Contenu connexe
Similaire à 20120516 v6opsf-ngn final (20)
20120516 v6opsf-ngn final
- 1. IPv6Launchに向けた
NGNの課題と対策について
平成24年5月16日
株式会社インテック
廣海緑里
Copyright © 2012 INTEC Inc. hiromi@inetcore.com
- 2. 2012年6月6日以降
IPv6でアクセスできるサイトが増える!
ユーザ環境 通信環境 コンテンツ環境
IPv4
通
信
事 「三方良し」なのでは?
業
者
IPv6
:
ユーザ環境と通信環境のIPv6対応は進んでいるので、
残すはコンテンツのIPv6対応と言われていたが…
Copyright © 2012 INTEC Inc. 1/11
- 4. クライアントからみたIPv6対応時の動作概要と注意点
• IPv4/IPv6デュアルスタックのクライアントの挙動
1. 接続先の名前解決をする
2. 接続先リストを作り、リストに従って接続を試みる
3. 接続できるまで、順にリストを辿る
4. 応答があった接続先とデータコネクションを確立する
ネームサーバ ロードバランサ WEBサーバ
192.0.2.53 ファイアウォール等 192.0.2.81
2001:DB8::53 2001:DB8::80
[TCP] IPv6-
www.example.com IN A 192.0.2.80 IPv4フォール
IN AAAA
2001:DB8::80 バックの概念の
③ 導入
[DNS] IPv6- IPv4 IPv6
①
IPv4フォール マルチプレ
バックの概念の フィックスとい
導入 う前提
クライアント
②
Copyright © 2012 INTEC Inc. 3/11
- 5. 観測されている問題発生箇所と問題点
① 名前解決における問題
EDNS0未対応、複数レコード登録による参照上限値との不具合
A/AAAAの追加とCNAMEによる間違った参照
IPv6の実装上の問題(v6トランスポート未サポート、壊れた応答)
② クライアントの問題
DNS参照のフォールバックに問題のあるリゾルバやリゾルバ結果を使わないプログラム
優先順序処理やRFC3484デフォルトポリシーテーブルを持たないクライアント
マルチプレフィックス未対応、IPv6未対応のプログラム
③ 接続性とTCPフォールバックの問題
到達性のないIPv6ネットワーク(閉域網やULA)の存在と接続遅延
④ コネクション確立上の問題
TCPソフトエラーの扱いによるフォールバック遅延(RFC5461でInformational RFCとして遅延対策が
提案)
⑤ 古い実装や問題を抱えた運用による問題
Neighbor Discoveryの失敗を待つonlink assamption 仕様
6to4などのトンネルプロトコル利用
Path MTU ディスカバリを阻害するミドルボックス、Path MTU調整ができない端末
VPNやウィルスチェック機構などによるIPv6通信の阻害や遅延
Happy Eyeballなど新しい提案対応
ネームサーバ ロードバランサ WEBサーバ
192.0.2.53 ファイアウォール等 192.0.2.81
2001:DB8::53 2001:DB8::80
④
www.example.com IN A 192.0.2.80 ⑤
IPv4③
IN AAAA
2001:DB8::80 IPv6
① クライアント
②
Copyright © 2012 INTEC Inc. 4/11
- 6. フォールバック問題と接続環境
■ 標準的な繋ぎ方
IPv4サーバ IPv4/IPv6サーバ
IPv4環境 IPv4/IPv6環 IPv4環境 IPv4/IPv6環
境 境
IPv4端末 IPv4 IPv4 IPv4 IPv4
IPv4/IPv6端末 IPv4 IPv4 ! IPv6→IPv4 IPv6優先
サーバと端末がデュアルスタックの場合、
接続環境(IPv4+IPv6)もデュアルスタックになってい
れば問題は少ない
IPv4とIPv6の接続環境を提供する事が解決策
Copyright © 2012 INTEC Inc. 5/11
- 7. IPv6対応サービス提供中の通信事業社別の状況
NTT東西 KDDI SoftBank NTTドコモ
トンネル? フレッツ光ネ Yahoo!BB 光/
クスト Yahoo!BB
(NGN/PPPoE) ADSL(6RD)
ネイティブ? フレッツ光ネ AUひかり Yahoo!BB 光 LTE
クスト with フレッツ (+mopera U)
(NGN/IPoE) (光ネクスト)
NGNv6系サービスか、ISPのv6サービスへの加入が伸びていれば問題ない
ISP等の状況の一例
・OCN IPv6
IPv4 上にL2TPトンネルを用いてIPv6サービスを提供
(http://www.ocn.ne.jp/ipv6/)
・DTI Feel6
http://start.feel6.jp/
・6to4 (無償サービス)
Tokyo 6to4(http://www.tokyo6to4.net/) 等で提供
・グローバル・固定 IPv6 アドレス割当型トンネル接続実験サービス(無償サービ
ス)
http://v6ip.tsukuba.wide.ad.jp/regist/terms.aspx
Copyright © 2012 INTEC Inc. 6/11
- 8. 国内インターネットアクセス構造ざっくり版
=無問題
インターネット
ISP ISP ISP ISP
インターネット接続
VNE
インターネット事業者接続 IPv6でのアクセスに問
題のある区間がある!
ソフトバンク
AU NTTドコモ
モバイル
移動体
ADSL
電力系 KDDI- SOFTBANK NTT東西
PSTN CATV系
FTTH NGN -NGN -NGN
固定 ISDN
ユーザ
※ KDDIやsoftbankネイティブサービスは、NTTのNGN回線+VNE+ISP
Copyright © 2012 INTEC Inc. 7/11
- 9. 回線ごとのIPv6対応サービス状況とシェア
• 真のIPv6ユーザは、720/17265.9(4%)
– 人口を超える回線に影響
○:それぞれ主たる対象として提供中のもの(2011年12月現在、FTTHのみ3月)
回線種別 法人向け 個人向け 影響(個人)
専用線,イーサ接続など ○
FTTH ○ ○ IPv4:1400万回線
/2020万回線
IPv6:720万回線
/2020万回線
(FTTH,2011/3)
ADSL,ISDN,PSTN ○(トンネル) ○(トンネル) 706万回線(DSL)
3284万回線
(PSTN/ISDN)
CATV 591万回線
携帯電話系 ○(WiFi及びLTE) ○(WiFi及びLTE) 10474万回線
WiFi、WIMAX 0.9万回線(FWA)
190万回線(BWA)
VPNサービス ○ ○
既存通信+トンネル ○ ○
(6to4など)
Copyright © 2012 INTEC Inc. 8/11
- 10. NTTのNGNのマルチプレフィックス問題とは
① 名前解決における問題
EDNS0未対応
A/AAAAの追加とCNAMEによる間違った参照
IPv6の実装上の問題(v6トランスポート未サポート、壊れた応答)
② クライアントの問題
DNS参照のフォールバックに問題のあるリゾルバやリゾルバ結果を使わないプログラム
優先順序処理やRFC3484デフォルトポリシーテーブルを持たないクライアント
マルチプレフィックス未対応、IPv6未対応のプログラム
③ 接続性とTCPフォールバックの問題
到達性のないIPv6ネットワーク(閉域網やULA)の存在と接続遅延
④ コネクション確立上の問題
TCPソフトエラーの扱いによるフォールバック遅延(RFC5461でInformational RFCとして遅延対策が
提案)
⑤ 古い実装や問題を抱えた運用による問題
Neighbor Discoveryの失敗を待つonlink assamption 仕様
6to4などのトンネルプロトコル利用 主にフォール
Path MTU ディスカバリを阻害するミドルボックス、調整ができない端末 バックに時間が
VPNやウィルスチェック機構などによるIPv6通信の阻害や遅延 かかることを問
Happy Eyeballなど新しい提案対応 題視
ネームサーバ ロードバランサ WEBサーバ
192.0.2.53 ファイアウォール等 192.0.2.81
2001:DB8::53 2001:DB8::80
④
www.example.com IN A 192.0.2.80 ⑤
IPv4③
IN AAAA
2001:DB8::80 IPv6
① クライアント
②
Copyright © 2012 INTEC Inc. 9/11
- 11. NTT東日本のサービスと対象
• NTT東日本が展開する従来のフレッツサービスで発生
– 「フレッツ ドットネット」サービス用のIPv6アドレスが割り
当てられ、グローバルIPv6インターネットに接続できない
回線種別 サービス名称 基本対策
ISDN フレッツISDN IPv4 TCPリセット
IPv6閉域網
Internet
ADSL フレッツADSL IPv4 TCPリセット
Internet IPv6閉域網
FTTH フレッツ光 IPv4 TCPリセット
IPv6閉域網
Internet
・IPoE(NTT閉域網の
IPv4 IPv6 アドレスを使わない)
Internet Internet ・PPPoE(ISPアドレス
とNTT閉域網アドレス
をNAT66変換)
IPv4 IPv6 ・TCPリセット
Internet Internet
Copyright © 2012 INTEC Inc. 10/11
- 12. いろいろな対策
• NTT東西
– フレッツISDN/フレッツADSL/Bフレッツについては、TCPリセットを返し、強制的にIPv4にフォールバック
させる(①)
– フレッツ光ネクスト(IPoE)では、NTT閉域網のIPv6アドレスを使わせない
– フレッツ光ネクスト(PPPoE)では、アダプタでNAT66変換を行う
• ISP
– ISPのスタブDNSでAAAAフィルタ適用(IPv4でAAAAを問い合わせた場合にIPv6アドレスを返さない。IPv6ト
ランスポートでの参照には応答するBIND9.7.0b2等で実装されている。)(②)
• コンフィグオプション(-enable-filter-aaaa)と named.conf の filter-aaaa-on-IPv4
– ユーザに参照させるDNSサーバをサービス毎に分けて、必要なユーザのみAAAAフィルタをする(③)
• CPE/HGW
– DNS中継においてAAAAフィルタ機能のあるCPEの導入(④)
• クライアントに対してAAAAの応答を返さない
• Googleなど(⑤)
– IPv6ホワイトリストで、品質の良い(Google基準)IPv6接続にはIPv6での通信を許可する仕組みを導入
– トランスポートがIPv4しかないスタブDNSからのAAAAクエリをフィルタ
• Happy Eyeball手法(⑥)
– アプリケーションでIPv6の応答が返ってくる前にIPv4も試す
• ポリシーテーブル変更(⑦)
– IPv4枯渇タスクフォース等から変更ツール提供 DNS
IPv4
– コマンドラインから変更できるOSもある(Windowsのnetsh等) DNS DNS
Internet
• カスタマーサポート等
②
– JAIPAから対応指針など ①
DNS ③ ISP
IPv6閉域網
⑥C CPE
DNS
⑦ ⑤ DNS
④ NTT東西 IPv6
ISP Internet
CSP
Copyright © 2012 INTEC Inc. 11/11
- 13. 継続されると思われる問題(IPv6運用研鑚が必要)
• NTT-NGN以外のIPv6が閉域網の場合(ULA)
– ULAの規定では、RCODE 3(NXDOMAIN)を返す仕様なのでフォールバックできないかも
• ロードバランサなどのミドルウェアのDNSの実装不具合の影響によってフォール
バックできないことがある
– AAAAがくると無応答になったり、NXDomainやServFailを返し、フォールバックでき
ない
• フォールバックしないアプリケーション、開発言語もある
– シングルスタックで稼働する「IPv6モード」、そしてIPv4優先
• 「Happy Eyeball」の限界
• Chrome 11やFirefox10で実装
• Unhappy な事例もある(https://labs.ripe.net/Members/emileaben/hampered-
eyeballs)や、IPv4で接続後はIPv4が選択され続けるものや、名前解決結果までIPv4優先
になるもの
• WEBアクセス以外のサービスではこの手法導入が難しいケースもある
• TCPソフトエラーの場合のフォールバック遅延
・W6L対応にあたっては、暫定解による対応
・IPv6の導入促進の根本的な解決
を上手に組み合わせる必要がある
Copyright © 2012 INTEC Inc. 12/11
- 14. フィルタすることの責任
・きちんとした管理と運用のもとで導入
・必要なくなったら速やかに運用停止
・トラブルシュート?
・運用監視の複雑化?
Copyright © 2012 INTEC Inc. 13/11