windows server 2012 とdownload.microsoft.com/download/c/f/2/cf2f9d51-5d9e-45fe...•vpn とか nat...
TRANSCRIPT
IPv6勉強会って何? • 実務視線の IPv6 勉強会
• 導入、移行、設計、実装、運用、セキュリティ、開発など、「業務でIPv6を使う」を主眼に
• 実務として使える内容重視 • オフライン(勉強会)中心
• 勉強会の各セッションは USTREAM で中継 & 録画 • プレゼン資料等は基本公開
• 2011/11に「IPv6セキュリティ」勉強会を予定 オフィシャルサイト : http://www.vwnet.jp/IPv6SG/
copyright (c) 2012 MURA 3
IPv6勉強会 メンバー募集中 • 勉強会情報などをメールでお知らせします
• http://www.vwnet.jp/IPv6SG/Join.html
copyright (c) 2012 MURA 4
今なぜ IPv6 ? • 2011/02/03 に IANA の IPv4 在庫がゼロに • 2011/04/15 に APNIC の IPv4 在庫がゼロに
• JPNIC では独自に在庫を持たないので、同日付で日本の IPv4 アドレスも枯渇
• 現在 ISP や iDC が持っている IPv4 流通在庫で運用 → 遅かれ早かれ流通在庫もゼロに
• IPv4 アドレスの新規供給が終了し、IPv6 アドレスだけが新規供給されるのは遠くない将来
copyright (c) 2012 MURA 7
2012/06/06 World IPv6 Launch • 著名なWebサイトが恒久的にIPv6対応!!
• bing • Xbox • AKAMAI • facebook • google • その他多数
copyright (c) 2012 MURA 8
IPv6って何? • アドレス数を大幅に増やした L3 プロトコル
• 32ビット(IPv4) → 128ビット(IPv6) • 世界人口≒70億人≒ 7x10^9 • IPv4のIPアドレス数=2^32≒4x10^9 • IPv6のアドレス数= 2^128≒ 3x10^38 • /64で考えても 2^64≒ 2x10^19
• IPv4 の弱点を強化したプロトコル • IPヘッダーの単純化→ルーティングの高速化 • 自動構成→PnPを実現 • IPsec標準装備→ハイセキュリティ通信が可能
copyright (c) 2012 MURA 9
IPv6 を導入する必要はあるの? •インターネットを使用しているのであれば、導入形態はどう
あれ、IPv6 対応は必要 • IPv6 を導入しない場合のリスク、IPv6 を導入するコストの
バランスを考えて、導入時期、導入方法を判断
copyright (c) 2012 MURA 10
IPv6にすると何が良いの? • L3の話しなので、利用者から見ると何も変わりません • IPv4 枯渇に対する現状唯一の根本解決策 • アドレスが潤沢にあるので NAT 不要
• 設計がシンプルに • VPN とか NAT 越えが難しいプロトコルも使える
• 身の回りのものすべてにグローバルアドレスを余裕で割り当てることができる • ゲーム機などの情報家電 • モバイル機器 • 各種センサー
copyright (c) 2012 MURA 11
覚えおきたい IPv6 重要キーワード • RA
• Router Advertisement / ルータ広告 • ND
• Neighbor Discovery / 近隣探索 • ICMPv6
• ICMP の IPv6 版 •リンクローカル
• セグメント内だけで有効な IPv6 アドレス
copyright (c) 2012 MURA 12
IPv6の影響を受けるモノ/受けないモノ • L3 以上で動作しているモノは IPv6 の影響を受ける
• OS • Webブラウザー(IP通信をしているアプリケーション) • ルーター • L3スイッチ • ファイアウォール
• L2 以下で動作しているモノは IPv6 の影響を受けない • LANケーブル • L2スイッチ • 無線LAN (ブリッジ動作のみ)
copyright (c) 2012 MURA 14
表記と短縮方法 • 16ビットごとにコロンで区切った16進表現
• 2001:0db8:0001:0000:0000:0000:0000:cafe • 先頭の0は省略可能
• 2001:db8:1:0:0:0:0:cafe • 連続した0は1ヵ所だけ「::」に省略可能
• 2001:db8:1::cafe • プレフィックス(サブネットマスク)は CIDR と同様表現
• 2001:db8:1::cafe/64 • 詳細ルールはRFC5952参照
copyright (c) 2012 MURA 20
GUA と ULA • GUA (Global Unicast Address)
• IPv4 で言う所のグローバル IP アドレス • インターネット上でユニークな存在
• ULA (Unique Local Address) • IPv4 で言う所のローカル IP アドレス • インターネット上で使ってはならいない IP アドレス • 計算で求める
copyright (c) 2012 MURA 22
1ノードに複数IPv6アドレス • GUA
• インターネット / サイト内部アクセス用 • ULA
• サイト内部アクセス用 • リンクローカル
• リンク内アクセス用(主に通信制御)
copyright (c) 2012 MURA 23
RAのフラグコントロール M flag O flag 意味
ON ON アドレスとそれ以外の情報をDHCPv6で構成する(ステートフル)
ON OFF アドレス構成はDHCPv6を使用するが、それ以外の情報は手動等の別の手段で設定する
OFF ON アドレス構成にはRAを使用するが、それ以外の情報はDHCPv6を使用する(ステートレス)
OFF OFF DHCPv6を使用しない
copyright (c) 2012 MURA 25
ICMPv6 • IPv6 はICMPv6 に強く依存している
• RA • ND • Path MTU Discovery
• ICMPv6 を止めると IPv6 も機能しなくなる
copyright (c) 2012 MURA 27
Windows の IPv6 歴史 年月 出来事 1995/12 RFC 1884 IP Version 6 Addressing Architecture 1999/07 IANA より IPv6 アドレス割り当て開始 2002/09 Windows XP SP1 で IPv6 対応となったが、デフォルト無効 2003/03 Windows 2000 で IPv6 がテスト実装(Microsoft IPv6 Technology Preview) 2003/06 Windows Server 2003 で IPv6 対応となったが、デフォルト無効 2004/03 Windows Server 2003 IPv6 Ready Logo Phase 1 取得 2004/12 Windows CE 4.2 IPv6 Ready Logo Phase 1 取得 2006/11 Windows Vista IPv6 Ready Logo Phase 2 取得 2007/10 Windows Vista IPv6 デフォルト有効で発売開始 2008/01 Windows Server 2008 IPv6 Ready Logo Phase 2 取得 2008/02 Windows Server 2008 IPv6 デフォルト有効で発売開始 2009/10 Windows 7 IPv6 デフォルト有効で発売開始 2010/10 Windows 7 IPv6 Ready Logo Phase 2 取得 2011/06 World IPv6 Day(www.xbox.com が IPv6 対応) 2012/06 World IPv6 Launch(www.bing.com も IPv6 対応)
copyright (c) 2012 MURA 29
Windows の IPv6 • RFC に則した実装 • デュアルスタック環境では IPv4 より IPv6 が優先される • IPv6 アドレス自動構成はデフォルト有効 • クライアント OS では匿名アドレスが使われる • ホームグループは IPv6 で実装されている
copyright (c) 2012 MURA 30
RAの実装 • L3中継装置に RA を実装するだけで IPv6 アドレスは自動構
成される • IPv6 アドレスを自動構成するのに DHCP は不要
copyright (c) 2012 MURA 33
L3中継装置の設定 • L3 中継装置に GUA / ULA / リンクローカルアドレスを実装 • リンクローカルアドレスはリンクに閉じているので、
fe80::1/10 を複数ポートに設定する事が可能
copyright (c) 2012 MURA 34
ドメインコントローラーへのIP割当て • ドメインコントローラーでは、IPv6 も手動で IPv6 アドレスが割り当てが必要
• IPv4アドレスの割り当て • IPv6アドレスの割り当て • IPv6 アドレス自動構成の停止
• netsh interface ipv6 set interface [インターフェイスID] routerdiscovery=disable • Set-NetIPInterface -RouterDiscovery Disabled (PS3~)
copyright (c) 2012 MURA 36
DHCPの設定 • IPv4
• サーバー オプション – 006 DNS サーバー – 015 DNS ドメイン名
• スコープ – 003 ルーター
• IPv6(ステートレス) • サーバー オプション
– 00023 DNS 再帰ネーム サーバーの IPv6 アドレス一覧 – 00024 ドメイン検索一覧
copyright (c) 2012 MURA 41
デュアル スタック 環境 • AAAA を持つインターネット公開サーバーには IPv6 で通信
する • ping • tracert • http アクセス
• RA で O フラグを ON にしないと DHCPv6 が使用されない • IPv4 でも AAAA 問い合わせはできる
copyright (c) 2012 MURA 43
ファイルサーバーへのIPアドレス割当て • ファイルサーバーでは、IPv6 アドレスの手動アドレス割当
ては不要
• IPv4アドレスの割り当て • IPv6アドレスは自動構成でOK
copyright (c) 2012 MURA 45
匿名アドレスの問題 • 匿名アドレスは、一定時間経過または再起動時に更新される • Windows クライアント OS は、匿名アドレスで通信をする •匿名アドレスは DDNS 登録されない
→ ポリシー違反をした PC が特定できない
• 匿名アドレスを停止するには netsh か PowerShell で停止する • netsh interface ipv6 set privacy state=disable • Set-NetIPv6Protocol -UseTemporaryAddresses Disabled (PS3~)
copyright (c) 2012 MURA 49
まとめ • インターネット接続をしているのであれば IPv6 導入は必要 • IPv6 は ICMPv6 に強く依存しているので、不用意に
ICMPv6 を止めない • Windows Vista / Windows Server 2008 以降で IPv6 対応 • Windows Server 2012 と Windows 8 は当然 IPv6 対応!! • 通信監査をしている場合は、匿名アドレスを無効にする必要
あり
copyright (c) 2012 MURA 51