1 © 2010 Cisco and/or its affiliates. All rights reserved.
IPv6共存/移行
ネットワーク最適化を実現する
シスコの
IPv6ソリューション
2011年6月8日
•
Why IPv6
•
EnterpriseへのIPv6導入
Campus
WAN
© 2010 Cisco and/or its affiliates. All rights reserved. 3
IPネットワークへ接続するデバイスが急増する
中、
IANAが保有するIPv4アドレスが枯渇
IPv4に置き換わるプロトコルとしてService
© 2010 Cisco and/or its affiliates. All rights reserved. 4
IANA (ICANN)
RIPE NCC
(欧州)
ARIN
(北米)
APNIC
(アジア太平洋)
LACNIC
(中南米)
AfriNIC
(アフリカ)
JPNIC
NIR
LIR
EU
LIR
指定事業者
EU
EU
EU
ISP
EU
ISP
ISP
EU
EU
RIR
NIR
LIR
ISP
EU
2011/2/3 IPv4アドレス枯渇
2011年4月15日
APNIC同様2011年4月15日
インターネット
Data Center
Internet Web Server
Enterprise
Consumer
Mobile
Broadband
IPv4
IPv6
グローバルIPv4アドレス
が枯渇している
しかし、グローバルIPアドレスが
なぜ必要
か?
グローバルIPアドレスが割当られないと
何が問題
なのか?
既存のIPv4ネットワークが無くなる事は暫く無い
IPv6へ移行では無く、
IPv4/IPv6の共存
が求められている
7 © 2010 Cisco and/or its affiliates. All rights reserved.
ネットワーク接続機器
(プリンタ、
IP-FAX、IP監視カメラ等)
ネットワークインフラ
(
LAN、WAN)
サーバープラットフォーム
データセンターネットワーク
社内システム
/アプリケーション
モバイルユーザ(
VPN)
インターネット回線
(プロバイダ選択)
コミュニケーションインフラ
(
IP電話、TV会議等)
クラウドサービス
クライアント端末
PC/スマートフォンなど
社外向けサーバー
(DNS、Webサーバー等)
ルータ(
L3スイッチ)
ファイヤウォール
© 2010 Cisco and/or its affiliates. All rights reserved. 9
ネットワーク接続機器
(プリンタ、
IP-FAX、IP監視カメラ等)
ネットワークインフラ
(
LAN、WAN)
サーバープラットフォーム
データセンターネットワーク
社内システム
/アプリケーション
インターネット回線
(プロバイダ選択)
コミュニケーションインフラ
(
IP電話、TV会議等)
クラウドサービス
クライアント端末
PC/スマートフォンなど
ルータ(
L3スイッチ)
ファイヤウォール
モバイルユーザ(
VPN)
社外向けサーバー
(DNS、Webサーバー等)
Windows Vista、
Windows 7、MacOS、
iOS、Androidは既に
IPv6 Ready
IPv6
対応
クライアント端末
PC/スマートフォンなど
ネットワーク接続機器
(プリンタ、
IP-FAX、IP監視カメラ等)
ネットワークインフラ
(
LAN、WAN)
サーバープラットフォーム
データセンターネットワーク
社内システム
/アプリケーション
インターネット回線
(プロバイダ選択)
コミュニケーションインフラ
(
IP電話、TV会議等)
クラウドサービス
ルータ(
L3スイッチ)
ファイヤウォール
モバイルユーザ(
VPN)
社外向けサーバー
(DNS、Webサーバー等)
IOSではIPv6機能は標準機能
Catalystシリーズ、
CiscoルータISRシリーズ
CiscoルータASRシリーズ
Cisco Aironet シリーズ
IPv6
対応
IPv6
対応
IPv6
対応
IPv6
対応
ASA 5500シリーズ
IPv6ステートフルファイヤウォール
ステートフルフェイルオーバー対応
© 2010 Cisco and/or its affiliates. All rights reserved. 11
インターネット回線
(プロバイダ選択)
ルータ(
L3スイッチ)
ファイヤウォール
ネットワーク接続機器
(プリンタ、
IP-FAX、IP監視カメラ等)
ネットワークインフラ
(
LAN、WAN)
社内システム
/アプリケーション
クラウドサービス
クライアント端末
PC/スマートフォンなど
モバイルユーザ(
VPN)
社外向けサーバー
(DNS、Webサーバー、メールサーバー等)
サーバープラットフォーム
データセンターネットワーク
コミュニケーションインフラ
(
IP電話、TV会議等)
IPv6
対応
IPv6
対応
IPv6
対応
IPv6
対応
IPv6
対応
IPv6
対応
IPv6
対応
中長期で
IPv6化
Cisco Unified Communicationも
IPv6対応開始(CUCM 7.1~)
主要な製品は
IPv6対応済み
Windowsサーバー
Linuxサーバー等
ネットワークインフラ
(
LAN、WAN)
インターネット回線
(プロバイダ選択)
クライアント端末
PC/スマートフォンなど
ルータ(
L3スイッチ)
ファイヤウォール
社外向けサーバー
(DNS、Webサーバー、メールサーバー等)
サーバープラットフォーム
データセンターネットワーク
コミュニケーションインフラ
(
IP電話、TV会議等)
ネットワーク接続機器
(プリンタ、
IP-FAX、IP監視カメラ等)
社内システム
/アプリケーション
モバイルユーザ(
VPN)
クラウドサービス
インターネット上のサー
ビスが
IPv6対応
ASA5500 & AnyConnect
社内システムの
IPv6化
に伴い
IPv6対応必要
仮想化、クラウド化等と
共に
IPv6対応
IPv6 only環境にするた
めには
IPv6対応必要
IPv6
対応
IPv6
対応
IPv6
対応
IPv6
対応
IPv6
対応
IPv6
対応
IPv6
対応
IPv6
対応
IPv6
対応
IPv6
対応
IPv6
対応
13 © 2010 Cisco and/or its affiliates. All rights reserved.
STEP 1.
IPv6
Network
Network
IPv6
IPv6
Host
トンネル技術
Configured
6to4 Tunnel
LISP
IPv6
Host
既存
IPv4網
IPv4: 192.168.99.1
IPv6: 2001:db8:1::1/64
IPv6/IPv4
Dual Stack
IPv6
IPv4
NAT-PT
NAT-PT
IPv6
IPv4
Dual Stack
IPv4 and IPv6 Addresses
ISATAP
Router
IPv4 ONLY
ISATAP
Tunneling
トンネル技術
Configured
6to4 Tunnel
LISP
© 2010 Cisco and/or its affiliates. All rights reserved. 15
For the Enterprise
環境条件
導入シナリオ
Cisco
IOS
Support
WAN
ISPがIPv6サービス可能であり、WANルータも
IPv6対応である。
Dual Stack
Yes
専用線接続環境, e.g. LL, ATM and FR PVC,
sWDM Lambda
Dual Stack
Yes
ISPがIPv6サービスを行っていない 又は WAN
Core がIPv6使用不可能な場合
Configured
Tunnels
Yes
ISPがIPv6サービスを行っておらず、多サイト間で
IPv4 Any to Anyの接続が必要な場合
6to4, LISP
Yes
Campus
L3ネットワークとしてIPv6対応可能な場合
Dual Stack
Yes
L3ネットワークとしてIPv6対応不可な場合、又は
ENTERPRISEにおけるIPv6導入:
CAMPUS
© 2010 Cisco and/or its affiliates. All rights reserved. 17
Distribution
Layer
Access
Layer
Core
Layer
Aggregation
Layer
IPv6
Server
Layer 3
Example
•
Dual-Stackまたは
ISATAPを使用した例
•
IPv6非対応L3機器が
存在する場合には、
ISATAPによりIPv6ホ
スト-
IPv6対応L3機器
間を
“tunnel”で接続す
る。
L2
v6-Enabled
-v6-Enabled
v6-Enabled
Not-v6-Enabled
Dual
Stack
D
ual
S
tack
ISA
T
AP
ISATAP Enable:
Windows PC
MacOS
Linux
DualStack Enable:
Windows PC
MacOS, Linux
IPv6 L3
IPv4 L3
ISATAP対応機器
Catalyst 6500
Catalyst 4500
Ciscoルーター
DualStack対応LANsw機器
Catalyst 6500
Catalyst 4500
Catalyst 3750X/3750E
Catalyst 3560X/3560E
•
IPv4と同様にIPv6についてもH/W
Forwarding対応のL3機器を採用
L2スイッチについては、Multicastの制御以外
においては影響なし。(
Multicastを制御するた
めには
MLD Snoopingが必要。)
•
Control PlaneにおけるIPv4/IPv6 Dual
Stack対応が必須
Stateless Autoconfiguration
Routing protocols
•
AdvancedなIPv6機能の導入
IPv6 multicast / QoS
•
Access-controlによるSecurityの確保
IPv6 option headersにも要対応
•
VLAN/L2設計はIPv4 と IPv6で共通
Data Center
WAN and Internet
Access
© 2010 Cisco and/or its affiliates. All rights reserved. 19
v4
v4
v4
v4
v6/v4
IPv6 world
境界のルータだけ
IPv6化し
ても、サイト内には
IPv4装
置が沢山あり、サイト全体
の
IPv6化は困難
IPv6を使用したい
IPv6を使用したい
IPv6を使用したい
IPv6を使用したい
IPv6対応
できない
ISATAPルータ
v4
v4
v4
v4
v6/v4
IPv6 world
PREFIX
::5efe:a.b.c.d
a.b.c.d
IPv6アドレスをIPv4アドレスから自動生成
サイト内が1つの
NBMAネットワークに見える
a.b.d.e
PREFIX
::5efe:a.b.d.e
PREFIX
::5efe:a.b.f.1
PREFIX
::5efe:a.b.1.5
ISATAPルータ
domain: cisco.com
DNS名“isatap.cisco.com”で
ISATAPルータのIPv4アドレス
を認知。
ISATAPルータから
IPv6のPREFIX情報を取得
© 2010 Cisco and/or its affiliates. All rights reserved. 21
ISATAP
ipv6 unicast-routing
ipv6 cef
!
interface Loopback0
description ISATAP address for Access Layer
ip address 10.1.1.1 255.255.255.255
!
interface GigabitEthernet2/10
ipv6 address 2001:DB8:C003:111C::2/64
ipv6 cef
!
interface Tunnel0
ipv6 address
2001:DB8:C003:111F::/64 eui-64
no ipv6 nd suppress-ra
ipv6 enable
tunnel source Loopback0
tunnel mode ipv6ip
isatap
Non-v6 Switchには変更不要
Interface ID
IPv4 Addr.
64-bit Unicast Prefix
0000:5EFE:
32-bit
32-bit
2001:DB8:C003:111F:0:5EFE:
10.1.2.100
クライアント
PCはDNSでISATAP
ルータを検知!
DNS上に、isatap.xxxx.xxxの“A”
Recordを作成。
Windows OSではDefaultで動作
DNSを使用しない場合、クライアント
PCにStaticな設定が可能:
C:¥>netsh interface ipv6
isatap set router 10.1.1.1
※現在ISATAPはMulticast未対応です!!
10.1.2.100
Catalyst 3750X
Catalyst 3560X
Catalyst 3560
compact
Nexus 7000シリーズ
Catalyst 6500シリーズ
Catalyst 4500シリーズ
Catalyst 2960/2960S
(
※L2sw:管理機能IPv6対応)
23 © 2010 Cisco and/or its affiliates. All rights reserved.
ENTERPRISEにおけるIPv6導入:
WAN
Dual
Stack
WAN回線
サービス
Corporate
Network
Dual Stack
Example
•
Ciscoのルータ製品はすべて
IPv6 対応しております。
•
IPv6を通せる回線サービス(広
域
L2 LANサービス、DualStack
IP-VPNサービスなど)を利用し
ている場合には、導入の容易さ、
セキュリティ、パフォーマンスの
面から、
Dual-stackでの導入を
推奨します。
Dual Stack
IPv6対応
IPv6対応
IPv6対応
IPv6対応
専用線、
ISDN、ATM、
広域
L2サービスなど
© 2010 Cisco and/or its affiliates. All rights reserved. 25
IPv4
WAN回線
サービス
Corporate
Network
Dual Stack
Example
•
IPv6が通らない回線サービス
(IP-VPNサービスなど)を利用し
ている場合、トンネル技術の利
用を検討
•
トンネル技術(
IPv6 over IPv4)
1.
Configuredトンネル
2.
6to4
3.
ISATAP
4.
LISP
IPv4
IPv6対応
IPv6対応
IPv6対応
IPv6対応
ISATAPルータ
IP-VPN、
Internet-VPNなど
ISATAP
IPv6 over IPv4
Configured Tunnel
IPv4
IPv6
Network
Network
IPv6
IPv6
Host
Dual-Stack
Router
Dual-Stack
Router
Host
IPv6
ipv6 unicast-routing
ipv6 cef
!
interface Tunnel0
no ip address
ipv6 address 2001:DB8:C003:1104::1/64
ipv6 cef
tunnel source Serial0/0
tunnel destination 192.168.0.1
tunnel mode
ipv6ip
!
interface FastEthernet0/0
ipv6 address 2001:DB8:C003:111E::1/64
ipv6 cef
!
interface Serial0/0
ip address 10.1.1.1 255.255.255.252
ipv6 unicast-routing
ipv6 cef
!
interface Tunnel0
no ip address
ipv6 address 2001:DB8:C003:1104::2/64
ipv6 cef
tunnel source Serial0/0
tunnel destination 10.1.1.1
tunnel mode
ipv6ip
!
interface FastEthernet0/0
ipv6 address 2001:DB8:C003:111F::1/64
ipv6 cef
!
interface Serial0/0
ip address 192.168.0.1 255.255.255.252
© 2010 Cisco and/or its affiliates. All rights reserved. 27
•
IPv4 IPSec Tunnel上でconfigured 又は 6to4 tunnelsを動かすことによって
IPv6 VPNを構築可能
(
Native IPv6でのIPSecがSupportされるまでの暫定策)
Primary IPv6 Tunnel
Secondary IPv6 Tunnel
Branch 1
Branch 2
IPv4
Internet
Corporate
Network
VPN HE1
VPN HE2
IPv6 Configured Tunnel
IPv4
IPv6
Network
Network
IPv6
6to4
Router2
6to4
Router1
100.168.99.1
100.168.30.1
Network Prefix:
2002:64A8:6301::/48
2002:64A8:1E01::/48
Network Prefix:
=
=
E0
E0
interface Loopback0
ip address 100.168.30.1 255.255.255.0
ipv6 address 2002:64A8:1E01:1::/64 eui-64
!
interface Tunnel0
no ip address
ipv6 unnumbered Ethernet0
tunnel source Loopback0
tunnel mode ipv6ip
6to4
!
ipv6 route 2002::/16 Tunnel0
•
6to4 tunnel:
IPv4グローバルアドレスから自動的に
IPv6 Prefixを生成
6to4 Address Range=2002::/16
それぞれの
SiteにIPv4グローバルアド
レスが必要
(no RFC 1918)
2002
Public IPv4
Address
/48
/64
/16
Interface ID
© 2010 Cisco and/or its affiliates. All rights reserved. 29
•
6to4 relay:
6to4 SiteからIPv6 Internetへ
アクセスするための
Gateway
Site。
6to4 Siteから見たDefault
router
Anycast address (RFC 3068)
for multiple 6to4 relay
(192.88.99.1)
IPv6 Address:
2002:64A8:1E01::1
IPv4
IPv6
Network
IPv6
Network
6to4
Router1
100.168.99.1
Network Prefix:
2002:64A8:6301::/48
=
6to4
Relay
IPv6 Internet
interface Loopback0
ip address 100.168.99.1 255.255.255.0
ipv6 address 2002:64A8:6301:1::/64 eui-64
!
interface Tunnel0
no ip address
ipv6 unnumbered Ethernet0
tunnel source Loopback0
tunnel mode ipv6ip 6to4
!
ipv6 route 2002::/16 Tunnel0
© 2010 Cisco and/or its affiliates. All rights reserved. 30
“
… routing scalability is the most important
problem facing the Internet today and
must be solved …
”
Internet Architecture Board (IAB)
October 2006 Workshop (written as RFC 4984)
Overview
開発背景
•
インターネットが直面している
IPアドレス
経路爆発に対応するために考案
•
IPアドレスはLocatorとIDが不可分
経路の増加を促している
•
IPv6を導入しても解決しない
•
経路爆発が引き起こす問題
•
ルータの転送テーブル(
FIB)を保持す
る高速かつ高価なメモリが必要
•
ネットワークのアップグレードコスト負担
•
経路収束時間増
インターネットの安
定性と信頼性を低下
Without
LISP
© 2010 Cisco and/or its affiliates. All rights reserved. 31
Internet
ホストの
IPv4やIPv6アドレ
スは
identity(端末識別)
と
location(位置情報)
の両方
を表す
今日のインターネットの振る舞い
Locator/ID の一体化によるオーバーロード
x.y.z.1
ホストが異なるサイトに移動すると、
そのサイトで新しい
identity
と
location
のためのアドレスを取得し
なければならない
w.z.y.9
端末の
IPv4やIPv6アド
レスは
identity
のみ
ホストが移動しても同じ
identity
を保持
LISPの振る舞い
Locator/ID の分離
Internet
a.b.c.1
e.f.g.7
Location
のみ変更
x.y.z.1
x.y.z.1
location
はルータが
持っている
“location” と “identity” とは?
IOS 15.1(4)M~、NXOS 5.0(3)~
LISP正式サポート開始
DNSは URL から IPアドレス を解決する
LISPは
EID
から
RLOC
を解決する
host
DNS
URLのIPアドレス解決
LISP
接続先ルータの
IPアドレス解
決
[ who is www.cisco.com ] ?
LISP
router
DNS
Server
LISP
Mapping
System
[ 198.133.219.25 ]
[ where is
x.y.z.1
] ?
[ location is
a.b.c.1
]
LISPのマッピング解決
© 2010 Cisco and/or its affiliates. All rights reserved. 33
IPv4 Outer Header:
RLOC
ルータのアドレス
IPv4 Inner Header:
EID
ホストのアドレス
LISP
header
UDP
draft-ietf-lisp-09
IPv4 EID / IPv4 RLOC の例
IPv4
Internet
IPv6
Internet
v6
v6
v4
v6
LISP
router
LISP
router
v6
services
IPv6 Transition Support
v6-over-v4
, v6-over-v6
v4-over-v6, v4-over-v4
Data
Center 1
Center 2
Data
a.b.c.1
VM
a.b.c.1
VM
VM move
LISP
routers
routers
LISP
Internet
VM-Mobility
Cloud / Layer 3 VM moves
Segmentation
LISP 利用方法例
HQ LISP
Site
Internet
Data
Center
Network
User
Remote
LISP Site
Remote
LISP Site
Remote
LISP Site
. . 10k . .
LISP Site
Remote
High-Scale VPNs
Reduced CapEx/OpEx
Segmentation
Efficient Multi-Homing
IP Portability
Ingress Traffic Engineering without BGP
LISP
routers
LISP
Site
© 2010 Cisco and/or its affiliates. All rights reserved. 35
LISP Virtualization
EID
と
RLOC
のネームスペースを仮想化する技術
LISP “Instance-ID”を利用してコントロールプレーンとデータプレーンの
アドレススペースを分離
Instance-ID
24-bitの任意の値
Data-plane: LISPのヘッダーに格納
Control-plane: LCAF formatでEIDに付加
Instance-ID
VLAN Tagの様にパケットに識別子を
つける技術
共有マッピング
システム
(IID1,
10.1.0.0/16
)
(IID1,
10.2.0.0/16
)
(
IID2
,
10.2.0.0/16
)
(
IID2
,
10.1.0.0/16
)
コントロールプレーン
MSMR
MSMR
xTR2
xTR4
xTR3
共有ネットワーク
xTR1
重複する
EIDプレフィックスのアドレス空間をInstance IDと使って分離
IID
EID
RLOC
1
10.1.0.0/16
xTR1
1
10.2.0.0/16
xTR2
2
10.1.0.0/16
xTR3
© 2010 Cisco and/or its affiliates. All rights reserved. 37
共有マッピング
システム
MSMR
MSMR
共有ネットワーク
(
IID2
,
10.1.0.0/16
)
(IID1,
10.1.0.0/16
)
(IID1,
10.2.0.0/16
)
(
IID2
,
10.2.0.0/16
)
データプレーンプレーン
xTR3
xTR1
xTR2
Instance ID毎にVRFでルーティングインスタンスを分離
共有
RLOC
IID
EID
RLOC
1
10.1.0.0/16
xTR1
1
10.2.0.0/16
xTR3
2
10.1.0.0/16
xTR2
2
10.2.0.0/16
xTR3
VRF
IID
EID
RLOC
BLU
E
1
10.2.0.0/16
xTR3
© 2010 Cisco and/or its affiliates. All rights reserved. 38
•
IPv6 QoS (MQC)
QoS
www.cisco.com/go/fn
•
IPv6 standard /extended ACL
•
IPv6 IPSec authentication for
OSPFv3
•
IPv6 firewall (Stateful)
Security
•
RIPng、 OSPFv3
•
IS-IS for IPv6、 MT IS-IS
•
MP-BGP IPv6 Unicast
•
MP-BGP IPv6 Multicast
•
Policy-based routing
• LISP
• HSRP for IPv6
• VRFv6
Routing
Broadband Access
• Cisco VSA AAA
• RADIUS AAA (RFC 3162)
• PPPoA, PPPoE, RBE and
ATM 1483 encapsulations
• DHCPv6 prefix delegation
(RFC3633)
• Stateless DHCP (RFC 3646)
• Generic prefix
• DHCPv6 Server
• DHCPv6 Relay Agent
• MLDv1 and v2
• MLD access group
• PIMv2 SM, SSM, Bi-Dir
• PIM embedded RP
• IPv6 MC over IPv4 tunnels
• Scope boundaries
• Static mRoutes
Multicast
• Configured and automatic
tunnels (RFC 2893)
• 6to4 (RFC 3056 and 3068)
• IPv6 over GRE/IPv4
• IPv6 over MPLS (6PE)
• ISATAP
• NAT-PT phase I and II
(RFC 2765 and 2766)
• IP over IPv6 tunnels
Integration
•
IPv6 (RFC 2460)
•
ICMPv6 (RFC 2463)
•
Neighbor discovery (RFC 2461)
•
Stateless auto-configuration
•
Anycast
•
CEFv6/dCEFv6
•
uRPF
•
CEFv6 switched tunnels
Core
•
Telnet, TFTP, DNS resolver, HTTP,
Ping, Traceroute, SSH, SNMP, sylog
•
IP-SLA
•
Cisco IP and IP-Forwarding MIBs
•
Netflow for IPv6
Applications and Mgnmt
39 © 2010 Cisco and/or its affiliates. All rights reserved.
ENTERPRISEにおけるIPv6導入:
Firewall & Remote Access
IPv6対応ステートフルファイヤウォール
IPv6ステートフルフェイルオーバー対応
高パフォーマンス
ファイアウォールスループット:40 Gbps *
IPS スループット:10 Gbps*
VPNリモートアクセス:10,000 ユーザ対応
インベストメント プロテクション
ビジネス成長に必要不可欠な拡張機能
を実現するハードウェア
先進的なマルチセキュリティサービス
Botnet Traffic Filtering と Global Correlation
によるセキュリティサービス
Cisco AnyConnectとの連携
クラウドコンピューティングの台頭、モビリティデバイスの増加の現代にお
いて求められる性能を高水準で実現したファイアウォール
*最上位機種(SSP60)にて実現
新製品情報
© 2010 Cisco and/or its affiliates. All rights reserved. 41
マルチサービス
(ファイアウォール/ VPN / IPS)
パフ
ォ
ー
マ
ンス
/ス
ケー
ラ
ビ
ィ
テ
ィ
データセンタ
大企業
支社
SOHO
インターネット
エッジ
ASA 5585 SSP-60
(40 Gbps, 350K cps)
ASA 5585 SSP-40
(20 Gbps, 200K cps)
ASA 5585 SSP-20
(10 Gbps, 125K cps)
ASA 5585 SSP-10
(4 Gbps, 50K cps)
ASA 5540
(650 Mbps,25K cps)
ASA 5520
(450 Mbps,12K cps)
ASA 5510
(300 Mbps,9K cps)
ASA 5505
(150 Mbps, 4K
cps)
ASA 5550
(1.2 Gbps, 36K cps)
NEW
NEW
NEW
NEW
ファイアウォール
/ VPN
アプライアンス
FWSM
(5 Gbps, 100K cps)
ASA SM
(20 Gbps, 300K
cps)
ファイアウォール
モジュール
(VPNもサポート予定)
NEW
新製品情報
•
インテリジェントな接続制御
–
ゲートウェイ選択の最適化
–
ネットワーク接続品質による制御
–
IPv6 対応(IPv6 over IPv4)
•
セキュリティ機能の拡張
–
Always On VPN
–
接続時端末検疫機能の拡張
•
きめ細かいユーザサポート機能
ホットスポット/限定的なアクセス環境の検
知と状態の通知
VPN接続時にもローカルのネットワークプリ
ンタ利用が可能
43 © 2010 Cisco and/or its affiliates. All rights reserved.
ENTERPRISEにおける
IPv6を導入
Neighbor Discoveryの問題
→LAN内からの不正アクセス
不正トンネル
(Teredoトンネル)
→LAN外からの不正アクセス
IPv4 Intranet
IPv6 Internet
IPv4 Internet
IPv6 Client
攻撃者
攻撃者
IPv4ネットワーク
||
IPv6トラフィックを
監視していない
L2の機能で防御 (IPv4と同じ対策)
Private VLAN
Port Security, 802.1x
Teredo対策が必要(次ページ)
© 2010 Cisco and/or its affiliates. All rights reserved. 45
