネル系 2002::/16 6to4 2001::/32 Teredo 閉域網 NTT 東西 2001:c90::/ :d70::/ :a000::/ :1a8::/ ::/22 8

8 意図せず有効になる IPv6 デフォルト設定に注意多くの OS ではデフォルト設定で IPv6 が有効リンクローカルゕドレスが自動的に設定されている自動トンネル (6to4, Teredo など ) 特にクラゕント向け OS RA の広報などネットワーク側が IPv6 に対応したタミングで意図しないうちに IPv6 対応になる可能性 Linux サーバの場合の例 : IPv4 では iptables でパケットフゖルタリングされている IPv6 では ip6tables でパケットフゖルタリングされていないサーバ側で直接 IPv6 サービスを提供しないのであれば IPv6 機能の無効化を検討すべききちんとセキュリテゖ対策を講じた上で IPv6 の対応を 9

9 各種 OS と IPv6 対応 OS IPv6 対応 OSデフォルト設定の IPv6 対応 Red Hat Enterprise Linux 3 Red Hat Enterprise Linux 4, 5, 6 FreeBSD 4 ~ 7 FreeBSD 8 ~ ( リンクローカルのみ ) Mac OS X 10.3 "Panther ~ Windows Server 2003, Windows XP Windows Server 2008, Windows Vista, 7 10

10 問題事例 1 D M サービスを IPv6 対応にしたところ以前よりも接続が完了するまでの時間がかかるようになった想定原因 DNS フォールバック Path MTU デゖスカバリ 11

11 問題事例 1: DNS 名前解決に時間がかかるようになった想定原因 DNS 権威サーバのトランスポートの問題 IPv6 では応答しないが IPv4 では応答する DNS のペロードが大きくなったゾーンフゔルに AAAA レコードを記述することでパケット長が 512 バト以上にリゾルバや Firewall が EDNS0 に対応していない UDP から TCP にフォールバックしている 12

12 切り分け方法 : DNS (1/2) DNS ではなく hosts フゔルを利用する hosts フゔルに IPv6 ゕドレスだけもしくは IPv4 ゕドレスを記載フゔルの場所 UNIX 系 OS: /etc/hosts Windows: C: WINDOWS system32 drivers etc 13

13 切り分け方法 : DNS (2/2) DNS のトランスポートの確認 dig soa 権威サーバの IPv6 ゕドレス dig soa 権威サーバの IPv4 ゕドレス EDNS0 対応の確認 dig +bufsize=2048 soa 権威サーバの IPv6 ゕドレス dig +bufsize=2048 soa 権威サーバの IPv4 ゕドレス ; <<>> DiG <<>> +bufsize=2048 soa ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;; ANSWER SECTION: example.com IN SOA dns1.icann.org. hostmaster.icann.org

14 問題事例 1: Path MTU デゖスカバリ D M 通信開始時に時間がかかる想定原因 Path MTU デゖスカバリが行われているクラゕント側のネットワーク環境の MTU とサービス提供側の MTU が異なるサーバの MTU を 1280 に設定するのも一つの方法 IPv4/IPv6 変換を行うミドルボックスが導入されている場合 MTU の変換処理に注意 ( 特に NAT- PT の場合 ) 15

15 切り分け方法 : Path MTU デゖスカバリ IPv4 と IPv6 の経路でそれぞれの MTU を調査 tracepath tracepath6 MTU の変更 IPv6 の最小 MTU: 1280 OS によっては特定経路の MTU のみを変更可能 Linux の場合 : ip route -6 add 2001:db8:beef::/64 via 2001:db8:cafe::1 mtu

16 問題事例 1: フォールバック D M 最初に IPv6 で接続を試行するが一定時間内に IPv6 で接続できない場合に IPv4 で接続を試行想定原因クラゕントの IPv6 接続性に問題があるクラゕントは IPv6 ゕドレスを持っているが IPv6 ンターネットに接続してない IPv4 ンターネットには接続性がある環境 Path MTU ブラックホールサーバ側の IPv6 サービスに問題がある IPv6 ネットワークやミドルボックスで問題が生じている一方 IPv4 サービスでは障害が発生していない IPv6 のゕクセス制御リストの内容が IPv4 と異なる例 : Linux のパケットフゖルタリングは IPv4 は iptables IPv6 には ip6tables という異なるプログラムとなっている 17

17 切り分け方法 : フォールバッククラゕントに IPv6 のみのサトに接続可能か確認してもらう例 : ipv6.google.com クラゕントに IPv6 閉域網のゕドレスが割り振られてないか確認する参考 : NTT 東西の IPv6 閉域網向けポリシーテーブル設定外部から IPv4 と IPv6 のゕドレスそれぞれに正常性確認を行う telnet サービスの IPv6 ゕドレス 80 telnet サービスの IPv4 ゕドレス 80 18

18 問題事例 2 D M IPv6 で通信はできるが IPv4 より遅くなった想定原因その 1 通信先までの経路が IPv4/IPv6 で異なる IPv4 ンターネットでは日本国内のホスト同士が通信する際通常は国内で通信が完結 IPv6 ンターネットでは徐々に改善しているとはいえ日本国内のホスト同士の通信でも米国経由となるケースも見られる 19

19 問題事例 2 IPv6 で通信はできるが IPv4 より遅くなった想定原因その 2 IPv6 自動トンネルを利用している IPv4 プラベート +6to4 の両方ゕドレスを持っているクラゕントが IPv4/v6 デュゕルスタックのサーバに接続する場合 IPv4 が優先一部のクラゕントや環境では 6to4 が IPv4 プラベートゕドレスよりも優先される例 : ブロードバンドルータが NAT+6to4 対応, クラゕントが Linux/Mac OS X の環境では IPv4 プラベートより 6to4 が優先されるただし Mac OSX から 6to4 ゕドレスの優先度が IPv4 プラベートゕドレスよりも下がった ( 模様 ) 20

20 ブロードバンドルータ経由での 6to4 接続ブロードバンドルータにグローバル IPv4 ゕドレスが割り当てられている場合 6to4 対応ブロードバンドルータが必要ブロードバンドルータが 6to4 を終端 + NAT PC とブロードバンドルータ間は Native IPv6 ブロードバンドルータが RA を広報 Apple 社 AirMac Extreme, TimeCapsule BUFFALO 社 WZR-AMPG300NH など家庭内 LAN 6to4 対応ブロードバンドルータ PC IPv4 IPv4 Private+ IPv :c000:022a:dead:beef:café: IPv6 6to4 リレールータ 21 21

21 6to4 はどんな時に利用されるのか? サーバ側 IPv4 IPv4/IPv6 IPv6 標準で利用されるプロトコル IPv4 接続 6to4 による IPv6 接続ポリシーテーブルを書き換えることで IPv4/IPv6 の両方に対応したサーバに対して 6to4 接続を優先利用することも可能 22

22 切り分け方法 OS の名称バージョンを確認する IPv4 と IPv6 で経路を比較 traceroute (tracert -4) traceroute6 (tracert -6) IPv6 ゕドレスを確認自動トンネル 2001::/32 Teredo 2002::/16 6to4 23

23 問題事例 2 D M IPv6 で通信はできるが IPv4 より遅くなった想定原因その 3 IPv6 経路上の MTU が IPv4 経路上の MTU と比較して小さい MTU が小さい分スループットが低くなる現時点の IPv6 ンターネットにはまだトンネル接続が残っているトンネル区間などの MTU は 1280 に設定されていることが多い 24

24 問題事例 3: 不正 RA D M IPv6 のデフォルトルートが見覚えのない IPv6 ゕドレスに変更されている想定原因事故や攻撃などの理由で正規の RA 以外の RA を受信した RA には認証がないため容易に詐称されうる 25

25 問題切り分け : 不正 RA 経路表を確認しデフォルルートが正しい IPv6 ゕドレスになっているか確認よくあるケース Windows のンターネット接続の共有 (ICS) が 6to4 を有効化不正 RA の監視対応ツール : NDPMon - IPv6 Neighbor Discovery Protocol Monitor rafixd 参考 :

26 問題切り分け : 不正 RA RA を利用せず静的にゕドレスを設定する VRRPv3( ルータ冗長化プロトコル ) などの利用には RA が必要 ( 訂正 : ルータ側では RA が有効化されますがクラゕント側で RA を有効化する必要はありません ) RA を利用する場合には L2 スッチ等で RA のフゖルタリングや監視を行う RA の優先度を設定 RFC4191 で優先度が設定できるようになった High Medium( デフォルト ) Low High に設定することで過失による影響を軽減 27

27 問題事例 4 D M ミドルボックス (IPv4/IPv6 変換装置 ) がスパムや不正ゕクセスの踏み台になっている想定原因ミドルボックスではサービスの提供範囲を意識してゕクセス制御リストを設定するミドルボックスの設置場所クラゕント側 ( トランスレータ等 ) サーバ側 ( トランスレータ, リバースプロキシ, ロードバランサ等 ) サービスの提供範囲クラゕントのネットワークのみンターネット全体ミドルボックス経由でゕクセスできるサーバンターネット全体ミドルボックス配下のサーバのみ 28

28 切り分け方法 4 外部からミドルボックスにゕクセスしサービス提供外のホストにゕクセスできるか確認 $ telnet 2001:db8:beef::1 80 GET 第三者の Web サーバの IPv4 ゕドレス / HTTP/1.0 $ telnet 2001:db8:beef::1 80 GET 第三者の Web サーバの IPv6 ゕドレス ]/ HTTP/1.0 v4 第三者のサーバ v6 MiddleBox プロトコル変換対象のサーバ 29

29 問題事例 5 D M IPv6 環境で Bonding が正常に機能しない想定原因 Bonding の設定が IPv4 を前提としている Bonding の主な監視方法 MII( 物理ンタフェースの状況 ) ARP の応答 ARP は IPv4 固有のプロトコル MII など IPv4 に依存しない方法を採る必要がある 30

30 切り分け方法 5 Bonding の動作モードを確認 ARP モニタリングの場合 : # cat /proc/net/bonding/bond0 Ethernet Channel Bonding Driver: v3.4.0 (October 7, 2008) Bonding Mode: fault-tolerance (active-backup) Primary Slave: None Currently Active Slave: eth0 MII Status: up MII Polling Interval (ms): 0 Up Delay (ms): 0 Down Delay (ms): 0 ARP Polling Interval (ms): 1000 ARP IP target/s (n.n.n.n form): Slave Interface: eth0 MII Status: up Link Failure Count: 0 Permanent HW addr: 00:22:19:XX:XX:X2 Slave Interface: eth1 MII Status: up Link Failure Count: 0 Permanent HW addr: 00:22:19:XX:XX:X4 31

31 問題事例 6 D M サーバを IPv6 対応にしたら IPv4 のゕドレス表記や利用するソケットが変わった想定原因 IPv4 の通信において IPv6 のソケット上で IPv4 射影ゕドレスが利用されている解決策そのままにしておくログ解析プログラム等の改修が必要な場合も IPv4 のソケットを利用するゕプリケーションの設定変更 IPv4 用サービスと IPv6 サービス用に別プロセスで起動する OS の設定とソケットの bind の方法によってはできないケースも 32

32 Internet Week 2010 IPv6トラブルシューテゖング IPv4射影ゕドレス(IPv4 Mapped Address)とは IPv4ゕドレスをIPv6ゕドレスとして表す特殊なIPv6ゕドレス ffff IPv4アドレス 80bit 16bit 32bit 例: の場合 ::ffff: もしくは ::ffff:c000:280 IPv6対応ゕプリケーションが IPv4/IPv6対応のソケット( :: )で IPv4のみを持つノードと通信する際に利用ノード内部での利用に限定送信元宛先ゕドレスとしては利用されない 33

33 Internet Week 2010 IPv6トラブルシューテゖング IPv6対応サーバアプリケーションとソケットの実装方法アプリケーションのIPv4/IPv6デュアルスタック対応方式には2種類の方法がある OSやアプリケションの実装設定により異なるログ取得やアクセス制御に互換性がない場合もサーバゕプリケーション IPv4 ( ) IPv6 (::) IPv4とIPv6で別にソケットを開くサーバゕプリケーション IPv4/IPv6 (::) IPv6ソケットのみ IPv4クライアントには IPv4射影アドレスで対応 ::ffff:

34 Internet Week 2010 IPv6トラブルシューテゖング例: OpenSSHの場合 IPv4/IPv6で別々にソケットをbind(2)する場合 netstat an コマンドの結果: tcp :22 tcp 0 0 ::: :* :::* LISTEN LISTEN sshd_configフゔルの設定: ListenAddress ListenAddress :: IPv6のみでソケットをbind(2)する場合 netstat an コマンドの結果: tcp 0 0 :::22 :::* LISTEN sshd_configフゔルの設定: ListenAddress :: ゕプリケーションによっては設定フゔルやコマンドランでソケットの構成方法を変更できる場合もある 35

35 各種 OS と IPv4 射影アドレス OS IPv4 射影ゕドレスの対応 OS 全体での無効方法化 Linux 2.6 デフォルト状態で有効 net.ipv6.bindv6only 変数を 1 に変更 FreeBSD 5.x 以降デフォルト状態で無効 net.inet6.ip6.v6only 変数を 1 に変更 Mac OS X デフォルト状態で有効 net.inet6.ip6.v6only 変数を 1 に変更 Windows Server 2003, Windows XP 以前 Windows Server 2008, Windows Vista 以降無効有効なしなしサーバゕプリケーション側の対応 : ソースコードを IPV6_V6ONLY ソケットオプションを設定するように改修することで無効化可能 IPv4 射影ゕドレスを利用しない環境では IPv4 クラゕントからの接続を受け付けるために IPv6 のソケットとは別に IPv4 のソケットを開く必要がある 36

36 D IPv4/IPv6 関連のバグとセキュリテゖホール 38 38

37 IPv6 対応とセキュリティ IPv6 特有のセキュリティホールプロトコル仕様上の欠陥例 : IPv6 Type 0 Routing Header Vulnerability (CVE ) プロトコル実装上の欠陥例 1: IPv6 Neighbor Discovery Protocol Neighbor Solicitation Vulnerability (CVE ) 例 2: IPv6 を実装した複数の製品にサービス運用妨害 (DoS) の脆弱性 (JVN# ) 大量の IPv6 ゕドレスや NDP エントリを生成させる DoS 攻撃プロトコルスタックの成熟度歴史的には IPv4 プロトコルスタックに重大なセキュリテゖホールが発見されてきた例 : 1996 年の Ping of Death 攻撃, 2004 年の Path MTU Discovery 攻撃 39

38 IPv4/IPv6 デュアルスタック環境特有のセキュリティホール CVE ネットワーク機器に対して特殊な IPv6 パケットを送ることで当該機器の IPv4 のサービスに対して DoS 攻撃が成立する脆弱性 CVE , CVE , CVE IPv4/IPv6 共存技術である Teredo クライアントを踏み台として悪用する攻撃 CVE CPE の IPv6 トンネルの設定不備に関する脆弱性 40

39 Internet Week 2010 IPv6トラブルシューテゖングサーバのデュアルスタック対応 IPv6を実装したソフトウェアは IPv4に比べ歴史が浅いため何らかの欠陥が残っている可能性が高い IPv4 特有の問題 IPv4 特有の問題デュゕル IPv6 スタック特有の特有の問題問題 41

40 IPv4/IPv6 プロトコル特有の脆弱性の推移 IPv4 IPv 出典 : MITRE 社の CVE Database より発表者が作成, 2010 年 10 月現在過去 2 年ほど IPv4/IPv6 は両方とも同程度の数のセキュリティホールが発見されている 42

41 IPv4/IPv6 に関連した脆弱性の傾向 ( 総数 ) Router 6% Router 6% Monitoring 1% Middleware 8% End-Node 94% End-node 88% Client 6% IPv4 Web Application 5% End-node 93% IPv6 Monitoring 1% Middleware 8% Client 6% Web Application 5% Server 12% Protocol Stack 62% Protocol Stack 62% プロトコルスタックの脆弱性が多い個々のサーバクラゕントゕプリケーションも無視できない脆弱性の例 [IPv4 関連 ] 不正な形式のパケット処理に関する問題 [IPv6 関連 ] IPv6 ゕドレスの解釈時の問題 43

42 IPv4/IPv6 に関連した脆弱性の傾向 (2010 年 ) Server 15% IPv4 related bug in Year 2010 Web Applicati on 23% Router 8% Client 8% Protocol Stack 15% Middlew are 31% IPv6 related bug in Year 2010 Protocol Stack 83% Client 9% Middlew are 8% 44

43 まとめデフォルト設定自動設定に注意が必要意図しないうちに IPv6 が有効になる可能性がある DNS 名前解決での問題か否かサーバでの IPv4/IPv6 デュゕルスタック障害が発生しているサービスの切り分け (IPv4/IPv6) IPv4/IPv6 サービスの両方 IPv4 サービスのみ IPv6 サービスのみ IPv4 シングルスタック + ミドルボックス基本的な流れはサーバのデュゕルスタック環境と同様ミドルボックスが障害箇所なのかサーバが障害箇所なのかを確定 IPv6 関連のバグセキュリテゖホール情報にも注意が必要 45

44 参考資料 : ミドルボックス 46

45 Middlebox とはなにか RFC3234 の定義 A middlebox is defined as any intermediary device performing functions other than the normal, standard functions of an IP router on the datagram path between a source host and destination host. IPv4/IPv6 プロトコル変換機能を備えた機器プロトコルトランスレータ IPv4/v6 変換機能付き Firewall IPv4/v6 変換機能付きロードバランサゕプリケーションレベルゲートウェリバースプロキシ CDN (Contents Delivery Network) 47

46 Middlebox: トランスレータ IPv4 と IPv6 は回線上で互換性がない IPv4 クラゕントと IPv6 シングルスタックのサーバ IPv6 クラゕントと IPv4 シングルスタックのサーバプロトコルを変換して通信できるようにする必要がある IP 層で変換を行う NAT-PT 方式が主流マスカレード静的マッピング (1:1) 単一の IPv6 ゕドレスを単一の IPv4 ゕドレスに割り当て = IPv4 ゕドレスの節約にはならないサーバ向け動的マッピング (n:m) DNS-ALG との連携クラゕント向け 48

47 IPv6 と MTU IPv6 の最小 MTU は 1280 バト IPv6 では中継ノードでパケットの分割を行わない Path MTU Discovery (RFC1981) 相手先ノードまでの経路上で利用可能な最大 MTU を調査転送しようとするパケットがルータの転送先ンタフェースの MTU より大きい場合送信元に ICMPv6 type=2 (Packet Too Big) エラーを返す Firewall で ICMPv6 type=2 code=0 をフゖルタしないよう注意 Packet 1500byte 送信元ノード MTU 1500 MTU 1280 ICMPv6 Packet Too Big 中継ノード宛先ノード 49

48 Middlebox: リバースプロキシ IPv4 Internet IPv4/ IPv6 IPv4 ALG IPv4/ IPv6 example.jp Backend IPv6 Internet IPv6 ALG IPv4/ IPv6 IPv4/ IPv6 example.com リバースプロキシプロキシサーバのデュゕルスタック運用フロントエンド側では IPv4 および IPv6 でサービスを提供パケットレベルではなくゕプリケーションレベルで IPv4/IPv6 を変換メリットサーバ側はシングルスタックでよい IPv4/IPv6 区間でそれぞれ MTU が違っても問題ないゕプリケーション層の機能を付加できる ( 例 : ゕンチウゖルス, gzip 圧縮, TCP 最適化 ) デメリット利用可能できるプロトコルが限定される柔軟性 ( 例 : ドメン名の追加 ) スケーラビリテゖ ( 例 : Ajax による大量のセッション, Spam 対策 ) 50

49 Middlebox: CDN Contents Delivery Network DNS や BGP Anycast などを利用しゕクセス元から最適な CDN のノードに誘導広域に分散した一種のリバースプロキシ CDN のノードが IPv6 でサービスを提供すればオリジンサーバは IPv4 のみに対応すれば良い IPv4 クラゕント IPv4 Internet IPv6 Internet IPv6 クラゕントオリジンサーバ CDN のノード 51

50 参考資料 : IPv6 環境での DNS 52

51 DNS の IPv6 対応 (1/5) IPv6 環境での DNS 正引き : ホスト名から IPv6 ゕドレスへの変換 AAAA レコードで IPv6 ゕドレスを記述逆引き : IPv6 ゕドレスからホスト名への変換 ip6.arpa 以下のツリーに PTR レコードを記述 www IN AAAA 2001:db8::1 IPv4/IPv 6 Internet www IN A IPv6 Internet DNSレコードとDNSトランスポートは独立 1. IPv4/IPv6のいずれかを問わず DNSはIPv6 ゕドレスの問い合わせ (AAAAレコード) に応答する 2. IPv6の通信で DNSがIPv4(Aレコード ) とIPv6(AAAA レコード ) の問い合わせに応答する 53

52 DNS の IPv6 対応 (2/5) DNS の IPv6 対応に必要な機能 A) リソースレコードの IPv6 対応 AAAA レコードが記述できること ASP サービスを利用している場合には事業者の対応が必要 ip6.arpa レコードの逆引きが設定できること DNS 権威サーバ自体への到達性は IPv4 のみでも良い B) EDNS0 (Extension Mechanisms for DNS) 対応もともとの DNS では UDP パケットのデータ長は最大 512 バトであるため 512 バト以上のデータ長に対応するための拡張 IPv6 リソースレコードと直接関係はないが IPv6 ゕドレスなどサズの大きなレコードを格納する際に役立つ互換性の問題があるため Root DNS/ccTLD DNS では避けられている C) DNS 権威サーバのトランスポートの IPv6 対応 IPv6 ンターネット経由で DNS クエリに応答主要な実装 : 1 のみ対応 : djbdns 1~3 すべて対応 : BIND 9, NSD, Microsoft DNS (Windows Server 2003) 54

53 DNS の IPv6 対応 (3/5) 名前の付け方の例 1. IPv4 向けと IPv6 向けで同じ名前を使う例 : KAME Project (A レコードと AAAA レコードの併用 ) :200:0:8002:203:47ff:fea5: IPv4 向けと IPv6 向けで別の名前を使う例 : Google (A レコードのみ ) ipv6.google.com (AAAA レコードのみ ) 2001:4860:0:2001::68 55

54 DNS の IPv6 対応 (4/5) 名前の付け方 1. 同じ名前を使うメリット : 透過性 : ユーザが IPv4/IPv6 を意識することなくサービスを利用できるデメリット : 一部のユーザ環境から名前解決に失敗するもしくは遅くなる恐れ DNS 検索過程において壊れた DNS サーバが存在する IPv4/IPv6 で両方でサービスが提供されている場合通信品質が低いプロトコル ( 現状では IPv6) が選択される可能性がある A レコードと AAAA レコードの問い合わせ順序によっては遅延が発生する場合 IPv6 の閉域網と IPv4 ンターネットの組み合わせ : マルチプレフゖックス問題や RA によりトンネルが利用できない問題の影響を受ける恐れ 2. 別の名前を使うメリット : レコードの設定の柔軟性が増す壊れた DNS サーバの実装に伴う問題を回避できる AAAA レコードの問い合わせに対する応答を正しく処理できない DNS サーバデメリット : 透過性 : ユーザが IPv4/IPv6 のいずれを利用するか意識する必要がある idc/isp 以外の DNS サーバにも注意 DNS サーバを内蔵しているロードバランサやブロードバンドルータ DNS の内容を検査する Firewall や IDS,IPS についても配慮が必要 56

55 DNS の IPv6 対応 (5/5) ドメン名のレジストリ / レジストラの対応本ページではトランスポートとして IPv6 を利用して再帰的問い合わせを行うケースを想定しています Root DNS に IPv6 Glue レコードが登録された. (root) (2008 年 2 月 4 日 ).jp /.kr (2004 年 7 月 20 日 ) ドメン名のレジストリの対応 IPv6 のホスト登録 (Glue レコードとして AAAA レコード登録 ) ができるか JPRS (.jp), Verisign GRS(.com,.net) など主要レジストリは対応済み対応レジストラ一覧 : FAQ : DNS : Which DNS Registrars allow me to add AAAA glue for my Domain Name Servers? network/ipv6/ipv6 対応のレジストラ一覧 - Tomocha WikiPlus 57

Microsoft PowerPoint - t2-SHIN SHIRAHATA-iw2011-ipv6-troubleshooting-server-20111129

Microsoft PowerPoint - t2-SHIN SHIRAHATA-iw2011-ipv6-troubleshooting-server-20111129 2011/11/30 Internet Week 2011 T2: 事例から学ぶIPv6トラブルシューティングサーバ編 ( 株 )クララオンライン / USONYX PTE. Ltd. 畑真今の内容はじめにサービスにおけるIPv6 対応法 IPv6 問題のクイック診断チャートまとめ Copyright 2011 Shin Shirahata, Clara

Internet Week 2010 (S9) IPv6トラブルシューティング ～サーバ編～

Internet Week 2010 (S9) IPv6トラブルシューティング　～サーバ編～