スライド 1

Similar documents
IPv6 トラブルシューティング~ ISP編~

2014/07/18 1

Microsoft PowerPoint ppt [互換モード]

はじめに xsp のルータにおいて設定を推奨するフィルタの項目について の IPv6 版 最低限 設定することが推奨されるフィルタ について まず議論したい 接続形態に変化はないので IPv6 対応をメインに IETF draft RIR でproposal 進行中のものについては今回の検討外とした

第1回 ネットワークとは

初めてのBFD

untitled

IPv6 リンクローカル アドレスについて

頑張れフォールバック

第1回 ネットワークとは

仕様と運用

Mobile IPの概要

tcp/ip.key

ict2-.key

TCP/IP再認識〜忘れちゃいけないUDP、ICMP~

Microsoft PowerPoint f-InternetOperation04.ppt

untitled

Microsoft Word - トンネル方式(3 UNI仕様書5.1版)_ _1910.doc

IPv6-Trouble-Shooting-Mini

技術的条件集別表 26.3 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv6 トンネル方式 )

IPv6 トラブルシューティング ホームネットワーク/SOHO編

1 IPv6 WG OS SWG PCOSIPv6 Windows Vista 2 3 KAMEUSAGIMacOSX IPv6 2

[ 参照規格一覧 ] JIS C5973 (F04 形単心光ファイバコネクタ ) JIS C6835 ( 石英系シングルモード光ファイバ素線 1991) JIS C6832 ( 石英系マルチモード光ファイバ素線 1995) IETF RFC791(Internet Protocol

第9回ネットワークプランニング13(CS3年・荒井)

インターネットVPN_IPoE_IPv6_fqdn

amplification attacks とは 送信元を偽装した dns query による攻撃 帯域を埋める smurf attacks に類似 攻撃要素は IP spoofing amp 2006/07/14 Copyright (C) 2006 Internet Initiative Jap

IPv6チュートリアルからIPv6化ことはじめ~

技術的条件集別表 26.2 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv4 トンネル方式 -10GBASE LR インタフェース )

IPv4

2 PC [1], [2], [3] 2.1 OS 2.1 ifconfig 2.1 lo ifconfig -a 2.1 enp1s0, enx0090cce7c734, lo 3 enp1s0 enx0090cce7c734 PC 2.1 (eth0, eth1) PC 14

IPIP(Si-RG)

IPIP(Si-RGX)

ip nat outside source list コマンドを使用した設定例

第10回 ネットワークプランニング18(荒井)

2 1: OSI OSI,,,,,,,,, 4 TCP/IP TCP/IP, TCP, IP 2,, IP, IP. IP, ICMP, TCP, UDP, TELNET, FTP, HTTP TCP IP

$ ifconfig lo Link encap: inet : : inet6 : ::1/128 : UP LOOPBACK RUNNING MTU:65536 :1 RX :8 :0 :0 :0 :0 TX :8 :0 :0 :0 :0 (Collision

第9回ネットワークプランニング19(CS3年・荒井)

第10回 ネットワークプランニング15(荒井)

IPSEC(Si-RG)

IPSEC(Si-RGX)

ループ防止技術を使用して OSPFv3 を PE-CE プロトコルとして設定する

第9回ネットワークプランニング16(CS3年・荒井)

オペレーティング システムでの traceroute コマンドの使用

2011 NTT Information Sharing Platform Laboratories

wide93.dvi

JANOG14-コンバージェンスを重視したMPLSの美味しい使い方

$ ifconfig lo Link encap: inet : : inet6 : ::1/128 : UP LOOPBACK RUNNING MTU:65536 :1 RX :8 :0 :0 :0 :0 TX :8 :0 :0 :0 :0 (Collision

IP 2.2 (IP ) IP 2.3 DNS IP IP DNS DNS 3 (PC) PC PC PC Linux(ubuntu) PC TA 2

IIJ Technical WEEK IIJのバックボーンネットワーク運用

技術的条件集別表 35 IP トランスポート仕様

スライド 1

Inter-IX IX/-IX 10/21/2003 JAPAN2003 2

(Microsoft PowerPoint - janog23-server-ipv6-rel-public.ppt [\214\335\212\267\203\202\201[\203h])

Microsoft PowerPoint pptx

パブリック6to4リレールータに おけるトラフィックの概略

Managed Firewall NATユースケース

第7回ネットワークプランニング18(CS・荒井)

T8_4-shirasaki.PDF

Agenda IPv4 over IPv6 MAP MAP IPv4 over IPv6 MAP packet MAP Protocol MAP domain MAP domain ASAMAP ASAMAP 2

tp2ps output file

15群(○○○)-8編

Si-R/Si-R brin シリーズ設定例

Microsoft PowerPoint irs14-rtbh.ppt

Information Security

第11回ネットワークプランニング18(CS・荒井)

一般的に使用される IP ACL の設定

LSM-L3-24設定ガイド(初版)

事例から学ぶIPv6トラブルシューティング~ISP編~

情報通信の基礎

New IANA allocation な IP Address 利用の手引き ~1. 悲しい編 ~


_IPv6summit_nishizuka.pptx

Ethernet OAM の 効果的な利用形態について

クラウド接続 「Windows Azure」との接続

IIJ Technical WEEK2017 経路制御の課題と対策

Managed UTM NG例

概要

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

SCREENOS NAT ScreenOS J-Series(JUNOS9.5 ) NAT ScreenOS J-Series(JUNOS9.5 ) NAT : Destination NAT Zone NAT Pool DIP IF NAT Pool Egress IF Loopback Grou

PowerPoint プレゼンテーション

橡3-MPLS-VPN.PDF

IPCOMとWindows AzureのIPsec接続について

点検! IPv6のセキュリティ-プロトコル挙動の観点から-

Microsoft PowerPoint - about_stack_ ppt [互換モード]

ゴール インターネットの動作原理を理解する インターネットは様々な技術が連携して動作する 家族に聞かれて説明できるように主要技術を理解する

必修・IPv6セキュリティ~未対応で大丈夫ですか?~

untitled

BGP ( ) BGP4 community community community community July 3, 1998 JANOG2: What is BGP Community? 2

スライド 1

本資料について

2008, 2009 TOSHIBA TEC CORPORATION All rights reserved

PowerPoint プレゼンテーション

All Rights Reserved. Copyright(c)1997 Internet Initiative Japan Inc. 1

アマチュア無線のデジタル通信

NetworkKogakuin12

Microsoft PowerPoint - Amazon VPCとのVPN接続.pptx

IPv6 IPv6 IPv4/IPv6 WG IPv6 SWG

スライド 1

TestsDumps Latest Test Dumps for IT Exam Certification

Transcription:

忘れがちな IPv6 のアドレス構成 Matsuzaki maz Yoshinobu <maz@iij.ad.jp> 1

IPv4 と IPv6 パケット転送などの考え方は同じ つまり基本はほとんど一緒 IP ヘッダがちょっと違う アドレス長が伸びてる IPv4 32bit 長 IPv6 128bit 長 2

IPv4 パケット送信 同じネットワークに属していれば直接送信 inet 192.168.0.1 netmask 255.255.255.0 192.168.0.0~192.168.0.255 が同じセグメント上にある etherフレーム dst mac src mac dst ip src ip dst ip dst mac dst データ src src ip src mac ip: 192.168.0.2 ip: 192.168.0.1 3

arp (Address Resolution Protocol) ether ではパケット送信に MAC アドレスが必要 IPv4 アドレスは分かってる (ex. default の向け先 ) 機器の IPv4 アドレスから MAC アドレスを知りたい arp で解決 RFC826 arp who-has 192.168.0.2 tell 192.168.0.1 0x0000: ffff ffff ffff 0019 bb27 37e0 0806 0001 0x0010: 0800 0604 0001 0019 bb27 37e0 c0a8 0001 0x0020: 0000 0000 0000 c0a8 0002 arp reply 192.168.0.2 is-at 00:16:17:61:64:86 0x0000: 0019 bb27 37e0 0016 1761 6486 0806 0001 0x0010: 0800 0604 0002 0016 1761 6486 c0a8 0002 0x0020: 0019 bb27 37e0 c0a8 0001 0000 0000 0000 0x0030: 0000 0000 0000 0000 0000 0000 4

IPv6 パケット送信 同じネットワークに属していれば直接送信 inet6 2001:db8::1 prefixlen 64 2001:db8::~2001:db8::ffff:ffff:ffff:ffff が同じセグメント上にある etherフレーム dst mac src mac dst ip src ip dst ip dst mac dst データ src src ip src mac ip: 2001:db8::beef:cafe ip: 2001:db8::1 5

ndp (Neighbor Discovery Protocol) ether ではパケット送信に MAC アドレスが必要 機器の IPv6 アドレスから MAC アドレスを知りたい ndp で解決 RFC4861 ICMP6 を利用して MAC アドレスを問い合わせる 送り先を未学習なら multicast アドレス宛て IP: ff02::1:ff00:0000 ~ ff02::1:ffff:ffff 送信先 IP アドレスの下位 24bit を利用して生成 MAC: 33:33:00:00:00:00 ~ 33:33:ff:ff:ff:ff 送信先 IP アドレスの下位 32bit を利用して生成 6

ndp で MAC アドレス解決 IP6 2001:db8::1 > ff02::1:ffef:cafe ICMP6, neighbor solicitation, who has 2001:db8::beef:cafe source link-address option: 00:19:bb:27:37:e0 0x0000: 3333 ffef cafe 0019 bb27 37e0 86dd 6000 0x0010: 0000 0020 3aff 2001 0db8 0000 0000 0000 0x0020: 0000 0000 0001 ff02 0000 0000 0000 0000 0x0030: 0001 ffef cafe 8700 9a90 0000 0000 2001 0x0040: 0db8 0000 0000 0000 0000 beef cafe 0101 0x0050: 0019 bb27 37e0 IP6 2001:db8::beef:cafe > 2001:db8::1 ICMP6, neighbor advertisement, tgt is 2001:db8::beef:cafe destination link-address option: 00:16:17:61:64:86 0x0000: 0019 bb27 37e0 0016 1761 6486 86dd 6000 0x0010: 0000 0020 3aff 2001 0db8 0000 0000 0000 0x0020: 0000 beef cafe 2001 0db8 0000 0000 0000 0x0030: 0000 0000 0001 8800 c1fd 6000 0000 2001 0x0040: 0db8 0000 0000 0000 0000 beef cafe 0201 0x0050: 0016 1761 6486 7

ネットワーク構成 ルータ間やホストの接続するセグメントなど様々考えられる RT1 RT2 RT3 8

IPv4 の場合 必要に応じてマスク長を変えて運用 RT1 RT2 RT3 /30 /30 /28 /24 9

IPv6 の場合 気にせず /64 で運用するのが基本 RT1 RT2 RT3 /64 /64 /64 /64 10

point to point リンク 主にルータ間で多用されている回線 POS Serial などなど 障害切り分けとかしやすい 実は tunnel も point to point リンク パケットを回線に投げれば対向に届く Layer2 アドレス解決のための arp とかいらない 11

point to point リンクとアドレス 古は対向のアドレスをいちいち指定する remote address とか dest_address とかの指定 今でもこんな設定をできるルータもあるが すでにできないルータもある 今はリンク上に /30 とか /64 のセグメントがあるかの様に設定している Ethernet だろうが POS だろうが気にしてない 12

/30 でルータ間 10.0.0.0/30 10.0.0.0 network address 10.0.0.1 ルータA 10.0.0.2 ルータB 10.0.0.3 broadcast address ルータ A /30.1.2 ルータ B 13

/64 でルータ間 2001:db8::/64 2001:db8::0 Subnet Router anycast address 2001:db8::1 ルータA 2001:db8::2 ルータB 2001:db8::3 2001:db8::ffff:ffff:ffff:ffff 空き ルータ A /64 :1 :2 ルータ B 14

/126 で使ってる場合でも 2001:db8::/126 2001:db8::0 Subnet Router anycast address 2001:db8::1 ルータA 2001:db8::2 ルータB 2001:db8::3 空き ルータ A /126 :1 :2 ルータ B 15

宛先のいないパケット セグメント上で どの機器も利用していない様な 空き のアドレス宛てにパケットが届いたら Ethernet arp や ndp で確認し 居なければ host unreach これはこれで別途懸念点はあるけど point to point リンク 回線に投げてみる 16

point to point リンクと空きアドレス 10.0.0.0/24 をリンクに割り当て 10.0.0.1 をルータ A 10.0.0.2 をルータ B に Q.10.0.0.13 宛てのパケットはどうなる? A. ルータ A /24.1.2 ルータ B 17

ping pong point to point リンク上に空きアドレスがあると そこ向けのパケットがループする IPv4 では /30 とか /31 とか利用して空きがなかった IPv6 だと /64 とか /126 とか使ってるので空きがある もちろん IPv6 では古くからこの問題は認識されていて 対策が議論されてきた 実はよーく読むと RFC にも書いてある 18

RFC4443 ICMPv6 3. ICMPv6 Error Messages 3.1. Destination Unreachable Message <snip> One specific case in which a Destination Unreachable message is sent with a code 3 is in response to a packet received by a router from a point to point link, destined to an address within a subnet assigned to that same link (other than one of the receiving router's own addresses). In such a case, the packet MUST NOT be forwarded back onto the arrival link. 19

つまり RFC 曰く 2001:db8::/64 を point to point リンクで使っている時 2001:db8::13 宛てのパケットが来たら ルータ A 2001:db8::13 宛てルータB 2001:db8::/64 :1 :2 ICMP dst unreach 1. 流入インタフェース = 送出インタフェース 2. 宛先がそのリンク上の時はパケットを転送してはいけない (MUST NOT) でもって ICMP でエラーを通知 20

知ってるのが重要 仕様上は問題なし でも実装は違うかも 良くある話 こういった 特別な場合 は忘れられがちなので 使う前にはキチンと確認を 僕たちだって忘れそう ベンダだって忘れそう 21

念のための方策の検討 万が一に備えるのが重要 事前に複数の対策を講じておくとか いよいよとなった時に逃げの方策があるかとか 1.link local で頑張る 2. 泣きながらパケットフィルタ 3./127 で生きてみる 22

案 1 ルータ間は link local のみ IPv6 ではルータ間は link local のみでも動く loopback にだけアドレスを振っておけばルーティングプロトコルも大丈夫 隣接ルータ間は link local で経路のやりとり 問題もいくつか リモートからの ping 監視など ebgp での nexthop 書き換えが面倒 traceroute ではどのリンクを通ったか分かりにくい 23

案 2 泣きながらパケットフィルタ いわゆる infrastructure ACL と一緒 point to point 用にアドレスを確保して そこ宛てのパケットをネットワーク境界でフィルタ IPv6 アドレスはいっぱいあるから 問題もある フィルタのメンテナンス 他の AS との接続点とか 24

案 3 /127 で生きてみる 2001:db8::2/127 2001:db8::2 ルータ A 2001:db8::3 ルータ B ルータ A /127 :2 :3 ルータ B 空きアドレスがなくなって ばっちり でも実は既にこんな事を検討した人はいた 25

/127 と RFC use of /127 considered harmful [RFC3627] 現時点では /127 の利用は有害らしい subnet router anycast address が使えない 実はまだほとんどのルータには実装されてないけど 実装されると DAD で問題になる /31 の時の様に使わないことにする RFC も書けるけど 特別な場合 を増やす問題もある /64 より長い prefix 長での問題 u/g bit とか 26

まとめ 仕様と実装は違うかも 使う前にはちゃんと検証を 問題を見つけたら ベンダにも教えてあげましょう 特に特別な場合は要注意 point to point リンクでの ICMPv6 とか tunnel を張るときも同様なので注意 ちょっとした違いに注意 思い込みとか IPv4 では大丈夫だったとか 27

28

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック