IPv6 時代のエンタープライズネットワーク シスコシステムズ合同会社ジャパン テクノロジーアンドリサーチセンター印南鉄也
Agenda 1. IPv4 Address の枯渇 2. 日本の IPv6 の現状 3. IPv6 への移行と IPv4 との共存 4. IPv6 とセキュリティ 5. Cisco の IPv6 への取り組み
1. IPv4 Address の枯渇
IPv6 は なぜ作られたか? 標準化されたのは 1995 年頃 当時既に IPv4 Address の 枯渇 が予想されていました IPv4 Pool Size Size of the Internet IPv6 Transition using Dual-Stack IPv6 は緩やかに普及し インターネットの成長を落とすことなく 徐々に IPv4 と置き換わる計画でした Time
実際には IPv4 は 本当になくなるのか? IPv6 は普及してきているのか?! IPv4 Pool Size Size of the Internet IPv6 Deployment 2011 年 IPv4 Address 割当プールがなくなりました Time
IPv4 Address の枯渇とは?! 現在使われている IPv4 Address がなくなってしまう訳ではありません IP Address の管理機関は 新しい IPv4 Address を割り当てるための 在庫 を管理しています この 在庫 が一定レベルを下回った段階で 今までとは異なる新規割当てルールが適用されることになります 今までの割当てルールとは 既に割り当てられているaddressを一定レベル以上使用済みで 今後一定期間内で一定レベル以上のaddressを使用する予定がある場合 必要な大きさのaddressの割り振りを ( 複数回 ) 受けるこ とができます ところで IP Address 管理機関 とはなんでしょう?!
IP アドレス管理の階層構造 RIPE NCC IANA APNIC ARIN AfriNIC IANA: Internet Assigned Numbers Authority RIR: Regional Internet Registry ARIN: American Registry for Internet Numbers RIPE NCC: Resource IP Europeans Network Coordination Centre LACNIC: Latin American and Caribbean Internet Address Registry AfriNIC: African Network Information Centre CNNIC KRNIC JPNIC ISP Data Center etc. LACNIC APNIC: Asia Pacific Network Information Center JPNIC: Japan Network Information Center KRNIC: Korea Network Information Center CNNIC: China Internet Network Information Center
IPv4 Address 枯渇予想 (generated at 23-OCT-2011 07:59 UTC) IANA Unallocated Address Pool Exhaustion: 03-Feb-2011 Projected RIR Address Pool Exhaustion Dates: 割当てblockが残り5 個になった時点でそれらを1つづつ 5つのRIR に割り振りました APNIC: RIPE/NCC: ARIN: LACNIC: AfriNIC: 19-Apr-2011 22-Jun-2012 04-Jun-2013 25-Feb-2014 23-Jun-2014 残り割当て block が 1 つだけになった APNIC は 最終割当て方式に移行しました Source: http://www.potaroo.net/tools/ipv4/
枯渇後は どうなってしまうのでしょう? 既に割り当てられている IPv4 Address は 今後もそのまま使い続けることができます 枯渇後ルールが適応されるのは これから割当てを受けるときです このルールは 1 組織につき 1 回かぎり /22 block(=host 数で約 1,000) の割り振りを受けることができます 新しいネットワークを作るにはどうしたらいいのでしょう? 1. 既に取得済みの IPv4 Address を節約して使う Private Address を有効に活用し Global Address は NAT などを介して複数のユーザーが共同で使うなどの方法が考えられます 2. 他の組織から IPv4 Address を移転してもらう 2011 年 8 月から 日本国内では他の組織が割り振りを受けた IPv4 Address の移転 ( 名義変更 ) ができるようになりました 3. IPv6 を導入する
2. 日本の IPv6 の現状
IPv6 対応 Software Microsoft Windows, Apple Mac OS をはじめとする主な PC 用 OS は既に IPv6 に対応しています Windows 7 は出荷時に IPv6 が有効になっています ガートナーの予測によると CY11 中に世界で利用される PC の 42% が Windows 7 になると言われています Linux 等の UNIX Clone も IPv6 対応完了済みです 家電製品 センサーネットワーク用 Software も IPv6 対応や対応予定が発表されているものがあります オフィス環境 一般家庭環境も IPv6 対応準備が整いつつある
IPv6 インターネットサービス IPv4 アドレスの在庫枯渇と前後して 多くの本格的な IPv6 インターネットサービスの提供が開始されました Yahoo! BB が IPv6 インターネット接続サービスを開始 2010 年 2 月 23 日 BBIX 及び SoftBank BB は Yahoo!BB with フレッツ Yahoo!BB 光フレッツコース のユーザー向けに IPv6 Internet 接続サービスを無償提供することを発表しました http://www.softbankbb.co.jp/ja/news/press/2010/20100223_01/ KDDI の au ひかり が IPv6 対応 KDDI は 光ファイバーサービス au ひかり のユーザーに対し IPv6 インターネットへの接続を順次提供開始しました エンドユーザーに特別な作業は必要なく 全て無償で提供されます http://www.kddi.com/corporate/news_release/2011/0418a/
IPv6 アクセス網サービス 東日本電信電話株式会社及び西日本電信電話株式会社は フレッツ光ネクスト で IPv6 インターネットに接続できるアクセスサービスを開始しました http://www.ntt-east.co.jp/release/detail/20110526_03.html http://www.ntt-west.co.jp/news/1105/110526d.html http://www.ntt-east.co.jp/release/detail/20110719_01.html http://www.ntt-west.co.jp/news/1107/110719b.html IPv6 PPPoE 方式 及び IPv6 IPoE 方式 の 2 種類があります 多くの ISP が これらの IPv6 アクセス網サービスに対応している 又は対応予定であると発表されています
The World IPv6 Day 世界中の Web Site やコンテンツホルダーが 1 日だけ IPv6 に対応しました IPv6 の普及を促進し 問題点の洗い出しを行うための テストフライト イベント です 2011 年 6 月 8 日 (0:00am-11:59pm, GMT) に実施されました Internet Society (ISOC) がとりまとめを行いました 国内からも多くのサイトが参加しました 日本国内は特殊な IPv6 環境が存在します 一部で IPv6 を使用した閉域網サービスが提供されているため IPv6 インターネット サービスとの併用時に問題が指摘されています The World IPv6 Day では このような問題を予め調査する目的でも 利用されました
日本国内での状況 いくつかのコミュニティーが共同で日本国内でのプロモーション活動を行いました インターネット協会 /IPv6 普及 高度化推進協議会 /ISOC-JP( 再活性化中 )/WIDE は共同で 参加を呼びかける発表を行いました IPv6 普及 高度化推進協議会と日本インターネット協会は 共同で ISOC への登録仲介業務を受け付けました 日本国内でも活発な議論が行われ のいくつかの Web Site が参加しました http://www.attn.jp/worldipv6day/ 国内 ISP の多くが 混乱を避けるための対応を 協調して行いました 取り纏めは 日本インターネットプロバイダー協会が行いました
June 8 th, 2011 Source: Arbor Networks http://hide.dnsalias.net/aaaa/worldipv6day.cgi
Cisco の対応 www.cisco.com が参加しました Cisco では ユーザーのサポートを上記 Web Site を通じて行っています 不具合を発生させないために十分な準備作業を行いました
www.cisco.com Router#ping www.cisco.com Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2001:420:80:1:C:15C0:D06:F00D, timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 192/201/208 ms 余談ですが www.cisco.com の IPv6 addres は です 2001:420:80:1:C:15C0:D06:F00D これは Cisco, dog food と読みます Eat your own dog food. ( 自分で作った物は自分で使ってみろ! ) にちなんでつけられました 全体の 1.5% が IPv6 によるアクセスでした
The World IPv6 Day 結果 多くの貴重なデータがえられました 一部のものは公開されています この日以降 IPv6 の Traffic が非常に増加した ISP も存在します 6/8 以降も 継続して IPv6 を運用しているコンテンツホルダーもあるようです 日本国内でも大きな混乱は起きませんでした 多くの ISP が 事前に様々な対策を行いました 予め準備をしていた ISP にはほとんど影響がありませんでした 次の The World IPv6 Day?! 来年前半に再び企画される見通しです 次回は 原則的に継続した IPv6 運用を前提とすることも検討されています
3. IPv6 への移行と IPv4 との共存
IPv6 対応と事業継続性への影響 2011 2012 201x 2010: 影響小 ただし調達傾向の変化が起こり IPv6 の必要性に対する認識が拡大する Globalization IPv6 Government Mandate Deadlines IPv4/IPv6 Co-existence Transition Planning Early Adopters 2011: 影響の拡大 IPv6 is important to all of us ( ) to everyone around the world, It is crucial to our ability to tie together everyone and every device. John Chambers 2012: IPv6 必要性の顕著化 調達における IPv6 対応が必須条件となる 事業継続性のためには製品 サービスの IPv6 対応が前提となる 2014: IPv6 の一般化 より低コストでシンプルな IPv6 ソリューションが一般的になる Low Risk IPv6 Business Impact The Cost of Waiting Goes Up Moderate Risk High Risk
内的要因 外的要因 エンタープライズの IPv6 への導入 成長 / 投資保護 IPv4 address が枯渇しても Internet の成長傾向は継続する エンタープライズには市場の維持 拡大が必要 パートナー パートナー或は競合の IPv6 導入 政府機関 業務提携先による IPv6 の要件 OS Microsoft Windows 7, Server 2008 Microsoft DirectAccess 旧来の問題 企業買収 統合によるネットワーク拡大 NAT による技術的制限 新テクノロジー サーバーの仮想化 SmartGrid
IPv6 導入の手法 Dual Stack 一つのノードで IPv4/IPv6 両方を使えるようにすることです 宛先に応じていずれかのアドレスファミリを選択します IPv4 IPv6 トンネリング IPv6 のパケットを IPv4 等でカプセル化します IPv6 未対応ネットワークをバイパスするのに使います IPv6 IPv4 IPv6 トランスレータ IPv6 と IPv4 のプロトコル変換を行います アプリケーションレベルでの対応が必要になることもあります IPv6 IPv4
デメリット メリット IPv6 導入のパターン IPv4 IPv6 IPv4 IPv6 IPv4 IPv6 IPv4 only IPv6 only IPv4 only IPv6 only IPv6 での障害が IPv4 の通信に影響を与えない バックボーン設計が柔軟にできる ( 上位キャリアへの接続が容易 ) 顧客の通信への影響が大きい場所では IPv4/IPv6 分離 機器コストが最小で済む 管理機器数も最小 機器 / 管理コストがかかる 構成の複雑化 管理コストやや大 IPv6 の障害が IPv4 通信に影響することも トラブル切り分けが複雑に
Dual-Stack と IPv4 Address 当面 IPv4 Internet は使われ続けると思われるため 可能であればエンドユーザーの環境としては Dual-Stack の利用が賢明だと思われます 基幹ネットワークは 必ずしも Dual-Stack である必要はなく IPv6 ネットワーク上に IPv4 を重畳させたり その逆を行うような移行技術も存在している IPv4 Address 資源は 既に枯渇しており潤沢に使用することは難しいと考えられます 一つの IPv4 Address を複数のユーザーで 共用 する技術を組み合わせて使用することが求められる可能性があります
既存投資の活用 既設の IPv4 インフラを利用 Large Scale IPv4 NAT + IPv6 over IPv4 Tunneling IPv6 IPv6 Internet Internet IPv4 Internet 6rd などの IPv6 over IPv4 技術を利用し 容易に IPv6 サービスを提供 既存の IPv4 インフラをそのまま使用することで 新たな設備投資を控える 既設 IPv4 インフラ IPv4/IPv6 Dual-stack IPv4 在庫 Address の消費を極力抑えるため CGN を使用し 複数のユーザー間で一つのアドレスを共有する エンドユーザーには IPv4(private) と IPv6 の Dual-Stack 環境を提供する
IPv6 only インフラで IPv4 も運用 Native IPv6 + IPv4 over IPv6 Tunneling IPv6 Internet IPv6 Internet IPv4 Internet IPv6 はネイティブでインターネットへのアクセスを提供 新規 IPv6 インフラ IPv4 Internet へは Translation 技術 或は IPv4 over IPv6 技術を使用する IPv6 (/ IPv4)
IPv6 ソリューションのポイント 投資の保護 既存の Cisco 機器の有効な活用 IPv4 との共存と IPv6 への容易な移行 IPv4 サービスへの影響を最小限に押さえた上で 容易に IPv6 サービスを開始します IPv4 Address の節約 CGN など IPv4 アドレス共有機能を提供することで IPv6 への移行に時間的猶予を与えます セキュリティ 運用性 アプリケーション 本格的な IPv6 サービスのための機能を付加して行きます
4. IPv6 とセキュリティ
IPv6 のセキュリティと IPv4 の違い IPv4/IPv6 の間に根本的な差はありません アドレス空間の大きさや Protocol の構造に起因する差異は存在しますが 根本的なセキュリティーの性質の差はそれほど大きくありません ( 例 ) L2 アドレスの解決 Spoofing Source Routing Routing Protocol Application DoS IPsec の幻想 IPv6 の標準的な実装では IPsec が必須ですが これはセキュリティーが担保されていることを意味するわけではありません IPsec を使用することが有効でないケースも多数存在します また IPsec は IPv4 でも使用可能です 多くの場合 IPv6 でも IPv4 と同じ手法で対策をとることが可能です
IPv6 に固有なセキュリティーの課題 アドレス空間 IPv4 と比較して非常に大きなアドレス空間を持つ IPv6 は 大きさ自体に起因するいくつかの違いがあります また 明確なアドレス スコープの区別が存在することも大きな差異の一つです 攻撃対象の選定例えば 攻撃者がその対象をしらみつぶしに見つける様なタイプの攻撃を行うためには より多くの労力が必要となります 逆に 空間の大きさに余裕があるため 常に同じアドレスを使用することが多いと考えられます この問題への対応として プライバシー拡張機能も利用可能ですが 安全性が高まる反面 管理が大変になってしまうデメリットもあります Link-Local アドレス Link-Local アドレスは On-Link のみで使用できます この特性を利用することで外部との通信を制御することも可能です Topology の隠蔽 IPv4 では NAT/NAPT の使用が一般的であるため Topology が隠蔽されていることが前提とされた運用が行われていることがあり 注意が必要です
IPv6 に固有なセキュリティーの課題 拡張ヘッダとフラグメント拡張ヘッダのチェーンに制限がないため チェックする機構のスケーラビリティに影響を与えます またフラグメントが発生していると さらに複雑なチェックメカニズムが必要になります 運用性現実的な運用として IPv4 と違いを認識するべきものが存在します 運用データベース Spam Database など IPv6 では未整備のものが存在します Path MTU Discovery PMTUd は ICMP を使用して実現されています 一部 IPv4 で行われている様な セキュリティーを目的として全ての ICMP を通過させない様な運用は接続性に影響を与えます Dual-Stack/Tunnel over IPv4 IPv4/IPv6 それぞれのセキュリティーを考えなくてはいけないのは もちろんのこと 移行手段としての Tunnel 技術は管理が複雑になりがちで セキュリティーの低下が懸念されます ノウハウとトレーニング運用自体の経験の少なさから生じる問題は最も大きな課題といえるでしょう 同様にトレーニングの不足もこれを助長します
IPv6 とセキュリティー IPv6 は多くの面で アドレス空間の大きな IPv4 と捉えることができます そしてセキュリティーの観点では両者にそれほど著しい差異はありません Link-Local Address のように 大きくセキュリティが向上しているものや 拡張ヘッダのように取り扱いが難しいものも存在します すべてで IPsec を使用するといったような 誤った認識も改める必要があります 最も危険なのは 運用経験やトレーニングの不足が不足していることが根本的なセキュリティー脅威の原因になってしまうことです
5. Cisco の IPv6 の取り組み
John Chambers の語る IPv6 戦略 Google s June 2010 IPv6 developers conference 我々がアドレス枯渇問題を克服しなければ インターネットの成長は減速し 業界は勢いを失うだろう " IPv6 は 世界中誰しもにとって大切な物だ これこそが すべての機器と我々を結びつける決定的な手段なのだから Cisco は 全面的に IPv6 化を進めることを約束します それは すべての機器 すべてのアプリケーション そしてすべてのサービスについてです
必要な機能の提供 IPv6 すべての機器 アプリケーション サービスにおける完全な IPv6 対応 Implementation Strategy 導入の方法に沿った 製品開発 新しい方式 考え方 2001:db8:2ef3:a4f0:65b9:e8ff:f36c:84b0 Foundation IPv6 におけるリーダーシップ 早期導入者のサポートや標準化の推進
これまでのシスコの取り組み 主要な製品の IPv6 対応を完了
IPv6 Enterprise Network Use Case Use Case IPv6 Technology Relevant Products Dual Stack Use Case それぞれの機器が IPv4 に加えて IPv6 に対応 IPv6 対応ネットワーク同士を互いに接続する IPv6 and IPv4 IPv6 対応 Switch & Router IPv6 over IPv4 トンネリング Catalyst 6K, 4K, 3K, 2K Nexus 7K, ASA Security Appliance AnyConnect VPN client ASR 1000 ISR G2 IPv6 Internet Presence Use Case インターネットへの接続を IPv6 化 Stateless NAT64 プロトコル変換技術による Web サービスの IPv6 対応 Stateful NAT on ASR1000
Cisco 製品の IPv6 対応 IPv6 Internet Cisco ACE30 Data Center Application Control Engine Internet Cisco Carrier Routing System Cisco ASA5500 Adaptive Security Appliances Enterprise User Cisco Nexus 7000 SP Backbone Cisco ASR9000 Aggregation Service Routers Residential User Cisco ASR1000 Aggregation Service Routers