Windows Server 2012 と IPv6 IPv6 勉強会代表 MURA

Windows Server 2012 と

IPv6

IPv6勉強会って何?

• 実務視線の IPv6 勉強会 • 導入、移行、設計、実装、運用、セキュリティ、開発など、「業務でIPv6 を使う」を主眼に • 実務として使える内容重視 • オフライン(勉強会)中心 • 勉強会の各セッションは USTREAM で中継 & 録画 • プレゼン資料等は基本公開 • 2011/11に「IPv6セキュリティ」勉強会を予定 オフィシャルサイト : http://www.vwnet.jp/IPv6SG/ copyright (c) 2012 MURA ₃

IPv6勉強会 メンバー募集中

• 勉強会情報などをメールでお知らせします • http://www.vwnet.jp/IPv6SG/Join.html

Agenda

• IPv6のキホン

• Windows での IPv6

• Windows Server 2012(RC) で作る IPv6 環境

今なぜ IPv6 ?

• 2011/02/03 に IANA の IPv4 在庫がゼロに • 2011/04/15 に APNIC の IPv4 在庫がゼロに

• JPNIC では独自に在庫を持たないので、同日付で日本の IPv4 アドレスも 枯渇

• 現在 ISP や iDC が持っている IPv4 流通在庫で運用 → 遅かれ早かれ流通在庫もゼロに

• IPv4 アドレスの新規供給が終了し、IPv6 アドレスだけが新

規供給されるのは遠くない将来

2012/06/06 World IPv6 Launch

• 著名なWebサイトが恒久的にIPv6対応!! • bing • Xbox • AKAMAI • facebook • google • その他多数

IPv6って何?

• アドレス数を大幅に増やした L3 プロトコル • 32ビット(IPv4) → 128ビット(IPv6) • 世界人口≒70億人≒ 7x10^9 • IPv4のIPアドレス数=2^32≒4x10^9 • IPv6のアドレス数= 2^128≒ 3x10^38 • /64で考えても 2^64≒ 2x10^19 • IPv4 の弱点を強化したプロトコル • IPヘッダーの単純化→ルーティングの高速化 • 自動構成→PnPを実現 • IPsec標準装備→ハイセキュリティ通信が可能 copyright (c) 2012 MURA ₉

IPv6 を導入する必要はあるの?

• インターネットを使用しているのであれば、導入形態はどう

あれ、IPv6 対応は必要

• IPv6 を導入しない場合のリスク、IPv6 を導入するコストの

IPv6にすると何が良いの?

• L3の話しなので、利用者から見ると何も変わりません • IPv4 枯渇に対する現状唯一の根本解決策 • アドレスが潤沢にあるので NAT 不要 • 設計がシンプルに • VPN とか NAT 越えが難しいプロトコルも使える • 身の回りのものすべてにグローバルアドレスを余裕で割り当てるこ とができる • ゲーム機などの情報家電 • モバイル機器 • 各種センサー copyright (c) 2012 MURA ₁₁

覚えおきたい IPv6 重要キーワード

• RA • Router Advertisement / ルータ広告 • ND • Neighbor Discovery / 近隣探索 • ICMPv6 • ICMP の IPv6 版 • リンクローカル • セグメント内だけで有効な IPv6 アドレス

OSI7階層での位置づけ

IPv6の影響を受けるモノ/受けないモノ

• L3 以上で動作しているモノは IPv6 の影響を受ける • OS • Webブラウザー(IP通信をしているアプリケーション) • ルーター • L3スイッチ • ファイアウォール • L2 以下で動作しているモノは IPv6 の影響を受けない • LANケーブル • L2スイッチ

LANケーブル買ってきました

IPv4とIPv6は互換性がない

ユニキャストアドレスの例

表記と短縮方法

• 16ビットごとにコロンで区切った16進表現 • 2001:0db8:0001:0000:0000:0000:0000:cafe • 先頭の0は省略可能 • 2001:db8:1:0:0:0:0:cafe • 連続した0は１ヵ所だけ「::」に省略可能 • 2001:db8:1::cafe • プレフィックス(サブネットマスク)は CIDR と同様表現 • 2001:db8:1::cafe/64 • 詳細ルールはRFC5952参照

スコープの考え方

GUA と ULA

• GUA (Global Unicast Address)

• IPv4 で言う所のグローバル IP アドレス

• インターネット上でユニークな存在

• ULA (Unique Local Address)

• IPv4 で言う所のローカル IP アドレス

• インターネット上で使ってはならいない IP アドレス

1ノードに複数IPv6アドレス

• GUA • インターネット / サイト内部アクセス用 • ULA • サイト内部アクセス用 • リンクローカル • リンク内アクセス用(主に通信制御) copyright (c) 2012 MURA ₂₃

RAのフラグコントロール

M flag O flag 意味 ON ON アドレスとそれ以外の情報をDHCPv6で構成する(ステートフル) ON OFF アドレス構成はDHCPv6を使用するが、それ以外の情報は手動等の別の手段で設定する OFF ON アドレス構成にはRAを使用するが、それ以外の情報はDHCPv6を使用する(ステートレス) OFF OFF DHCPv6を使用しない copyright (c) 2012 MURA ₂₅

ND(Neighbor Discovery / 近隣探索)

ICMPv6

• IPv6 はICMPv6 に強く依存している

• RA

• ND

• Path MTU Discovery

• ICMPv6 を止めると IPv6 も機能しなくなる

Windows の IPv6 歴史

年月 出来事

1995/12 RFC 1884 IP Version 6 Addressing Architecture

1999/07 IANA より IPv6 アドレス割り当て開始

2002/09 Windows XP SP1 で IPv6 対応となったが､デフォルト無効

2003/03 Windows 2000 で IPv6 がテスト実装(Microsoft IPv6 Technology Preview) 2003/06 Windows Server 2003 で IPv6 対応となったが､デフォルト無効

2004/03 Windows Server 2003 IPv6 Ready Logo Phase 1 取得

2004/12 Windows CE 4.2 IPv6 Ready Logo Phase 1 取得

2006/11 Windows Vista IPv6 Ready Logo Phase 2 取得

2007/10 Windows Vista IPv6 デフォルト有効で発売開始

2008/01 Windows Server 2008 IPv6 Ready Logo Phase 2 取得 2008/02 Windows Server 2008 IPv6 デフォルト有効で発売開始 2009/10 Windows 7 IPv6 デフォルト有効で発売開始

2010/10 Windows 7 IPv6 Ready Logo Phase 2 取得

2011/06 World IPv6 Day(www.xbox.com が IPv6 対応)

2012/06 World IPv6 Launch(www.bing.com も IPv6 対応)

Windows の IPv6

• RFC に則した実装 • デュアルスタック環境では IPv4 より IPv6 が優先される • IPv6 アドレス自動構成はデフォルト有効 • クライアント OS では匿名アドレスが使われる • ホームグループは IPv6 で実装されている

Windows Server 2012(RC) で作る IPv6 環境

RAの実装

• L3中継装置に RA を実装するだけで IPv6 アドレスは自動構 成される

• IPv6 アドレスを自動構成するのに DHCP は不要

L3中継装置の設定

• L3 中継装置に GUA / ULA / リンクローカルアドレスを実装 • リンクローカルアドレスはリンクに閉じているので、

RAの実装と

ドメインコントローラーへのIP割当て

• ドメインコントローラーでは、IPv6 も手動で IPv6 アドレ スが割り当てが必要 • IPv4アドレスの割り当て • IPv6アドレスの割り当て • IPv6 アドレス自動構成の停止

• netsh interface ipv6 set interface [インターフェイスID] routerdiscovery=disable

ドメインコントローラー

ルーターガードでも RA が止まりそうな気が...

DNSの設定

• IPv4逆引きゾーンの作成

• IPv6(GUA)逆引きゾーンの作成 • IPv6(ULA)逆引きゾーンの作成

DHCPの設定

• IPv4 • サーバー オプション – _{006 DNS サーバー} – _{015 DNS ドメイン名} • スコープ – _{003 ルーター} • IPv6(ステートレス) • サーバー オプション – _{00023 DNS 再帰ネーム サーバーの IPv6 アドレス一覧} – _{00024 ドメイン検索一覧} copyright (c) 2012 MURA ₄₁

デュアル スタック 環境

• AAAA を持つインターネット公開サーバーには IPv6 で通信 する • ping • tracert • http アクセス • RA で O フラグを ON にしないと DHCPv6 が使用されない • IPv4 でも AAAA 問い合わせはできる copyright (c) 2012 MURA ₄₃

デュアル

スタック

環境

ファイルサーバーへのIPアドレス割当て

• ファイルサーバーでは、IPv6 アドレスの手動アドレス割当 ては不要 • IPv4アドレスの割り当て • IPv6アドレスは自動構成でOK copyright (c) 2012 MURA ₄₅

ファイルサーバー

への

IP割当て

通信の様子

• 有効な IPv6 アドレスが割り当てられている場合、

Windows ネットワークでは、全て IPv6 で通信がされる

匿名アドレスの問題

• 匿名アドレスは、一定時間経過または再起動時に更新される • Windows クライアント OS は、匿名アドレスで通信をする • 匿名アドレスは DDNS 登録されない → ポリシー違反をした PC が特定できない • 匿名アドレスを停止するには netsh か PowerShell で停止する

• netsh interface ipv6 set privacy state=disable

• Set-NetIPv6Protocol -UseTemporaryAddresses Disabled (PS3～)

匿名アドレスの

問題

まとめ

• インターネット接続をしているのであれば IPv6 導入は必要 • IPv6 は ICMPv6 に強く依存しているので、不用意に

ICMPv6 を止めない

• Windows Vista / Windows Server 2008 以降で IPv6 対応 • Windows Server 2012 と Windows 8 は当然 IPv6 対応!! • 通信監査をしている場合は、匿名アドレスを無効にする必要

あり

ありがとうございました

!!

Thank You!

copyright (c) 2012 MURA