僕と契約してIPv6ユーザになってよ! ~hbstudy20に参加してきたよ~

このエントリーをはてなブックマークに追加
どうも、前回のOpenVZ on EC2のブログが意外と好評で調子に乗っているfujya.shです。

今回は、2月19日(土)に株式会社ハートビーツ様が主催している、インフラエンジニア勉強会(hbstudy#20)に参加してきましたのでまとめと感想を書こうと思います。
hbstudyは関東のインフラエンジニアが月に一回集まり、毎回その道のスペシャリストの方がスピーカーとなってみんなであーだこーだ言う勉強会ですw
とても勉強になりますし、凄い楽しめます。



■ 明日から始めるIPv6~やる気は枯渇していないか?大丈夫だ、問題ない~
スピーカ:@ipv6labsさん
今回は個人参加とのこと

忙しい中スピーカを引き受けてくれたみたいです。
勉強会の前のツイート状況見てましたが、ものすごい大変そうでした。。。お疲れ様です、感謝感謝。



■ IPv4が2011年2月1日に枯渇したなう
私の前々回のエントリでも紹介しましたが、IANAのv4が枯渇したので次はRIRのプール分です。APNICのIPv4アドレスの枯渇は3~6ヶ月後と予想されているそうですが、AFNIC辺りは後4~5年ぐらい持ちそうと予測されているそうです。
つまり来年ぐらいにv4アドレス欲しいと思ったら、アフリカに現地法人作れば貰えるかもしれませんね??



■ IPv6導入の前に設計しよう
v6導入を適当にやっては危険です!ちゃんと設計してからやらないとダメだそうです。これはv4でも言えますね。
v6オンリーネットワークはまだ使い物にならないのか、今回はデュアルスタックの話を基点にしていました。v4とv6混在ネットワーク(デュアルスタック)になるとアドレス管理、ネットワーク図が複雑になっていきますとの事。

◯アドレス管理はv4基点が良いよ
v4基点にv6のアドレス管理すると視認性が良くなる
(例:010.123.123.123 = 2001:0db8:0123:0123:0123)
エクセルシートとかでv4 to v6の変換規約を定義しておけば楽に管理できる

非エンジニアに説明するにはこの方法が良いかもしれません。


◯ネットワーク図は分かりやすく
v4とv6は別々の線、エリアにして色を分けると分かりやすくなる
レイヤ構成にできるなら、v4とv6で別レイヤで描くと管理しやすくなる

v6時代のネットワーク図はもはや芸術の域ですね。



■ IPv6導入する際はCheck & Check & Check!!
v6の世界にもトラブルがたくさん。
今回は@ipv6labsさんのトラブル経験からの各種ノウハウを紹介してくれました。本当に苦労されてるんですね。


◯v6ではMTUブラックホール起きやすい
v6はパケット分割を禁止ししてるので、MTUブラックホールが起きやすい
v6パケットの最小サイズはMTU=1280→ 困ったときのおまじない

パケット分割しない分ルータ負荷下がるけど、ユーザへの負荷は上がりそうな気がします。ユーザが意識しない仕様にするべきだと思うんですが、どうなんでしょうか。一般家庭にv6が浸透する頃には、家庭用ルータのMTUは全部1280になってそうな気がします。


◯RAは使わないほうが良い?
RAはトラブルの元。DNSサーバ貰えないし、経路ハイジャックされる可能性もある。
デュアルスタックではv6優先で使われるので、経路が無かったりしたらfallbackが多発してネットワーク遅延が発生なんて事も経験されてるそうです。RAって要らない子ですか?
openDNS(v6)がデフォルト設定されている状態とかならRAは便利かもしれませんが、経路ハイジャックは怖いですね。

新規でNW機器をv6スタック時にはRA通知されないようにしておいた方が良い
クライアントは不要にv6をONにしておかない方が良い。RAを受け取らないようにしておく良い

RAは信じない、出さない、受け取らない
という格言頂きました!RA恐るべし。


◯そのanyにはv6は入りますか?
any denyの中にv6が含まれない場合があるので、設定後はv6に対してポートスキャンなどして確認する事
オブジェクトもv4とv6別々になる事が多いので、全てにおいてv4とv6の設定確認は必須


◯v6はエンドツーエンド直接通信
v4の時はNAPTで逆止弁的な状態が当たり前だったが、v6はエンドツーエンド通信
FWでuntrus/trust/DMZの通信経路のルールは明示的に記述する必要がある

エンドツーエンドが当たり前の世界になったら、携帯、テレビ、車など全ての電子機器にv6アドレスが割り振られ、双方向通信ができるようになるかもしれません。便利そうな気もしますが、パーソナルファイアウォールなど無いと少々怖い感じがしますね。



■ まとめ
・v6ネットワークではMTU1280がおまじない
・ICMPv6は許可したほうが幸せになれる事の方が多い
・デュアルスタックネットワークでは、設計・構築・確認全ての作業が2倍になる
・セキュリティ対策としてv6ネットワーク用のチェックツールも整備しておくと良い
・v6の設計はv4を基点にするべき(人間が理解/運用しやすくなる)
・L3/FW/IDS/IPS/WAFなどのネットワーク機器がv6に対応しているか確認する事
・IPv6は128bit全部使えない。メモリの問題でしょうか。原則64bitまでだそうです。
・v6やるなら今のうち(今なら失敗しても怒られないかも?)


今回は実際にv6を導入している現場の方のノウハウだったので、本当に勉強になりました。正直まだv6に対してぼんやりした所はたくさんありますが、2011年は少しづつでもv6の検証していきたいと思います。
主催者のハートビーツの皆様、@ipv6labsさん本当にありがとうございました。

私も契約してv6ユーザになろうかな。
次の記事
« Prev Post
前の記事
Next Post »
Related Posts Plugin for WordPress, Blogger...