IPv6時代の
エンタープライズネットワーク
シスコシステムズ合同会社
ジャパン・テクノロジーアンドリサーチセンター
印南鉄也
Cisco Plus Japan 2011
1. IPv4 Addressの枯渇
2. 日本のIPv6の現状
3. IPv6への移行とIPv4との共存
4. IPv6とセキュリティ
5. CiscoのIPv6への取り組み
Agenda
Cisco Plus Japan 2011
IPv6 は、なぜ作られたか?
•
標準化されたのは1995年頃
当時既にIPv4 Addressの”枯渇”が予想されていました。
Time
IPv4 Pool Size
Size of the Internet
IPv6 Transition using Dual-Stack
IPv6は緩やかに普及 し、インターネット の成長を落とすこと なく、徐々にIPv4と 置き換わる計画でした。
実際には
…
•
IPv4は、本当になくなるのか?
IPv6は普及してきているのか…?!
Time
IPv4 Pool Size
Size of the Internet
IPv6 Deployment 2011年、IPv4 Address 割当プールがなくなりま
Cisco Plus Japan 2011
IPv4 Addressの枯渇とは?!
•
現在使われているIPv4 Addressがなくなってしまう訳で
はありません。
IP Addressの管理機関は、新しいIPv4 Addressを割り当てるため の”在庫”を管理しています。 この”在庫”が一定レベルを下回った段階で、今までとは異なる新規 割当てルールが適用されることになります。
•
今までの割当てルールとは、
既に割り当てられているaddressを一定レベル以上使用済みで、 今後一定期間内で一定レベル以上のaddressを使用する予定が ある場合、必要な大きさのaddressの割り振りを(複数回)受けるこ とができます。 ところで、”IP Address 管理 機関”とはなんでしょう?!IPアドレス管理の階層構造
ISP Center Data etc.
IANA: Internet Assigned Numbers Authority RIR: Regional Internet Registry
ARIN: American Registry for Internet Numbers
RIPE NCC: Resource IP Europeans Network Coordination Centre
IANA
APNIC: Asia Pacific Network Information Center JPNIC: Japan Network Information Center
APNIC RIPE NCC
ARIN
LACNIC AfriNIC CNNIC KRNIC JPNIC
Cisco Plus Japan 2011
(generated at 23-OCT-2011 07:59 UTC)
IANA Unallocated Address Pool Exhaustion:
03-Feb-2011
Projected RIR Address Pool Exhaustion Dates: APNIC: 19-Apr-2011 RIPE/NCC: 22-Jun-2012 ARIN: 04-Jun-2013 LACNIC: 25-Feb-2014 AfriNIC: 23-Jun-2014 Source: http://www.potaroo.net/tools/ipv4/
IPv4 Address 枯渇予想
割当てblockが残り5個 になった時点でそれら を1つづつ、5つのRIR に割り振りました。 残り割当てblockが1つだ けになったAPNICは、最 終割当て方式に移行しま した。枯渇後は、どうなってしまうのでしょう?
•
既に割り当てられているIPv4 Addressは、今後もそのまま使
い続けることができます。
枯渇後ルールが適応されるのは、これから割当てを受けるときです。 このルールは、1組織につき1回かぎり/22 block(=host数で約1,000) の割り振りを受けることができます。•
新しいネットワークを作るにはどうしたらいいのでしょう?
1. 既に取得済みのIPv4 Addressを節約して使うPrivate Addressを有効に活用し、Global AddressはNATなどを介して複 数のユーザーが共同で使うなどの方法が考えられます。
2. 他の組織からIPv4 Addressを移転してもらう
2011年8月から、日本国内では他の組織が割り振りを受けたIPv4 Addressの移転(名義変更)ができるようになりました。
Cisco Plus Japan 2011 Cisco Plus Japan 2011
IPv6対応Software
•
Microsoft Windows, Apple Mac OSをはじめとする主な
PC用OSは既にIPv6に対応しています。
Windows 7は出荷時にIPv6が有効になっています。ガートナー の予測によると、CY11中に世界で利用されるPCの42%が Windows 7になると言われています。 Linux等のUNIX CloneもIPv6対応完了済みです。•
家電製品、センサーネットワーク用SoftwareもIPv6対応
や対応予定が発表されているものがあります。
オフィス環境・一般家庭環境もIPv6対応準備が整いつつある。
Cisco Plus Japan 2011
IPv6インターネットサービス
•
IPv4アドレスの在庫枯渇と前後して、多くの本格的な
IPv6インターネットサービスの提供が開始されました。
Yahoo! BBがIPv6インターネット接続サービスを開始
2010年2月23日、BBIX及びSoftBank BBは「Yahoo!BB with フレッ ツ」、「Yahoo!BB 光 フレッツコース」のユーザー向けにIPv6 Internet 接続サービスを無償提供することを発表しました。 http://www.softbankbb.co.jp/ja/news/press/2010/20100223_01/ KDDIの「auひかり」がIPv6対応 KDDIは、光ファイバーサービス「auひかり」のユーザーに対しIPv6イ ンターネットへの接続を順次提供開始しました。 エンドユーザーに特別な作業は必要なく、全て無償で提供されます。 http://www.kddi.com/corporate/news_release/2011/0418a/
IPv6アクセス網サービス
•
東日本電信電話株式会社及び西日本電信電話株式会
社は、「フレッツ光ネクスト」でIPv6インターネットに接続
できるアクセスサービスを開始しました。
http://www.ntt-east.co.jp/release/detail/20110526_03.html http://www.ntt-west.co.jp/news/1105/110526d.html http://www.ntt-east.co.jp/release/detail/20110719_01.html http://www.ntt-west.co.jp/news/1107/110719b.html•
「IPv6 PPPoE方式」及び「IPv6 IPoE方式」の2種類があ
ります。
多くのISPが、これらのIPv6アクセス網サービスに対応している、 又は対応予定であると発表されています。
Cisco Plus Japan 2011
“The World IPv6 Day”
•
世界中のWeb Siteやコンテンツホルダーが、1日だけ
IPv6に対応しました。
IPv6の普及を促進し、問題点の洗い出しを行うための「テストフライ
ト・イベント」です。
2011年6月8日 (0:00am-11:59pm, GMT)に実施されました。
•
Internet Society (ISOC)がとりまとめを行いました。
国内からも多くのサイトが参加しました。
•
日本国内は特殊なIPv6環境が存在します。
一部でIPv6を使用した閉域網サービスが提供されている ため、IPv6 インターネット・サービスとの併用時に問題が 指摘されています。
“The World IPv6 Day”では、このような問題を予め調査する 目的でも、利用されました。
日本国内での状況
•
いくつかのコミュニティーが共同で日本国内でのプロ
モーション活動を行いました。
インターネット協会/IPv6普及・高度化推進協議会/ISOC-JP(再 活性化中)/WIDEは共同で、参加を呼びかける発表を行いました。 IPv6普及・高度化推進協議会と日本インターネット協会は、共同で ISOCへの登録仲介業務を受け付けました。•
日本国内でも活発な議論が行われ、のいくつかのWeb
Siteが参加しました。
http://www.attn.jp/worldipv6day/•
国内ISPの多くが、混乱を避けるための対応を、協調し
て行いました。
取り纏めは、日本インターネットプロバイダー協会が行いました。Cisco Plus Japan 2011
http://hide.dnsalias.net/aaaa/worldipv6day.cgi
Source: Arbor Networks
Ciscoの対応
• “www.cisco.com”が参加しました。
Ciscoでは、ユーザーのサポートを上記Web Siteを通じて行っています。 不具合を発生させないために十分な準備作業を行いました。
Cisco Plus Japan 2011
www.cisco.com
•
余談ですが、、、
www.cisco.comのIPv6 addresは、 2001:420:80:1:C:15C0:D06:F00D です。これは、”Cisco, dog food”と読みます。
“Eat your own dog food.”(“自分で作った物は自分で使ってみろ!”)にちな んでつけられました。
•
全体の1.5%がIPv6によるアクセスでした。
Router#ping www.cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:420:80:1:C:15C0:D06:F00D, timeout is 2 seconds: !!!!!
“The World IPv6 Day” – 結果
•
多くの貴重なデータがえられました。
一部のものは公開されています。•
この日以降、IPv6のTrafficが非常に増加したISPも存在
します。
6/8以降も、継続してIPv6を運用しているコンテンツホルダーもある ようです。•
日本国内でも大きな混乱は起きませんでした。
多くのISPが、事前に様々な対策を行いました。 予め準備をしていたISPにはほとんど影響がありませんでした。•
次の
”The World IPv6 Day”?!
来年前半に再び企画される見通しです。
次回は、原則的に継続したIPv6運用を前提とすることも検討され ています。
Cisco Plus Japan 2011 Cisco Plus Japan 2011
IPv6対応と事業継続性への影響
Early Adopters Globalization IPv6 Government Mandate Deadlines IPv4/IPv6 Co-existence 2011 2012 201x Transition Planning2011: 影響の拡大 – “…IPv6 is important to all of us (…) to
everyone around the world, It is crucial to our ability to tie together everyone and every device”. John Chambers
•2012: IPv6必要性の顕著化 – 調達におけるIPv6対応が必須条 件となる。事業継続性のためには製品・サービスのIPv6対応が 前提となる。 • 2010: 影響小 – ただし調達傾向の変化が起こ り、IPv6の必要性に対する認識が拡大する。 • 2014: IPv6の一般化 – より低コストでシンプルなIPv6ソ リューションが一般的になる。
Cisco Plus Japan 2011
エンタープライズのIPv6への導入
• IPv4 addressが枯渇してもInternetの成長傾向は継続する。 • エンタープライズには市場の維持・拡大が必要。成長/投資保護
• パートナー或は競合のIPv6導入 • 政府機関・業務提携先によるIPv6の要件パートナー
• Microsoft Windows 7, Server 2008 • Microsoft DirectAccess
OS
• 企業買収・統合によるネットワーク拡大 • NATによる技術的制限旧来の問題
• サーバーの仮想化 • SmartGrid新テクノロジー
外的要因 内的要因IPv6導入の手法
•
Dual Stack
一つのノードでIPv4/IPv6両方を使えるようにすることです。 宛先に応じていずれかのアドレスファミリを選択します。•
トンネリング
IPv6のパケットをIPv4等でカプセル化します。 IPv6未対応ネットワークをバイパスするのに使います。•
トランスレータ
IPv6とIPv4のプロトコル変換を行います。 アプリケーションレベルでの対応が必要になることもあります。 IPv6 IPv4 IPv4 IPv6 IPv6 IPv6 IPv4Cisco Plus Japan 2011
IPv6導入のパターン
IPv6
IPv4 IPv4 IPv6 IPv4 IPv6
IPv4 only IPv4 only IPv6 only IPv6 only メ リ ッ ト IPv6での障害がIPv4の通信に影響を与えない バックボーン設計が柔軟にできる。(上位キャリアへの接続が容易) 顧客の通信への影響が大きい場 所ではIPv4/IPv6分離 機器コストが最小で済む。 管理機器数も最小 デ メ リ ッ ト 機器/管理コストがかかる。 構成の複雑化。 管理コストやや大。 IPv6の障害がIPv4通信に影響す ることも。 トラブル切り分けが複雑に
Dual-StackとIPv4 Address
•
当面IPv4 Internetは使われ続けると思われるため、可
能であればエンドユーザーの環境としては、Dual-Stack
の利用が賢明だと思われます。
基幹ネットワークは、必ずしもDual-Stackである必要はなく、IPv6 ネットワーク上に、IPv4を重畳させたり、その逆を行うような移行技 術も存在している。•
IPv4 Address資源は、既に枯渇しており潤沢に使用す
ることは難しいと考えられます。
一つのIPv4 Addressを複数のユーザーで、”共用”する技術を組み 合わせて使用することが求められる可能性があります。Cisco Plus Japan 2011
既存投資の活用 –
既設のIPv4インフラを利用
•
Large Scale IPv4 NAT + IPv6 over IPv4 Tunneling
IPv6 Internet IPv4/IPv6 Dual-stack IPv6 Internet IPv4 Internet 既存のIPv4インフラ をそのまま使用する ことで、新たな設備 投資を控える。 既設IPv4 インフラ 6rdなどのIPv6 over IPv4技術を利用し、 容易にIPv6サービス を提供。 IPv4在庫Address の消費を極力抑え るため、CGNを使 用し、複数のユー ザー間で一つのアド レスを共有する。 エンドユーザーには、 IPv4(private)とIPv6 のDual-Stack環境を 提供する。
IPv6 onlyインフラでIPv4も運用
•
Native IPv6 + IPv4 over IPv6 Tunneling
IPv6 Internet IPv6 (/ IPv4) IPv6 Internet IPv4 Internet IPv6はネイティブで インターネットへのア クセスを提供 IPv4 Internetへは Translation技術。或 はIPv4 over IPv6技
術を使用する。
新規IPv6 インフラ
Cisco Plus Japan 2011
IPv6ソリューションのポイント
•
投資の保護
既存のCisco機器の有効な活用•
IPv4との共存とIPv6への容易な移行
IPv4サービスへの影響を最小限に押さえた上で、容易にIPv6サー ビスを開始します。•
IPv4 Addressの節約
CGNなど、IPv4アドレス共有機能を提供することでIPv6への移行 に時間的猶予を与えます•
セキュリティ・運用性・アプリケーション
本格的なIPv6サービスのための機能を付加して行きますCisco Plus Japan 2011
IPv6のセキュリティとIPv4の違い
•
IPv4/IPv6の間に根本的な差はありません。
アドレス空間の大きさや、Protocolの構造に起因する差異は存在します が、根本的なセキュリティーの性質の差はそれほど大きくありません。
(例) L2アドレスの解決・Spoofing・Source Routing・Routing Protocol・ Application・DoS
•
IPsecの幻想
IPv6の標準的な実装ではIPsecが必須ですが、これはセキュリティーが 担保されていることを意味するわけではありません。IPsecを使用するこ とが有効でないケースも多数存在します。またIPsecはIPv4でも使用可 能です。多くの場合IPv6でもIPv4と同じ手法で対策をとることが可能です。
IPv6に固有なセキュリティーの課題
•
アドレス空間
IPv4と比較して非常に大きなアドレス空間を持つIPv6は、大きさ自体 に起因するいくつかの違いがあります。また、明確なアドレス・スコープ の区別が存在することも大きな差異の一つです。 攻撃対象の選定 例えば、攻撃者がその対象をしらみつぶしに見つける様なタイプの攻撃を行 うためには、より多くの労力が必要となります。 逆に、空間の大きさに余裕があるため、常に同じアドレスを使用することが多 いと考えられます。この問題への対応として、プライバシー拡張機能も利用可 能ですが、安全性が高まる反面、管理が大変になってしまうデメリットもありま す。 Link-Local アドレス Link-LocalアドレスはOn-Linkのみで使用できます。この特性を利用すること で外部との通信を制御することも可能です。 Topologyの隠蔽 IPv4ではNAT/NAPTの使用が一般的であるため、Topologyが隠蔽されてい ることが前提とされた運用が行われていることがあり、注意が必要です。Cisco Plus Japan 2011
IPv6に固有なセキュリティーの課題
•
拡張ヘッダとフラグメント
拡張ヘッダのチェーンに制限がないため、チェックする機構のスケーラビリティに影 響を与えます。またフラグメントが発生していると、さらに複雑なチェックメカニズム が必要になります。•
運用性
現実的な運用としてIPv4と違いを認識するべきものが存在します。 運用データベース Spam DatabaseなどIPv6では未整備のものが存在します。 Path MTU Discovery
PMTUdは、ICMPを使用して実現されています。一部IPv4で行われている様 な、セキュリティーを目的として全てのICMPを通過させない様な運用は接続 性に影響を与えます。
Dual-Stack/Tunnel over IPv4
IPv4/IPv6それぞれのセキュリティーを考えなくてはいけないのは、もちろんの こと、移行手段としてのTunnel技術は管理が複雑になりがちで、セキュリ ティーの低下が懸念されます。 ノウハウとトレーニング 運用自体の経験の少なさから生じる問題は最も大きな課題といえるでしょう。 同様にトレーニングの不足もこれを助長します。
IPv6とセキュリティー
•
IPv6は多くの面で、アドレス空間の大きなIPv4と捉える
ことができます。そしてセキュリティーの観点では両者に
それほど著しい差異はありません。
Link-Local Addressのように、大きくセキュリティが向上しているも のや、拡張ヘッダのように取り扱いが難しいものも存在します。 すべてでIPsecを使用するといったような、誤った認識も改める必 要があります。•
最も危険なのは、運用経験やトレーニングの不足が不
足していることが根本的なセキュリティー脅威の原因に
なってしまうことです。
Cisco Plus Japan 2011 Cisco Plus Japan 2011
John Chambersの語るIPv6戦略
Google’s June 2010 IPv6 developers conference
“…我々がアドレス枯渇問題を克服しなけ れば、インターネットの成長は減速し、業界 は勢いを失うだろう。" “IPv6は、世界中誰しもにとって大切な物だ。 これこそが、すべての機器と我々を結びつ ける決定的な手段なのだから。“
”Cisco
は、全面的に
IPv6
化を進めることを約束しま
す。それは、すべての機器、すべてのアプリケー
ション、そしてすべてのサービスについてです。
”
Cisco Plus Japan 2011
2001:db8:2ef3:a4f0:65b9:e8ff:f36c:84b0
必要な機能の提供
すべての機器・アプリケーション・サービスにおける 完全なIPv6対応。 IPv6におけるリーダーシップ。早期 導入者のサポートや標準化の推進 導入の方法に沿った、製品開発 新しい方式・考え方 IPv6 Implementation Strategy Foundationこれまでのシスコの取り組み
Cisco Plus Japan 2011
Dual Stack Use Case • それぞれの機器がIPv4に
加えて、IPv6に対応。
• IPv6対応ネットワーク同 士を互いに接続する。
IPv6 Internet Presence Use Case
• インターネットへの接続 をIPv6化。
Use Case IPv6 Technology Relevant Products
IPv6 and IPv4
• IPv6対応Switch & Router
• IPv6 over IPv4 トンネリ ング
Stateless NAT64
プロトコル変換技術による WebサービスのIPv6対応。
• Catalyst 6K, 4K, 3K, 2K
• Nexus 7K, ASA Security Appliance
• AnyConnect VPN client
• ASR 1000
• ISR G2
• Stateful NAT on ASR1000
Cisco製品のIPv6対応
IPv6 Internet Residential Data Center Internet SP Backbone Enterprise User Cisco ASA5500 Adaptive Security AppliancesCisco ASR1000 Cisco Nexus 7000
Cisco ACE30 Application Control Engine
Cisco ASR9000 Aggregation Service Routers
