頑張れフォールバック

Similar documents
IIJ Technical WEEK IIJのバックボーンネットワーク運用

Microsoft Word - トンネル方式(3 UNI仕様書5.1版)_ _1910.doc

IPv6 トラブルシューティング~ ISP編~

2014/07/18 1

ほっといたら IPv4 運用に影響する IPv6 の話 アンカーテクノロジー株式会社 國武功一

スライド 1

1 IPv6 WG OS SWG PCOSIPv6 Windows Vista 2 3 KAMEUSAGIMacOSX IPv6 2

IPv6 トラブルシューティング ホームネットワーク/SOHO編

仕様と運用

クライアントOSのIPv6実装事情

2009 (c) INTERNET MULTIFEED CO. JANOG 24 Meeting in Tokyo 規模サーバと複雑なコンテンツの IPv6 対応化実証実験 2009/7/9 インターネットマルチフィード株式会社飯島洋介 株式会社 本経済新聞社 宏

初めてのBFD

第1回 ネットワークとは

T2: 事例から学ぶ IPv6 トラブルシューティング ホームネットワーク /SOHO 編 2011 年 11 月 30 日 NTT 情報流通プラットフォーム研究所藤崎智宏 2011 NTT Information Sharing Platform Labora

Mobile IPの概要

1. フォールバックが発生をする背景 フレッツ光 は NTT 東西と ISP 事業者様との連携により インターネット接続サービスを提供している フレッツ光 で によるインターネット接続のみご利用のお客さまが IPv6 に対応した Web サイトを最初に閲覧する際 フォールバック が発生する 本事象は

目次 はじめに KDDIのIPv6への取り組み auひかりのipv6 World IPv6 Dayに起きたこと World IPv6 Dayのその後 1

IIJ Technical WEEK SEILシリーズ開発動向:IPv6対応の現状と未来

World IPv6 Launch とは 2012 年 6 月 6 日に IPv6 対応を正式に開始するグローバルイベント ISOC が事務局としてオーガナイズ 昨年 (World IPv6 Day) との差分 恒久的かつ商用 IPv6 対応 main acdve business websites

IPv6トラブルシューティング/家庭ネットワーク/SOHO編

オペレーティング システムでの traceroute コマンドの使用

Internet Initiative Japan Inc. プロトコルの脆弱性 ( 株 ) インターネットイニシアティブ 永尾禎啓 Copyright 2004, Internet Initiative Japan Inc.

(Microsoft PowerPoint - janog23-server-ipv6-rel-public.ppt [\214\335\212\267\203\202\201[\203h])

PowerPoint Presentation

資料 19-1 KDDI の IPv6 普及に向けた 取り組みについて KDDI 株式会社

Microsoft PowerPoint ppt [互換モード]

PowerPoint プレゼンテーション

技術的条件集別表 35 IP トランスポート仕様

付録

SOC Report

IPv6ネットワーク運用とセキュリティ

TCP/IP再認識〜忘れちゃいけないUDP、ICMP~

Cisco Configuration Professional(CCP)Express 3.3 による Cisco 841M J シリーズ初期設定ガイド

amplification attacks とは 送信元を偽装した dns query による攻撃 帯域を埋める smurf attacks に類似 攻撃要素は IP spoofing amp 2006/07/14 Copyright (C) 2006 Internet Initiative Jap

World IPv6 Launchと日本のISPの対応

アマチュア無線のデジタル通信

IIJ GIOリモートアクセスサービス Windows 7 設定ガイド

1.indd

システムインテグレータのIPv6対応

PowerPoint Presentation

情報通信の基礎

_IPv6summit_nishizuka.pptx

IPv6 普及への貢献 1

IPv6 専用網以前の NW 構成 1/2 IPv4 DNS/Mail/WWW IPv6 VPN DMZ IPv4/v6 DNS/Mail 共有 SV NW IPv4/v6 DNS/Mail 業務 WWW 端末 PC Client NW IPv4/v6 端末 PC Client NW IPv4/v6

必修・IPv6セキュリティ~未対応で大丈夫ですか?~

第1回 ネットワークとは

IPv6ネットワーク運用とトラブルシューティング

TFTP serverの実装

KDDI の IPv6 対応について (update) ~World IPv6 Launch とその後 ~ KDDI 株式会社

untitled

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

MPサーバ設置構成例

アライドテレシス・コアスイッチ AT-x900 シリーズとディストリビューションスイッチ AT-x600 シリーズで実現するACLトラフィックコントロール

Microsoft PowerPoint pptx

IPv6 IPv6 IPv4/IPv6 WG IPv6 SWG

IPv6 IPv6 IPv4/IPv6 WG IPv6 SWG

Microsoft PowerPoint - iw2011_yamagata [互換モード]

Stealthwatch System v6.9.0 内部アラーム ID

RDP 接続不具合パッチ適用手順 第 1.11 版更新日 :2016/8/30 NTT コミュニケーションズ株式会社

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

JANOG30 Meeting IPv6 時代の IPv4 を考える ~ 第二章 ~ 464XLAT 事前公開資料 2012 年 6 月 26 日 NEC アクセステクニカ株式会社開発本部商品開発部 川島正伸

Cisco Configuration Professional(CCP)Express による Cisco 841M J シリーズ初期設定ガイド

Microsoft PowerPoint - janog20-bgp-public-last.ppt

IPv6 リンクローカル アドレスについて

IIJ Technical WEEK2017 経路制御の課題と対策

ECL2.0 ロードバランサーNetScaler VPX 10.5 VRRP設定

2 1: OSI OSI,,,,,,,,, 4 TCP/IP TCP/IP, TCP, IP 2,, IP, IP. IP, ICMP, TCP, UDP, TELNET, FTP, HTTP TCP IP

Microsoft PowerPoint - d2-Shin Miyakawa-NTT-COM-IPv IW

/ 11

2.5 トランスポート層 147

NGN IPv6 ISP接続<トンネル方式>用 アダプタガイドライン概要

在学生向けメールサービス

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

インターネットVPN_IPoE_IPv6_fqdn

IPv6-Trouble-Shooting-Mini

FUJITSU Software Systemwalker Centric Manager Lite Edition V13.5 機能紹介資料

本資料について

点検! IPv6のセキュリティ-プロトコル挙動の観点から-

conf_example_260V2_inet_snat.pdf

はじめに xsp のルータにおいて設定を推奨するフィルタの項目について の IPv6 版 最低限 設定することが推奨されるフィルタ について まず議論したい 接続形態に変化はないので IPv6 対応をメインに IETF draft RIR でproposal 進行中のものについては今回の検討外とした

BSD Unix IPv6 WIDE Project / ( ) All rights reserved. Copyright(c)2006 WIDE Project 1

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

Oracle DatabaseとIPv6 Statement of Direction

IPv6チュートリアルからIPv6化ことはじめ~

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 3 日ネットワールド 新規 I

IPv4

MIRACLE LoadBalancerを使用したネットワーク構成と注意点

スライド 1

スライド 1

メール利用マニュアル (Web ブラウザ編 ) 1

一般的に使用される IP ACL の設定

インターフェイスの高度な設定

FutureNet NXR,WXR シリーズ設定例集

<4D F736F F D D4D D F54696E E82C A DA91B18B40945C82C982E682E9838A B E8

F O M A P P P 接続参考資料 DTE~FOMA パケット網間インタフェース 第 1.4 版 株式会社 NTT ドコモ Unpublished copyright 2007 NTT DoCoMo, Inc. All rights reserved. Unpublished copyrigh

技術的条件集別表 26.3 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv6 トンネル方式 )

Fujitsu Standard Tool

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

Windows Server 2012 と IPv6 IPv6 勉強会代表 MURA

ESMPRO/ServerManager Ver. 6 変更履歴

Transcription:

頑張れフォールバック Matsuzaki maz Yoshinobu <maz@iij.ad.jp> 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 1

フォールバック ダメだったら次に試す先 代用とか代替とか予備 インターネットでは多用 冗長性や可用性の確保 複数台のDNS 複数個のAレコード 端末が通信できる様によろしくやってくれる ユーザは気にしなくてよい 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 2

今回の話題 IPv6 IPv4 フォールバック 通信プロトコルを選ぶ Path MTU フォールバック 最大 Path MTU を選ぶ 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 3

v6 v4 フォールバック IPv6/IPv4 デュアルスタックで選択肢が増える どっちか通信できる方でよろしく通信する IPv6 IPv4 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 4

RFC3484 Default Address Selection for IPv6 Policy Table IPv6 6to4 IPv4 Prefix Precedence Label ::1/128 50 0 ::/0 40 1 2002::/16 30 2 ::/96 20 3 ::ffff:0:0/96 10 4 要は 基本的に IPv6 が IPv4 より優先 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 5

closed IPv6 network インターネットにアクセスできない IPv6 網 端末はIPv4とIPv6のIPアドレスを持つ IPv4だとインターネットにアクセスできる 宛先も IPv6/IPv4 デュアルスタックになる web サイトとかとか 必ず IPv6 IPv4 フォールバックが発生する 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 6

ちなみに NTT NGN の仕様 IP 通信網サービスのインタフェース NTT 東 フレッツシリーズ - 第三分冊 第 11 版 2.4 レイヤ 3 仕様 NTT 西 フレッツシリーズ 第 37 版 4.5.4 ネットワークレイヤ ( レイヤ 3) 仕様 IP 通信網内に存在しない宛先に送信されるパケットについては IP 通信網において応答なくパケット破棄される場合や RFC793 に規定される RST ビットをセットした TCP パケットを返信する場合があります 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 7

v6 v4 フォールバックの実施 アプリケーションがそれぞれ頑張ってる メールクライアントとか web ブラウザとか v6 v4 フォールバックの成否は実装次第 アプリケーション毎に挙動が違う可能性 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 8

事例 1 メールクライアント POP サーバに AAAA レコードが付いていると メールが受信できない v6 v4 フォールバック以前の問題 かなりダメ IPv6 で POP を試しもしない でも送信は IPv6 でも問題なくできる 不思議 開発元には報告済み 対応をお話中 古いバージョンなので アップグレード推奨かも 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 9

事例 2 メールクライアント v6 v4 フォールバックできない IPv6 アドレスに送受信を試みるが 失敗したらそのままあきらめる IPv4 アドレスは試さない 悲しい 開発元には報告済み 対応をお話中 パッチが出るかも 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 10

事例 3 web ブラウザ AAAA が多いと v6 v4 フォールバックできない 与えられた IP アドレスを上から順に 5 つまで試す AAAA を 5 つ以上書いてあると A にたどり着かない 再読み込みさせると 続きから試すようでアクセスできるようになる 開発元に報告済み KB2148580 発行 regedit で接続試行回数を変更 Thanks to Microsoft & NTT 東 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 11

考えどころ closed な網はやっぱり邪悪かも v6 v4 フォールバックは各開発元でちゃんと実装してもらう必要がある アプリケーションの開発者 v6 v4 フォールバックすると事前に分かってるなら IPv6 でアクセスを試さなきゃいい OS レベルで何かできるかも 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 12

closed IPv6 網でのアクセス制御 案 1.Policy Table の変更 closed な IPv6 網の IP アドレスは closed な所と通信するときだけ使うポリシを追加 宛先がインターネットだったら IPv4 で通信する すぐ動く 各端末で設定変更が必要 案 2. 端末がインターネットへの接続性を診断 インターネットへアクセスできないアドレスファミリはイントラネットモードに落とす 設定変更必要なし 実装まで時間がかかる 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 13

Policy Table の変更 要は closed な IPv6 網の IPv6 prefix を別ラベルで登録しておけば OK 通信元 通信先で同じラベルを優先 http://www.attn.jp/maz/p/i/policy-table/ netsh interface ipv6 delete prefixpolicy ::1/128 netsh interface ipv6 delete prefixpolicy ::/0 netsh interface ipv6 delete prefixpolicy 2002::/16 netsh interface ipv6 delete prefixpolicy ::/96 netsh interface ipv6 delete prefixpolicy ::ffff:0:0/96 netsh interface ipv6 delete prefixpolicy 2001::/32 netsh interface ipv6 add prefixpolicy ::1/128 50 0 netsh interface ipv6 add prefixpolicy ::/0 40 1 netsh interface ipv6 add prefixpolicy 2001:c90::/32 40 6 netsh interface ipv6 add prefixpolicy 2001:d70::/32 40 6 netsh interface ipv6 add prefixpolicy 2001:d71::/32 40 6 netsh interface ipv6 add prefixpolicy 2001:d72::/32 40 6 netsh interface ipv6 add prefixpolicy 2001:d73::/32 40 6 netsh interface ipv6 add prefixpolicy 2001:a000::/24 40 6 netsh interface ipv6 add prefixpolicy 2001:a100::/24 40 6 netsh interface ipv6 add prefixpolicy 2001:a200::/24 40 6 netsh interface ipv6 add prefixpolicy 2001:a300::/24 40 6 netsh interface ipv6 add prefixpolicy 2001:a400::/24 40 6 netsh interface ipv6 add prefixpolicy 2001:a500::/24 40 6 netsh interface ipv6 add prefixpolicy 2001:a600::/24 40 6 netsh interface ipv6 add prefixpolicy 2001:a600::/24 40 6 netsh interface ipv6 add prefixpolicy 2404:1a8::/32 40 6 netsh interface ipv6 add prefixpolicy 2408::/24 40 6 netsh interface ipv6 add prefixpolicy 2408:100::/24 40 6 netsh interface ipv6 add prefixpolicy 2408:200::/24 40 6 netsh interface ipv6 add prefixpolicy 2408:300::/24 40 6 netsh interface ipv6 add prefixpolicy 2002::/16 30 2 netsh interface ipv6 add prefixpolicy ::/96 20 3 netsh interface ipv6 add prefixpolicy ::ffff:0:0/96 10 4 netsh interface ipv6 add prefixpolicy 2001::/32 5 5 Windows ではこんなコマンド 管理者権限が必要 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 14

Path MTU discovery 大きな IP パケットで効率的な通信 利用できるPath MTUを検出する packet/secを減らせる IPv6 での実装は SHOULD Path MTU discovery for IPv6 [RFC1981] 利用しない場合は 1280byteを利用 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 15

Path MTU discovery のシナリオ ICMP パケットの応答が必要 big packet [DF] 2. icmp: packet too big 1. smaller packet [DF] 3. ICMP エラーの処理が必要 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 16

失敗事例 #1: 未対応 PMTUd ブラックホールルータ ICMP エラーの処理ミス ルータが ICMP エラーを応答できない ホストが ICMP エラーを処理できない 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 17

失敗事例 #2: フィルタ 安易なパケットフィルタ ダメなセキュリティポリシ big packet [DF] 1. 2. icmp どこかで ICMP エラーがフィルタされてしまう 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 18

失敗事例 #3: 制限 ICMP の流量を制限しているネットワーク ICMP メッセージを生成するルータの性能 big packet [DF] 1. ICMP 生成の性能限界 2. icmp ICMP への rate-limit ( トラヒック制限 ) 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 19

ICMP 生成の制限 cisco ios ip icmp rate-limit unreachable 500 means icmp errors are limited to one every 500msec ipv6 icmp error-interval 100 means icmp errors are limited to one every 100msec juniper junos icmpv4-rate-limit {packet-rate 1000;}; means max 1000pps for icmp to/from RE icmpv6-rate-limit {packet-rate 1000;}; means max 1000pps for icmp to/from RE 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 20

失敗事例から分かること Path MTU discovery は 各機器が対応していたとしても失敗する可能性がある 性能問題 ICMP がフィルタされちゃう Path MTU discovery は何だか例外処理 ルータの性能評価であまり気にされていない 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 21

TCP SYN レート 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 22

IPv4 の事例に学ぶなら ほとんどのブロードバンドルータが TCP MSS に関する機能を持つ トンネルリンク等で TCP MSS の値を書き換え PPPoE とか 何らか 1500byte より小さな MTU 必要のないフォールバックを避けるため うまく動いている! ユーザからの苦情ってないよね 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 23

IPv6 での選択肢 案 1. RA で MTU を通知 でもでも 家庭でGbEが導入されてきている たぶん 家庭内でjumbo frame 使いたくなるよね 全般の通信に有効 家庭内の通信に影響 案 2. TCP MSS をブロードバンドルータに実装 TCPにしか有効ではないけれども IPv4ではうまくいってる TCP 以外の通信 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 24

考えどころ TCP は MSS の調整で救うのが無難 主要な通信はこれで救える RAでのMTU 通知は行きすぎ感がある それでも Path MTU discovery は必要 より小さなMTUのリンクがあるかも ルータや端末がちゃんとサポート 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 25

フォールバック全般 時間がかかる 基本はトライ & エラー ユーザに通知していないことが多い うまく通信できているなら みんな気にしない 通信できていない時の通知が不十分 何がエラーか 対策があるのか 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 26

考えどころ 不要なフォールバックを避けられるように 端末 / アプリケーションで頑張る? ネットワークで頑張る? 状況をうまくユーザに通知できるように アプリケーションのエラー表示? 診断サイト / ツール? 2010/07/08 Copyright (C) 2010 Internet Initiative Japan Inc. 27

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック