はじめに xsp のルータにおいて設定を推奨するフィルタの項目について の IPv6 版 最低限 設定することが推奨されるフィルタ について まず議論したい 接続形態に変化はないので IPv6 対応をメインに IETF draft RIR でproposal 進行中のものについては今回の検討外とした

xSP

xSP

のルータにおいて設定を

のルータにおいて設定を

推奨するフィルタの項目について

推奨するフィルタの項目について

(IPv6

(IPv6

版

_版

)

₎

KDDI

KDDI

石原

石原

パワードコム

パワードコム

向井

向井

DTI

DTI

馬渡

馬渡

はじめに

はじめに

 

「

「

xSPのルータにおいて設定を推奨するフィルタの

_xSP

のルータにおいて設定を推奨するフィルタの

項目について

項目について

」の

」の

_IPv6

_IPv6

版

版

  「最低限、設定することが推奨されるフィルタ」について、「最低限、設定することが推奨されるフィルタ」について、 まず議論したい まず議論したい  

接続形態に変化はないので、

接続形態に変化はないので、

_IPv6

_IPv6

対応をメインに

対応をメインに



登場するアドレス

登場するアドレス

  default_default   ::/0_::/0   ループバックアドレスループバックアドレス   ::1/128_::1/128   未指定アドレス未指定アドレス   ::/128_::/128   IPv4_IPv4互換アドレス互換アドレス   ::ffff:/96_::ffff:/96   ::_::ffff:a.b.c.dffff:a.b.c.d   IPv4_IPv4射影アドレス射影アドレス   ::/96_::/96   ::_::a.b.c.da.b.c.d   リンクローカルアドレスリンクローカルアドレス   fe80::/10_fe80::/10   サイトローカルアドレスサイトローカルアドレス   fec0::/10_fec0::/10   もう使われないアドレスだけどもう使われないアドレスだけど   ユニークローカルアドレスユニークローカルアドレス 

 fec0::/7 _fec0::/7 New!  RFC4193   マルチキャストアドレスマルチキャストアドレス   ff00::/8_ff00::/8   ドキュメントアドレスドキュメントアドレス   2001:db8::/32_{2001:db8::/32}   自自AS_ASののprefixprefix   まさにまさに2001:db8::/32_{2001:db8::/32}の出番の出番     6to4_6to4

フィルタリングをするところ

フィルタリングをするところ

 

ピア接続

ピア接続

 

トランジット接続

トランジット接続

 

顧客接続

顧客接続

 

ルーター自身へのアクセス

ルーター自身へのアクセス

ピア接続

ピア接続

パケットフィルタリング

_{パケットフィルタリング}





_Ingress

_Ingress





_{source address}

_{source address}

が、ループバック、サイトローカ

が、ループバック、サイトローカ

ル、ユニークローカル、ドキュメント、マルチキャス

ル、ユニークローカル、ドキュメント、マルチキャス

トのパケットは、

トのパケットは、

_reject

_reject





source address

_{source address}

が、リンクローカルのパケットは

が、リンクローカルのパケットは

accept

accept





自

自

AS

_AS

の

の

prefix

prefix

を

を

reject

reject





_Egress

_Egress



ピア接続

ピア接続

経路フィルタリング

_{経路フィルタリング}





_Ingress

_Ingress

 

default、ループバック、リンクローカル、サイト

_default

、ループバック、リンクローカル、サイト

ローカル、ユニークローカル、ドキュメント、マルチ

ローカル、ユニークローカル、ドキュメント、マルチ

キャスト、自

キャスト、自

_AS

_AS

の

の

prefixを

_prefix

を

_{or longer}

_{or longer}

で

で

_reject

_reject





as

_as

-path filter

-

path filter

は特になし

は特になし





Egress

_Egress





自

自

AS

_AS

の

の

prefix

prefix

は集約して

は集約して

accept

accept

を

トランジット接続

トランジット接続

パケットフィルタリング

パケットフィルタリング





Ingress

_Ingress





source address

_{source address}

が、ループバック、サイトローカ

が、ループバック、サイトローカ

ル、ユニークローカル、ドキュメント、マルチキャス

ル、ユニークローカル、ドキュメント、マルチキャス

トのパケットは、

トのパケットは、

_reject

_reject





_{source address}

_{source address}

が、リンクローカルのパケットは

が、リンクローカルのパケットは

accept

accept





自

自

AS

_AS

の

の

prefixを

prefix

を

reject

reject





Egress

_Egress

特に必要なし

特に必要なし

トランジット接続

トランジット接続

経路フィルタリング

経路フィルタリング

 

Ingress

_Ingress

  default、ループバック、リンクローカル、サイトローカル、_default、ループバック、リンクローカル、サイトローカル、 ユニークローカル、ドキュメント、マルチキャスト、自 ユニークローカル、ドキュメント、マルチキャスト、自AS_ASのの prefix

prefixををor longer_{or longer}ででrejectreject



 as_as--path filterpath filterは特になしは特になし





Egress

_Egress



 default、ループバック、リンクローカル、ドキュメント、マル_default、ループバック、リンクローカル、ドキュメント、マル

チキャストを

チキャストをor longer_{or longer}ででrejectreject



顧客接続

顧客接続

パケットフィルタリング

_{パケットフィルタリング}





Ingress

_Ingress





source address

_{source address}

が、ループバック、サイトローカ

が、ループバック、サイトローカ

ル、ユニークローカル、ドキュメント、マルチキャス

ル、ユニークローカル、ドキュメント、マルチキャス

トのパケットを

トのパケットを

_reject

_reject





source address

_{source address}

が、リンクローカルのパケットは

が、リンクローカルのパケットは

accept

accept





トランジット顧客の場合、自

トランジット顧客の場合、自

AS

_AS

の

の

prefixが

prefix

が

source

source

address

address

のパケットを

のパケットを

reject

reject





Egress

_Egress

特に必要なし

特に必要なし

顧客接続

顧客接続

経路フィルタリング

_{経路フィルタリング}

 

BGP接続顧客を対象

_BGP

接続顧客を対象

 

_Ingress

_Ingress



 顧客に割り当てた顧客に割り当てたprefix_prefixををexactでexactでacceptaccept



 顧客からアナウンスされる可能性のある顧客からアナウンスされる可能性のあるprefixを_prefixをaccept_accept



 as_as--path filterpath filterは特になしは特になし

 

_Egress

_Egress

  default、ループバック、リンクローカル、サイトローカル、_default、ループバック、リンクローカル、サイトローカル、 ユニークローカル、ドキュメント、マルチキャストを ユニークローカル、ドキュメント、マルチキャストをor _or longer

longerででrejectreject



ルータ自身へのアクセス

ルータ自身へのアクセス

パケットフィルタリング

パケットフィルタリング

 

Ingress

_Ingress

  ルータで動かしているサービスのうち、アクセス可能なルータで動かしているサービスのうち、アクセス可能な source address

source addressを限定してを限定してaccept_accept



 TELNET / SSH / SNMP / FTP/ TFTP / NTP_{TELNET / SSH / SNMP / FTP/ TFTP / NTP}



 利用しないサービスはもちろん利用しないサービスはもちろんdisabledisable



 eBGP / iBGP_{eBGP / iBGP}ののneighbor addressのみneighbor addressのみ179/tcpで179/tcpでacceptaccept



 接続リンクにおいて、接続リンクにおいて、source address_{source address}がリンクローカルのがリンクローカルの パケットは パケットは_acceptaccept  

Egress

_Egress

特に必要なし 特に必要なし

経路フィルタリング（

経路フィルタリング（

_bogons

_bogons

_routes

_routes

）

）



 IANA_IANAからからRIRに割り振られたRIRに割り振られたprefixのみprefixのみacceptacceptする経路フィする経路フィ ルターについては、運用ポリシー次第？

ルターについては、運用ポリシー次第？



 例：例：



 2003::/16 prefix_{2003::/16 prefix}--lengthlength--range /19range /19--/32 accept/32 accept



 2600::/12 prefix_{2600::/12 prefix}--lengthlength--range /19range /19--/32 accept/32 accept



 2a00::/16 prefix2a00::/16 prefix--lengthlength--range /19range /19--/32 accept/32 accept



 他は他はrejectreject



 ちなみに、各ちなみに、各RIR_RIRのポリシーにより、のポリシーにより、IXIX、、critical internet infracritical internet infra に対する割り当て長が違うので、気をつける必要があります に対する割り当て長が違うので、気をつける必要があります



 ARIN_ARINだとだと/48_/48ががroot server_{root server}などに割り当てられていますなどに割り当てられています

IPv6

IPv6

で考慮されるもの

で考慮されるもの

6to4

6to4

::/8

::/8

/48 or longer

/48 or longer

6bone

6bone

6to4

6to4





RFC3068で定義されている

_RFC3068

で定義されている





_6to4

_6to4

の

の

_global

_global

なリレールータの

なリレールータの

_prefix

_prefix



 日本なら、日本なら、KDDI lab_{KDDI lab}さんがさんがoriginateoriginateしてる模様してる模様



 2002::/16 192.88.99.0/24でアナウンスされています。_{2002::/16 192.88.99.0/24}でアナウンスされています。 

 6to4 relay anycast address_{6to4 relay anycast address}

  192.88.99.1_192.88.99.1   2002:c058:6301:: _{2002:c058:6301::}   reject_rejectしないでね。しないでね。  

ピア、トランジット、顧客向けの経路フィルタリングで

ピア、トランジット、顧客向けの経路フィルタリングで

::/8

::/8

  IPv6IPv6への移行を目的としたアドレスへの移行を目的としたアドレス   IPv4IPv4互換アドレス互換アドレス   ::/96 ::/96 自動設定トンネリングで利用自動設定トンネリングで利用(RFC2893)(RFC2893)   IPv4IPv4射影アドレス射影アドレス 

 ::ffff:/96 IPv6::ffff:/96 IPv6ノードがノードがIPv4IPv4ノードと通信する際にノードと通信する際にIPv6IPv6ノード内部で利用ノード内部で利用



 特殊な特殊なUnicast address(RFC3513)Unicast address(RFC3513)



 未指定アドレス未指定アドレス(unspecified address)(unspecified address)



 ::/128 neighbor discovery::/128 neighbor discoveryで利用で利用

  IPv6IPv6ルータは転送すべきでないと書かれているルータは転送すべきでないと書かれている   ループバックアドレスループバックアドレス   ::1/128::1/128   IPv6IPv6ノードはノードはsrcsrc/ / dstdstにループバックアドレスが設定されている場合、そのノードから送信すべにループバックアドレスが設定されている場合、そのノードから送信すべ きではないと書かれている きではないと書かれている   これらこれら::/8_::/8のパケットフィルタリング、経路フィルタリングはどうしましょう？のパケットフィルタリング、経路フィルタリングはどうしましょう？

/48 or longer

/48 or longer

の

の

prefix

prefix





今のところ、

今のところ、

/48より長い

_/48

より長い

prefix

_prefix

は

は

site

site

に割り当

に割り当

てはされない

てはされない





accept ? reject ?

_{accept ? reject ?}

運用ポリシー次第でどちら

運用ポリシー次第でどちら

でも

6bone

6bone

 

RFC2471

_RFC2471

で定義

で定義

 

3ffe::/16

_3ffe::/16

 

2006年

₂₀₀₆

年

6

₆

月

月

6

6

日に終了予定と

日に終了予定と

RFC3701で書かれ

RFC3701

で書かれ

ている

ている

 

6bone

_6bone

終了後は、パケットフィルタリング、経

終了後は、パケットフィルタリング、経

路フィルタリングともに

路フィルタリングともに

_reject?

_reject?

参考資料

参考資料

 

xSP

_xSP

のルータにおいて設定を推奨するフィル

のルータにおいて設定を推奨するフィル

タの項目について

タの項目について

_,

_,

http://www.bugest.net/irs/

http://www.bugest.net/irs/





IPv6 BGP filter recommendations,

_{IPv6 BGP filter recommendations,}

http://www.space.net/~gert/RIPE/ipv6

http://www.space.net/~gert/RIPE/ipv6

-

-filters.html

filters.html

参考資料

参考資料





IANA

_IANA



 IPv6 Address Space_{IPv6 Address Space}, ,

http://www.iana.org/assignments/ipv6

http://www.iana.org/assignments/ipv6--addressaddress--spacespace





RFC

_RFC



 IPv6 Testing Address Allocation, RFC2471_{IPv6 Testing Address Allocation, RFC2471}



 Transition Mechanisms for IPv6 Hosts and Routers, _{Transition Mechanisms for IPv6 Hosts and Routers,} RFC2893

RFC2893



 An Anycast Prefix for 6to4 Relay Routers, RFC3068_{An Anycast Prefix for 6to4 Relay Routers, RFC3068}



 Internet Protocol Version 6 (IPv6) Addressing _{Internet Protocol Version 6 (IPv6) Addressing} Architecture, RFC3513

Architecture, RFC3513