Presentation is loading. Please wait.

Presentation is loading. Please wait.

BSD Unixにおいて IPv6 を有効にした際に発生する課題とその対策

Published byえみ つねざき Modified 約 7 年前

Similar presentations

Presentation on theme: "BSD Unixにおいて IPv6 を有効にした際に発生する課題とその対策"— Presentation transcript:

1 BSD Unixにおいて IPv6 を有効にした際に発生する課題とその対策
WIDE Project /アラクサラネットワークス(株) 鈴木伸介 All rights reserved. Copyright(c)2006 WIDE Project

2 All rights reserved. Copyright(c)2006 WIDE Project
Abstract DNS AAAA Queryに対する異常応答 アドレスファミリー未指定時のA/AAAA Query順序 DNSサーバアドレス検出 Source Address Selection Default Gateway Selection まとめ All rights reserved. Copyright(c)2006 WIDE Project

3 All rights reserved. Copyright(c)2006 WIDE Project
AAAA Queryに対する異常応答 AAAA Queryにより異常な応答をするDNSサーバがあると、AAAA Queryを行ったときのタイムアウト待ちにより、通信遅延が発生 (RFC4074) IPv6で問い合わせたとき限定の症状 *BSDでの対応 Queryが無視される A/AAAA Queryの順番を細工 (抜本解ではないが…) エラーメッセージが返ってくる (ホスト名不在=NXDOMAIN) Lame Delegationになる エラーメッセージが返ってくる (「ホスト名不在」以外) エラーメッセージをトリガーに次のアクション (アプリケーション依存) 壊れたrecordが返ってくる 壊れたrecordを廃棄 All rights reserved. Copyright(c)2006 WIDE Project

4 アドレスファミリー未指定時のA/AAAA Query順序の工夫
一般的にはアプリケーション依存 普通は*BSD付属のライブラリの実装依存 OS Query順序 NetBSD, OpenBSD, FreeBSD (~5.3) AAAA→A FreeBSD (5.4~) A→AAAA KAME SNAP 非link-local IPv6アドレスの有無で順序を変える あり: AAAA→A なし: A→AAAA All rights reserved. Copyright(c)2006 WIDE Project

5 A/AAAA Query順序の調整だけでは回避しきれないケース
端末がA Query, AAAA Queryを送信 A Queryにより、IPv4アドレスを学習し通信 (OK) AAAA Queryにより、キャッシュDNSサーバに「ホスト名不在」によるnegative cache生成 以降キャッシュDNSサーバにA Queryしても、IPv4アドレスを学習できない(NG) host1(A)= A Query for host1 キャッシュDNSサーバ 端末1 host1=(ホスト名なし) A Query for host1 キャッシュDNSサーバ 端末1 AAAA Query for host1 Host1=(ホスト名なし) host1=(ホスト名なし) キャッシュDNSサーバ 端末2 All rights reserved. Copyright(c)2006 WIDE Project

6 A/AAAA Query順序の調整だけでは回避しきれないケース (cont.)
AAAA Queryを行う限り「答えのないAAAA Queryのタイムアウト待ち」は避けられない KAME SNAPでは、A Queryの応答時間から適当なタイムアウト値を推測し、タイムアウト時間を必要最小限にしている。 いずれのケースも端末側ではどうしようもない AAAA Queryに異常応答をするDNSサーバの修正が必須 駄目な場合は、アプリケーション毎の対応が不可避 (e.g. mozilla) All rights reserved. Copyright(c)2006 WIDE Project

7 All rights reserved. Copyright(c)2006 WIDE Project
DNSサーバアドレス検出 各配布方法への対応状況 RA配布: 未対応 DHCPv6配布: 対応済 (WIDE-DHCPv6) Well-known Anycast address: 対応済 (手設定) 根本的な問題 どれが標準? IETFでも標準化作業が頓挫… 仮に標準が決まったとして DNSサーバのIPv4アドレス,IPv6アドレスがあるときどちらを優先すべきか? All rights reserved. Copyright(c)2006 WIDE Project

8 DNSサーバのIPv4/IPv6アドレスの優先度問題
IPv4/v6 Dual-Stack化により顕在化 DNSサーバアドレスをDHCPv4,v6両方で学習 c.f. 類似問題 DNSサーチパスをDHCPv4,v6両方で学習 Policy Tableを複数の上流ISPから学習 Default Routerを複数の隣接ルータから学習 想定される問題 Queryの回数が無駄に増える 「なりすましDNSサーバ」への誘導に悪用することも可能 特にIPv4 onlyセグメント内で「なりすましDNSサーバのIPv6アドレス」が広告されても、ネットワーク管理者は見つけにくい DNSサーバ(v4) DNSサーバ(v6) PC なりすましDNSサーバ兼DNSサーバ広告サーバ All rights reserved. Copyright(c)2006 WIDE Project

9 *BSDでのDNSサーバのIPv4/IPv6アドレスの優先度
OS付属のDHCPv4 clientでDNS情報取得 DHCPv6クライアント(WIDE-DHCPv6)も、デフォルトでは取得したDNS情報を端末に反映しない 必要な人だけ、DHCPv6 clientで取得した情報を/etc/resolv.conf へ反映するよう設定 実用上はこれで特に問題ないでしょう All rights reserved. Copyright(c)2006 WIDE Project

10 Source Address Selection
RFC3484実装状況 longest-match rule = 全ての*BSDで実装済 Policy Table = 一部の*BSDで実装済 FreeBSD: 5.2~ NetBSD: まだ (KAME-SNAPでは実装済) OpenBSD: まだ (KAME-SNAPでは実装済) ただしいずれも手動設定 (ip6addrctl)で、DHCPv6などと連動した自動設定は未サポート All rights reserved. Copyright(c)2006 WIDE Project

11 Source Address Selection (cont.)
Policy Table自動設定が未サポートな背景 標準化がまだ 汎用的なPolicy Table自動設定は非常に難しい IPv6マルチホーム問題そのもの 一部の場合(e.g. 閉域網とInternetの同時使用)には簡単かつ効果的 上の効果的なパターンは「Unique Local Address (RFC4193) とlongest-match ruleの併用」でも対応可 Policy Table自動設定ならば/48よりも広いアドレス空間でも有効 そのメリットも、FC00::/8 (centrally-managed Unique Local Address) のRegistry割当が始まればなくなる可能性大 All rights reserved. Copyright(c)2006 WIDE Project

12 Default Gateway Selection
Router Preference ルータ側 = 全*BSD対応済 端末側 = 一部BSD端末で使用可能 FreeBSD: 6.1~ NetBSD: -current (Jan 2006) OpenBSD: (KAME-SNAPのみ) More-Specific Route 端末側 = 未実装 All rights reserved. Copyright(c)2006 WIDE Project

13 Default Gateway Selection (cont.)
なぜ端末側でMore Specific Routeが未実装か? kernel内実装が困難 経路制御プロトコルをkernel内で実装するのとほぼ等価 端末で「受信のみRIPng」を動かすほうが、素直かつきめ細かい制御ができるのでは? 素直=これなら、*BSD全て対応済み きめ細かい制御=経路制御計算を踏まえた経路広告 All rights reserved. Copyright(c)2006 WIDE Project

14 All rights reserved. Copyright(c)2006 WIDE Project
まとめ DNS関連の問題は以下の2つにより対処 壊れたメッセージを廃棄 A/AAAA Queryの順序を工夫している が端末側の対応には限界がある→サーバ側の対応を切に望みます DNSサーバアドレス検出 実用上はDHCPv4のみで十分 Source Address Selection 一部実装済 動的Source Address Selection Policyは、複雑な割に有効な局面が少ない感がある Default Gateway Selection Router-Preferenceは実装済 More-Specific Route optionは未実装だが、受信のみRIPngで十分 All rights reserved. Copyright(c)2006 WIDE Project

15 All rights reserved. Copyright(c)2006 WIDE Project
Thanks! All rights reserved. Copyright(c)2006 WIDE Project

16 All rights reserved. Copyright(c)2006 WIDE Project
SWG指摘の他のネタに対するコメント All rights reserved. Copyright(c)2006 WIDE Project

17 All rights reserved. Copyright(c)2006 WIDE Project
到達性が無いIPv6アドレス取得 基本的にはアプリケーション依存 OSはアプリケーションにエラーを返す host unreachable, net unreachable, ... あとはアプリケーションがそのエラー値を見て賢く振舞うか次第 アプリケーションではエラー処理はちゃんと実装しましょう IPv4でも同じことは起こる All rights reserved. Copyright(c)2006 WIDE Project

18 All rights reserved. Copyright(c)2006 WIDE Project
自動トンネル *BSDではユーザが意図的に有効にしない限り、設定されない 6to4 ISATAP (KAME) TSP (freenet6) L2TP (l2tpd) そのため、指摘されたような問題は発生しない All rights reserved. Copyright(c)2006 WIDE Project

19 マルチキャストとPersonal Firewall
現状 「マルチキャストだったらデフォルト廃棄」というPersonal Firewall実装もあるが、これは非常に迷惑 提案 こんなStateful inspectionが欲しい MLD joinしたら、そのグループ宛のパケットだけ通す その他のグループ宛のは廃棄 All rights reserved. Copyright(c)2006 WIDE Project

20 All rights reserved. Copyright(c)2006 WIDE Project
IPsecとmulticast 事前共有鍵による鍵交換は動く 動的鍵生成による鍵交換は未対応 IPv4/v6にかかわらない問題 All rights reserved. Copyright(c)2006 WIDE Project

Download ppt "BSD Unixにおいて IPv6 を有効にした際に発生する課題とその対策"

Similar presentations

UDL( 片方向通信路 ) 衛星リンクには Feeder,Receiver が存在 双方向通信には2つのチャンネル データの流れは一方通行 N 局による通信には n(n-1) のチャンネルが必要 送信局が入れ替わることにより、 擬似的に多対多型通信を行う研究もされている.

UDL( 片方向通信路 ) 衛星リンクには Feeder,Receiver が存在 双方向通信には2つのチャンネル データの流れは一方通行 N 局による通信には n(n-1) のチャンネルが必要 送信局が入れ替わることにより、 擬似的に多対多型通信を行う研究もされている.
Copyright © Hitachi,Ltd.2004 All rights reserved IPv6 技術動向 IPv6 Technical Summit 2005 ALAXALA Networks Corporation / KAME Project SUZUKI, Shinsuke.

Copyright © Hitachi,Ltd.2004 All rights reserved IPv6 技術動向 IPv6 Technical Summit 2005 ALAXALA Networks Corporation / KAME Project SUZUKI, Shinsuke.
EMS の実装. EMS の L3 トポロジ 192.168.0.1 HUB Router 192.168.0.2 192.168.0.0/24 一つの大きなルータ ただし上流と下流のインターフェース 間でしか通信できない。 Internet 192.168.2.1 Terminal-A 192.168.1.1.

EMS の実装. EMS の L3 トポロジ HUB Router /24 一つの大きなルータ ただし上流と下流のインターフェース 間でしか通信できない。 Internet Terminal-A
ご提案書 『ホテル インターネットサービスソリューション』

ご提案書 『ホテル インターネットサービスソリューション』
目次 このドキュメントについて・・・前提条件……………………………………… 2

目次 このドキュメントについて・・・前提条件……………………………………… 2
FreeBSD4.5環境での IPv6ネットワーク構築

FreeBSD4.5環境での IPv6ネットワーク構築
ファイアウォール 基礎教育 (4日目).

ファイアウォール 基礎教育 (4日目).
Webプロキシサーバにおける 動的資源管理方式の提案と実装

Webプロキシサーバにおける 動的資源管理方式の提案と実装
最新ファイルの提供を保証する代理FTPサーバの開発

最新ファイルの提供を保証する代理FTPサーバの開発
榮樂 英樹 LilyVM と仮想化技術 榮樂 英樹

榮樂 英樹 LilyVM と仮想化技術 榮樂 英樹
アドホックCUG I-3. ユビキタスネットワーク制御・管理技術 (Ubilaプロジェクト) ウ.ネットワークサービス制御技術

アドホックCUG I-3. ユビキタスネットワーク制御・管理技術 (Ubilaプロジェクト) ウ.ネットワークサービス制御技術
鈴木伸介 / (株)日立製作所 suz@crl.hitachi.co.jp IPv6標準化と実装 鈴木伸介 / (株)日立製作所 suz@crl.hitachi.co.jp.

鈴木伸介 / (株)日立製作所 IPv6標準化と実装 鈴木伸介 / (株)日立製作所
前回の課題 IPv6アドレス IP ARP ICMP NAT インターネット層 2003年12月4日 情報ネットワーク論 新村太郎.

前回の課題 IPv6アドレス IP ARP ICMP NAT インターネット層 2003年12月4日 情報ネットワーク論 新村太郎.
仮想ブロードキャストリンクを利用した 片方向通信路の透過的経路制御 藤枝 俊輔(慶應義塾大学)

仮想ブロードキャストリンクを利用した 片方向通信路の透過的経路制御 藤枝 俊輔(慶應義塾大学)
IPv6 エニーキャスト ルーティングプロトコル PIA-SM の設計および実装

IPv6 エニーキャスト ルーティングプロトコル PIA-SM の設計および実装
ネットワーク層.

ネットワーク層.
解析サーバの現状と未来 2006/07/18 衛星データ処理勉強会 村上 弘志 現状のシステム構成など 統合解析環境としての整備

解析サーバの現状と未来 2006/07/18 衛星データ処理勉強会 村上 弘志 現状のシステム構成など 統合解析環境としての整備
詳解TCP/IP TCPタイムアウトと再転送 れにうむ.

詳解TCP/IP TCPタイムアウトと再転送 れにうむ.
目次 NetViewの起動……………………………………………………………… 4

目次 NetViewの起動……………………………………………………………… 4
早稲田大学大学院 理工学研究科情報科学専攻 後藤滋樹研究室 1年 渡辺裕太

早稲田大学大学院 理工学研究科情報科学専攻 後藤滋樹研究室 1年 渡辺裕太

Similar presentations

Ads by Google