どうも、前回のOpenVZ on EC2のブログが意外と好評で調子に乗っているfujya.shです。
今回は、2月19日(土)に株式会社ハートビーツ様が主催している、インフラエンジニア勉強会(hbstudy#20)に参加してきましたのでまとめと感想を書こうと思います。
hbstudyは関東のインフラエンジニアが月に一回集まり、毎回その道のスペシャリストの方がスピーカーとなってみんなであーだこーだ言う勉強会ですw
とても勉強になりますし、凄い楽しめます。
■ 明日から始めるIPv6~やる気は枯渇していないか?大丈夫だ、問題ない~
■ IPv4が2011年2月1日に枯渇したなう
私の前々回のエントリでも紹介しましたが、IANAのv4が枯渇したので次はRIRのプール分です。APNICのIPv4アドレスの枯渇は3~6ヶ月後と予想されているそうですが、AFNIC辺りは後4~5年ぐらい持ちそうと予測されているそうです。
つまり来年ぐらいにv4アドレス欲しいと思ったら、アフリカに現地法人作れば貰えるかもしれませんね??
■ IPv6導入の前に設計しよう
v6導入を適当にやっては危険です!ちゃんと設計してからやらないとダメだそうです。これはv4でも言えますね。
v6オンリーネットワークはまだ使い物にならないのか、今回はデュアルスタックの話を基点にしていました。v4とv6混在ネットワーク(デュアルスタック)になるとアドレス管理、ネットワーク図が複雑になっていきますとの事。
◯アドレス管理はv4基点が良いよ
v4基点にv6のアドレス管理すると視認性が良くなる
(例:010.123.123.123 = 2001:0db8:0123:0123:0123)
エクセルシートとかでv4 to v6の変換規約を定義しておけば楽に管理できる
非エンジニアに説明するにはこの方法が良いかもしれません。
◯ネットワーク図は分かりやすく
v4とv6は別々の線、エリアにして色を分けると分かりやすくなる
レイヤ構成にできるなら、v4とv6で別レイヤで描くと管理しやすくなる
v6時代のネットワーク図はもはや芸術の域ですね。
■ IPv6導入する際はCheck & Check & Check!!
v6の世界にもトラブルがたくさん。
今回は@ipv6labsさんのトラブル経験からの各種ノウハウを紹介してくれました。本当に苦労されてるんですね。
◯v6ではMTUブラックホール起きやすい
v6はパケット分割を禁止ししてるので、MTUブラックホールが起きやすい
v6パケットの最小サイズはMTU=1280→ 困ったときのおまじない
パケット分割しない分ルータ負荷下がるけど、ユーザへの負荷は上がりそうな気がします。ユーザが意識しない仕様にするべきだと思うんですが、どうなんでしょうか。一般家庭にv6が浸透する頃には、家庭用ルータのMTUは全部1280になってそうな気がします。
◯RAは使わないほうが良い?
RAはトラブルの元。DNSサーバ貰えないし、経路ハイジャックされる可能性もある。
デュアルスタックではv6優先で使われるので、経路が無かったりしたらfallbackが多発してネットワーク遅延が発生なんて事も経験されてるそうです。RAって要らない子ですか?
openDNS(v6)がデフォルト設定されている状態とかならRAは便利かもしれませんが、経路ハイジャックは怖いですね。
新規でNW機器をv6スタック時にはRA通知されないようにしておいた方が良い
クライアントは不要にv6をONにしておかない方が良い。RAを受け取らないようにしておく良い
RAは信じない、出さない、受け取らない
という格言頂きました!RA恐るべし。
◯そのanyにはv6は入りますか?
any denyの中にv6が含まれない場合があるので、設定後はv6に対してポートスキャンなどして確認する事
オブジェクトもv4とv6別々になる事が多いので、全てにおいてv4とv6の設定確認は必須
◯v6はエンドツーエンド直接通信
v4の時はNAPTで逆止弁的な状態が当たり前だったが、v6はエンドツーエンド通信
FWでuntrus/trust/DMZの通信経路のルールは明示的に記述する必要がある
エンドツーエンドが当たり前の世界になったら、携帯、テレビ、車など全ての電子機器にv6アドレスが割り振られ、双方向通信ができるようになるかもしれません。便利そうな気もしますが、パーソナルファイアウォールなど無いと少々怖い感じがしますね。
■ まとめ
・v6ネットワークではMTU1280がおまじない
・ICMPv6は許可したほうが幸せになれる事の方が多い
・デュアルスタックネットワークでは、設計・構築・確認全ての作業が2倍になる
・セキュリティ対策としてv6ネットワーク用のチェックツールも整備しておくと良い
・v6の設計はv4を基点にするべき(人間が理解/運用しやすくなる)
・L3/FW/IDS/IPS/WAFなどのネットワーク機器がv6に対応しているか確認する事
・IPv6は128bit全部使えない。メモリの問題でしょうか。原則64bitまでだそうです。
・v6やるなら今のうち(今なら失敗しても怒られないかも?)
今回は実際にv6を導入している現場の方のノウハウだったので、本当に勉強になりました。正直まだv6に対してぼんやりした所はたくさんありますが、2011年は少しづつでもv6の検証していきたいと思います。
主催者のハートビーツの皆様、@ipv6labsさん本当にありがとうございました。
私も契約してv6ユーザになろうかな。