事例から学ぶIPv6トラブルシューティング~ISP編~

Similar documents
はじめに xsp のルータにおいて設定を推奨するフィルタの項目について の IPv6 版 最低限 設定することが推奨されるフィルタ について まず議論したい 接続形態に変化はないので IPv6 対応をメインに IETF draft RIR でproposal 進行中のものについては今回の検討外とした

IPv6 トラブルシューティング~ ISP編~

IPv6 リンクローカル アドレスについて

untitled

2014/07/18 1

Microsoft Word - トンネル方式(3 UNI仕様書5.1版)_ _1910.doc

ループ防止技術を使用して OSPFv3 を PE-CE プロトコルとして設定する

初めてのBFD

2011 NTT Information Sharing Platform Laboratories

Microsoft PowerPoint - janog15-irr.ppt

Windows Server 2012 と IPv6 IPv6 勉強会代表 MURA

HGWとかアダプタとか

All Rights Reserved. Copyright(c)1997 Internet Initiative Japan Inc. 1

外部ルート向け Cisco IOS と NXOS 間の OSPF ルーティング ループ/最適でないルーティングの設定例

仕様と運用

実習 : シングルエリアでの OSPFv3 の基本設定 トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 11 ページ

15群(○○○)-8編

Microsoft PowerPoint - ie ppt

網設計のためのBGP入門

パブリック6to4リレールータに おけるトラフィックの概略

橡3-MPLS-VPN.PDF

NGN IPv6 ISP接続<トンネル方式>用 アダプタガイドライン概要

IIJ Technical WEEK SEILシリーズ開発動向:IPv6対応の現状と未来

経路奉行・RPKIの最新動向

ip nat outside source list コマンドを使用した設定例

Microsoft PowerPoint irs14-rtbh.ppt

頑張れフォールバック

第1回 ネットワークとは

IPv4aaSを実現する技術の紹介

経路奉行の取り組み

スライド 1

スライド 1

Inter-IX IX/-IX 10/21/2003 JAPAN2003 2

9.pdf

RPKIとインターネットルーティングセキュリティ

Mobile IPの概要

JANOG14-コンバージェンスを重視したMPLSの美味しい使い方

Microsoft PowerPoint ppt [互換モード]

ルーティングの国際動向とRPKIの将来

橡C14.PDF

janog40-sr-mpls-miyasaka-00

MPLS-VPN とは C 社を中心として RFC2547(Informational) に記された ISP サービスとしての IP-VPN 実現技術 網内パケット転送に MPLS(LDP/TDP) VPN 経路情報交換に BGP(mpBGP:RFC2283) を使用 ルーティングプロトコルがエッジ

第1回 ネットワークとは

アマチュア無線のデジタル通信

IPv6 IPv6 IPv4/IPv6 WG IPv6 SWG

技術的条件集別表 26.3 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv6 トンネル方式 )

ISPのトラフィック制御とBGPコミュニティの使い方

第11回ネットワークプランニング18(CS・荒井)

BSD Unix IPv6 WIDE Project / ( ) All rights reserved. Copyright(c)2006 WIDE Project 1

ICND2-Road to ICND2- 前提知識 ICND 2では CCEN Tレベルの知識がある方 (ICND 1 試験の合格レベル ) を対象とし それ同等 の知識が必要になってきます 研修に参加されるまでに以下の項目を復習しておくことを お勧めします IP アドレスとサブネットマスク ホスト

内容 お知らせとご利用方法 ( ポイント ) RPKIとOrigin Validation JPNICのRPKIシステム ~ 試験提供とは~ RPKIシステムの使い方 ROAキャッシュサーバの設置方法 RPKIの技術課題 1

点検! IPv6のセキュリティ-プロトコル挙動の観点から-

IPアドレス・ドメイン名資源管理の基礎知識

IPv6 普及への貢献 1

Microsoft Word - ID32.doc

1 IPv6 WG OS SWG PCOSIPv6 Windows Vista 2 3 KAMEUSAGIMacOSX IPv6 2

2ACL DC NTMobile ID ACL(Access Control List) DC Direction Request DC ID Access Check Request DC ACL Access Check Access Check Access Check Response DC

(Microsoft PowerPoint - janog23-server-ipv6-rel-public.ppt [\214\335\212\267\203\202\201[\203h])

IPv6チュートリアルからIPv6化ことはじめ~

Microsoft PowerPoint - janog20-bgp-public-last.ppt

IPv6 IPv6 IPv4/IPv6 WG IPv6 SWG

ケーブルインターネットのIPv6対応

rpki-test_ver06.pptx

[ 参照規格一覧 ] JIS C5973 (F04 形単心光ファイバコネクタ ) JIS C6835 ( 石英系シングルモード光ファイバ素線 1991) JIS C6832 ( 石英系マルチモード光ファイバ素線 1995) IETF RFC791(Internet Protocol

橡2-TrafficEngineering(revise).PDF

_JANOG44_LINE_tsuchiya

BGP/MPLS-VPN とは ルータによる 多様な IF による提供が可能 (ATM~ HSD などの非対称構成も可能 ) 暗号に頼らないセキュリティの確保が可能 (FR などと同等の機能を IP ネットワークで実現 ) お客様側への特別な装置が不要 (a)ipsec-vpn 方式 暗号化装置 (

untitled

Microsoft PowerPoint - iw2011_yamagata [互換モード]

IPv4

ベンダからみたIPv6セキュリティ

untitled

IXに接続してみた。

KDDI の IPv6 対応について (update) ~World IPv6 Launch とその後 ~ KDDI 株式会社

パススルー IPSecトンネル インターフェイスに AVC トラフィックを有効に する 回避策

株式会社スタッフ アンド ブレーン Rev 1.0 ZyWALL USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 回線終端装置 (ONU) WA

IPv6 トラブルシューティング ホームネットワーク/SOHO編

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

R80.10_FireWall_Config_Guide_Rev1

_IPv6summit_nishizuka.pptx

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

JANOG30 Meeting IPv6 時代の IPv4 を考える ~ 第二章 ~ 464XLAT 事前公開資料 2012 年 6 月 26 日 NEC アクセステクニカ株式会社開発本部商品開発部 川島正伸

_IRS25_DDoS対策あれこれ.pptx

プロジェクトのモチベーション IPv4 ユーザ向けのお試し IPv6 環境づくり 手始めに実装が普及している 6to4に着目 個別の技術にはこだわらず Teredo や ISATAP 等についても検討 IPv4/IPv6 共存技術の普及 設定 運用ノウハウの共有 設定や負荷状況等を積極的に情報を公開

(Microsoft PowerPoint - 2.\(\220\274\222J\202\263\202\361\)JANOG ppt [\214\335\212\267\203\202\201[\203h])

PowerPoint プレゼンテーション

スライド 1

実習 :VLSM を使用した IPv4 アドレスの設計と実装 トポロジ 学習目標 パート 1: ネットワーク要件の確認 パート 2:VLSM アドレス方式の設計 パート 3:IPv4 ネットワークのケーブル配線と設定 背景 / シナリオ 可変長サブネットマスク (VLSM) は IP アドレスの節約

T2: 事例から学ぶ IPv6 トラブルシューティング ホームネットワーク /SOHO 編 2011 年 11 月 30 日 NTT 情報流通プラットフォーム研究所藤崎智宏 2011 NTT Information Sharing Platform Labora

実習 :VLAN 間ルーティングのトラブルシューティング トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 8 ページ

スライド 1

宛先変更のトラブルシューティ ング

マルチ VRFCE PE-CE リンクのプロビジョ ニング

IIJ Technical WEEK IIJのバックボーンネットワーク運用

Microsoft PowerPoint - t10-RuriHiromi-T10-IPv6_into_Enterprise_hiromi

router_cachehit.eps

<4D F736F F F696E74202D C F815B834E95D2836E E9197BF2E707074>

untitled

U コマンド

Transcription:

事例から学ぶ IPv6 トラブルシューティング ~ISP 編 ~ Internet Week 2011 NEC BIGLOBE, Ltd. Seiichi Kawamura kawamucho at mesh.ad.jp ::1%IW2011

IPv4 脳 IPv6 脳 ::2%IW2011

今までの ISP ネットワーク設計 今までは IPv4 のことを考えればよかった IPv4 のトラブルシューティング IPv4 のルーティング ユーザの通信はすべて IPv4 原則 1 つの IP アドレス Peering DNS コアルータのインタフェース etc ::3%IW2011

Welcome to the New World!!! デュアルスタックにすると全システムアドレスは少なくとも 2 個 (link local 入れると 3 個 ) ユーザの通信は IPv4 と IPv6 が混ざってやってくる 例 :DNS は IPv4 HTTP は IPv6 IP アドレス設計は? フィルタポリシーは同じ? ルーティング設計は? ::4%IW2011

私のパートの主題 IPv4 と IPv6 は同じではありません ISP のネットワークに IPv6 の通信機能を追加する設計時および その後運用する際にどういう差分に気を付けないといけないのか 重要かつ多くの人に関連する 注意ポイント をピックアップして説明 コアネットワークのお話が中心です ::5%IW2011

自己紹介 NEC ビッグローブ株式会社勤務 2001 年 NEC 入社 2004 年まで営業 SE( インターネット関係なし ) 2004 年から BIGLOBE に移籍 2008 年までは IPv6/VPN 担当 2008 年ごろから IPv6/ コアネットワーク運用担当 2011 年から運用現場を離れ IPv6 NW 設計 Peering 担当 JANOG( 日本ネットワークオペレーターズグループ運営委員 ) 標準化 (IETF) 活動 APNIC などに出没します ::6%IW2011

目次 IPアドレス設計 :20 分 コアネットワーク :10 分 インターネット接続 :5 分 サービス提供 :5 分 ISPで最低限必要なサーバ その他 ::7%IW2011

IP アドレス設計 : 主な登場人物 Global Unicastアドレス Link localアドレス Multicastアドレス Unspecifiedアドレス 場合によっては :Unique Localアドレス 各アドレスの詳細は RFC4291 参照 ::8%IW2011

Global アドレスの概要 APNIC のポリシーでは Global IP アドレスの最少割り振りサイズは /32 (JPNIC も同様 ) http://www.apnic.net/policy/ipv6-addresspolicy#4.3 多くのプロバイダにとって 1 度の割り振りで十分なサイズ IPv4 では複数回割り振りを受ける /32 の適切な管理は成功する運用のキー ::9%IW2011

適切な管理のポイントとは? ゴール 運用で苦労しないポリシーを制定 管理する事 を苦にしない仕組みの検討 ::10%IW2011

適切な管理のポイントとは? ゴール 運用で苦労しないポリシーを制定 管理する事 を苦にしない仕組みの検討 IPv6 の適切な知識を基に検討する事が必要 自分の事業形態に合った手法を採用 時には IPv4 の常識を一度忘れてみる ::11%IW2011

失敗例 ルーティングの集約を目的としてしまう 例 : データセンターのフロア単位で集約する データセンターを運営している場合例外発生確率が高い 集約を目的とすると 運用がそれに依存してしまう 依存が高まると例外の扱いが難しくなり 結局運用を苦しめる 3.4 Aggregation Wherever possible, address space should be distributed in a hierarchical manner, according to the topology of network infrastructure. This is necessary to permit the aggregation of routing information by ISPs, and to limit the expansion of Internet routing tables. -----http://www.apnic.net/policy/ipv6-address-policy#3.4 ::12%IW2011

IPv6 の適切な知識 経路集約性と IPv6 は無関係 IPv6 は階層型なので集約しやすい と書いてある本を見かけますが無視しましょう 昔 stla など IP アドレスの割り振りに階層の概念が存在していた時代にそういう事は言われていましたが 実際の運用とあまりにかけ離れているため現在では無くなっています 集約しなくてよい というわけではありません 集約するほどルーティングの効率は高くなりますが サービス提供や運用を苦しめる設計は回避する必要がある という意味です ::13%IW2011

ましな例 /32 を /40 単位に分割して 機能毎にわける 2001:db8:1000::/40 はルータに充てるアドレス 2001:db8:1100::/40 はプライベートピア用 2001:db8:1200::/40 は顧客用 2001:db8:1300::/40 は裏ネットワーク用 覚えやすい ( 裏なのか ルータのアドレスなのか 顧客のアドレスなのか ) ロケーションに依存しないので アドレスを持ち運びしても OK クラウドネットワークで L2 を広域に伸ばしても気にならない ::14%IW2011

割り当てポリシー IPv4 の一般的な概念 /24 毎の割り当て管理 ルータ間は /30 節約のため細かくサブネット分け IPv6 では??? /48 毎の割り当て管理 ルータ間は /64, /112, /126, /127 など ネットワークサイズは管理しやすく 運用しやすい単位で設計 わかりやすい境界 (/48, /56, /64) が一般的 ::15%IW2011

IPv6 の正しい知識 IPv6 では /64 が default network size と言われています 実際ほとんどの実装はこれを前提にしています しかし /64 以上の Prefix が使えないわけではない /64 より長い Prefix にすると SLAAC(RFC4862) が利用できなくなる事を意識すればよい ::16%IW2011

色々なセグメントサイズ Point to point link(sonet やトンネルなど ) は /127 が利用できるルータなら /127 がおすすめ それ以外を選択する場合は Neighbor Discovery の扱いについてベンダーに確認してみよう! Broadcast が飛ぶようなメディアでも IP アドレスが少ない方がセキュリティ的に守りやすいため /126 でも問題はない ルータ間リンクは 管理性を重視して /64 を適用する場合もある ただし RFC4443 の ICMPv6 実装である事が重要! メーカーに確認してみよう! サーバセグメントにはシンプルに /64 がおすすめ SLAAC は基本的には使わないと思うが IPv4 みたいにケチる必要は無い部分 ::17%IW2011

ルータ間アドレス設計のトラブル Point to point link の場合 2001:db8::100:1/64 2001:db8::100:3 宛お! 隣のやつかな Broadcast Mediaの場合 2001:db8::100:2/64 お!2001:db8::/64 だから隣のやつかな Loop! 2001:db8::100:3 宛 ICMP unreachable 2001:db8::100:4 宛 ICMP unreachable ルータ負荷上昇! ::18%IW2011

Link local アドレス IPv4 に無い概念 一応定義はされてはいるが どのノードにも必ず付与されるアドレス fe80::/10 はたしてこれは管理すべきアドレスなのか??? ::19%IW2011

Link local アドレスの登場シーン BGP/OSPF/static route の next hop OSPF のネイバーアドレス SLAAC が有効なゾーンでのデフォルトルート かなり重要なところで登場する 1) 管理せず MAC アドレス生成の EUI-64 を使う 2) 管理するために Static で定義するどっちにしますか? ::20%IW2011

こたえ 自らの事業形態 運用内で重要視したいポイント 置諸元を考慮して選択する事が望ましい Link local を固定で割り当てられない装置も存在する 例外が出てくる 固定で割り当てておくとトラブルシュートが格段に楽 固定での割り当ては 管理 目的よりも 運用性向上 が目的なのでポリシーを決めておけば管理表などは不要 Global の下 64bit と同じに設定する など EUI-64 を使う場合 デフォルトルートがどこを向いているのか OSPF のこのネイバーは誰なのか BGP の next hop がどこを向いているのか 判別の仕方を考えれば良いだけ ::21%IW2011

ポイント Link local は設計段階で 意識 しておかないと後でポリシーを変更する事は難しい 運用で必ず登場する 見えないアドレス では無い ::22%IW2011

その他アドレス Multicast と Unspecified 注意点一つだけ : フィルタしてはいけません 普段はほとんど気にすることはない Unique Local Address 扱いが難しいアドレス IPv4 の Private(RFC1918) スペースとは若干意味合いが異なる Private のように扱っても良いが 現状お勧めの利用方法は定義されておらず 標準として曖昧さがある IPv6 では NAT は あまり 推奨されていない 逆引きの扱いが曖昧 現状 ISP ネットワークでは評価環境内でしか使わない方がよいかも ::23%IW2011

コアネットワークのトピック ルーティング ルーターとプロトコルの注意ポイント 運用 データ取得の注意ポイント ツールの注意ポイント ::24%IW2011

IPv4/IPv6 の実装差分 IPv4 と IPv6 で機能に差分がある場合があります IPv6 では OSPF stub router announcement が実装されていない場合がある (draft-retana-ospf-rfc3137bis-01) コンフィグの階層が異なる場合がある レガシー IOS や quagga OSPF を Interface 階層に設定するか router 階層に設定するか 保持できる経路数が異なります IPv4 では 100 万経路持てるのに IPv6 は 1 万程度 など どのメーカーも feature parity は必ずあります主要な機能は差分を明確にしてもらう方が良いです ::25%IW2011

プロトコル差分 :BGP BGP4+(BGP のマルチプロトコル対応拡張 ) で経路交換 特に珍しい実装ではないが VPN 接続用途で実装されている BGP では使えない場合が稀にある ほぼ BGP4 と同等の動き RFC4271 RFC4760 RFC2545 ::26%IW2011

プロトコルの差分 :BGP IPv4 のセッションの上で IPv6 経路情報を交換する事もできますが おすすめしません Peer 設定の Source address を link-local にする事もできますがおすすめしません 一般的に Global を想定しているため バグが稀にある Next-hop は Global アドレスでないと中に伝達しても意味が無いため 基本すべての設定は Global で実施する事が望ましい ::27%IW2011

プロトコルの差分 :OSPFv3 基本的な動作はOSPFv2と同じ リンク ( インタフェース ) 単位で実行される LSAが異なる Link-local 中心の設計に慣れる ::28%IW2011

OSPFv3~link の考え方 ~ link 単位での動作 network という概念がありません Cisco に慣れてる人は router ospf 10 network 10.10.10.0 0.0.0.255 area 0 interface [interface] ipv6 ospf process-id area area-id [instance instance-id] juniper とかは元々 interface 指定なので違和感はない ::29%IW2011

OSPFv3~neighbor の考え方 ~ router ID は IPv4 アドレスサイズと同じ 32bit のまま loopback アドレスを設定するポリシーだった人は ポリシー差分がでます show neighbor 系で見えるのは routerid 単位で見える next-hop アドレスがキーとして見えるのではない router-id の設計は重要 認証は MD5 でなく IPsec で ::30%IW2011

< 参考 >OSPFv3 の LSA OSPFv2 ルータ LSA ネットワーク LSA タイプ 3 サマリ LSA タイプ 4 サマリ LSA AS-External-LSA OSPFv3 ルータ LSA ネットワーク LSA Intra-Area-Prefix LSA Inter-Area-Prefix LSA Inter-Area- ルータ LSA AS-External-LSA リンク LSA トポロジ 経路 ( ネットワークアドレス情報はここ ) IPv4 ではルータ LSA ネットワーク LSA 内にネットワークプレフィックス情報が含まれていた ::31%IW2011

< 参考 >OSPFv3 のルータ LSA とネットワーク LSA IPv6 非依存でトポロジ情報だけを運ぶ ルータ LSA ルータの接続情報 ルータ ID ルータ ID ネットワーク LSA リンクに接続している ルータのリスト ルータ ID インタフェース ID DR インタフェース ID ::32%IW2011

< 参考 > リンク LSA リンク内のみで交換される LSA リンクローカルアドレスの通知 リンク上で有効な prefix の通知 DR ルータ ID インタフェース ID リンクローカルアドレス リンクに設定された prefix ::33%IW2011

< 参考 >Intra-Area-Prefix LSA OSPFv2 の時にルータ LSA やネットワーク LSA が運んでいた経路情報を運ぶ Stub ネットワークや transit ネットワークの経路 loopback の経路もこの LSA で運ばれる リンク LSA を DR が収集して 経路情報を代表して Intra-Area-Prefix LSA として広報する リンク上の一部ルータにだけ設定されている prefix でもリンクの DR が代表して広報する ::34%IW2011

OSPFv3~link local に慣れる ~ OSPF のパケットはすべて link-local が source-ip となる next hop は link local! ( 例 ) traceroute で出てくるアドレス = グローバル show route の next-hop= リンクローカル show ospf neighbor =router-id ( 追加で実装により neighbor の link local だったり IF-ID だったり ) 慣れるまで違和感はあるが実際の運用はそんなに難しい事はない ::35%IW2011

Static/default のヒヤリ 上位ルータは 2001:db8:1::/48 へ Static 上位ルータ向けに Default 2001:db8:1:100::/64 の link Loop します!!! 2001:db8:1:100::/64 以外の 65k 個の Prefix 宛が loop 下のルータは 2001:db8:1::/48 を null に向けましょう ::36%IW2011

運用差分 SNMP/xflow のデータ取得 Netflowv9 対応が必要 ルータによってはハードウェアアップグレードが必要 IF-index を使ったデータ取得では IPv4 と IPv6 が混ざったデータしか取れない ツール ExPING など IPv6 に対応していない運用ツールは多数 対応ツールは 3 年前と比較すると格段に増えた 今まで自作した Perl ツールなどは使えなくなるケースが多発 コードを綺麗に作り直すに良いチャンス? ::37%IW2011

インターネット接続のトピック トランジットとフルルートについて BGP フィルタポリシーの注意ポイント ::38%IW2011

トランジットとフルルート IPv4 と異なり まだ IPv6 の Peering は安定していない シングルホームが多かったり フィルタリングポリシーがバラバラだったり Route Views を見ると 経路数差分は大きい 日本で Transit を販売している事業者はそんなにひどい差分は無い 何経路もっているか フィルタリングポリシーは何なのかは 確認が必要 ::39%IW2011

経路トラブル Peering が少ない状況での注意点 遠回りしてしまう通信 ISP A トランジット ISP A ISP B トランジット ISP B 日本 米国 ::40%IW2011

BGP フィルタポリシー 受信経路のフィルタポリシーと広告ポリシーの 慣例 がまだ浸透していない /48 でフィルタする人が多いものの /64 で広告しているケースがみられる 厳密な割り振りサイズでフィルタしている人も散見するが 経路を分割して広告している AS へ到達性が無い 現状は 受信経路は /48~/64 の間でフィルタし 経路広告する場合は分割したとしても 割り振りサイズのものを広告する方が望ましい ::41%IW2011

ISP で最低限必要なサーバ DNS( キャッシュサーバ ) AAAA の応答は黙ってても行われている IPv6 の DNS サーバをユーザに提供する必要があればインタフェースに IPv6 アドレスを付ける メール MX へ AAAA を付けると 他 ISP のメールサーバと IPv6 で通信できるようになる ( 今のところ大きな問題にはならない ) ただし ユーザ向けの POP/SMTP は慎重になる必要がある AAAA レコードの応答で挙動がおかしくなるクライアントが存在する ( 企業が独自で開発したものなど ) ::42%IW2011

ユーザサポートとデュアルスタック 顧客に IPv4/IPv6 デュアルスタック環境を提供する場合 IPv4 でうまく接続できていないのか IPv6 でうまく接続できていないのか確認が必要 確認用のツールがあった方が良い WindowsXP MacOSX Lion 以前 多くのスマートフォンは DHCPv6 に対応していないため DNS は IPv4 でクエリーし 通信は IPv6 で行う IPv4 での DNS トラブルが IPv6 通信に影響を与える ::43%IW2011

まとめ アドレス設計 ルーティングともに IPv4 とは差分があり 独立したポリシーが必要な場合もある 経路運用には細心の注意を払う必要があるが IPv4 と比べてすごく大変になるわけでもない ユーザ向けに提供するサーバやサポートは慎重な対応が必要 ::44%IW2011

ありがとうございました ::45%IW2011

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック