IPv6共存移行ネットワーク最適化を実現する IPv6ソ … 4500 Ciscoルーター DualStack対応LANsw機器 Catalyst 6500 Catalyst 4500 Catalyst 3750X/3750E Catalyst

1© 2010 Cisco and/or its affiliates. All rights reserved.

IPv6共存/移行ネットワーク最適化を実現するシスコのIPv6ソリューション

2011年6月8日

シスコシステムズ合同会社

© 2010 Cisco and/or its affiliates. All rights reserved. 2

• Why IPv6• EnterpriseへのIPv6導入

CampusWANFirewall & Remote Access


IPネットワークへ接続するデバイスが急増する中、IANAが保有するIPv4アドレスが枯渇

IPv4に置き換わるプロトコルとしてService Provideを筆頭にIPv6の導入が進んでいる


IANA (ICANN)

RIPE NCC（欧州）

ARIN（北米）

APNIC（アジア太平洋）

LACNIC（中南米）

AfriNIC（アフリカ）

JPNICNIR

LIR

EU

LIR指定事業者

EU EU EU

ISP

EU

ISP ISP

EU EU

RIR

NIR

LIR

ISP

EU

2011/2/3 IPv4アドレス枯渇

2011年4月15日

APNIC同様2011年4月15日

Source: Japan Network Information Center

© 2010 Cisco and/or its affiliates. All rights reserved. 5Source: Geoff Huston, APNIC


インターネット

Data Center Internet Web Server

Enterprise ConsumerMobile

Broadband

IPv4 IPv6

グローバルIPv4アドレスが枯渇しているしかし、グローバルIPアドレスがなぜ必要か？グローバルIPアドレスが割当られないと何が問題なのか？既存のIPv4ネットワークが無くなる事は暫く無いIPv6へ移行では無く、IPv4/IPv6の共存が求められている


ENTERPRISEにおけるIPv6導入


ネットワーク接続機器（プリンタ、IP-FAX、IP監視カメラ等）

ネットワークインフラ（LAN、WAN）

サーバープラットフォームデータセンターネットワーク

社内システム/アプリケーション

モバイルユーザ（VPN）

インターネット回線（プロバイダ選択）

コミュニケーションインフラ（IP電話、TV会議等）

クラウドサービス

クライアント端末PC/スマートフォンなど

社外向けサーバー(DNS、Webサーバー等）

ルータ（L3スイッチ）ファイヤウォール












社外向けサーバー(DNS、Webサーバー等）Windows Vista、

Windows 7、MacOS、iOS、Androidは既にIPv6 Ready

IPv6対応












社外向けサーバー(DNS、Webサーバー等）

IOSではIPv6機能は標準機能Catalystシリーズ、CiscoルータISRシリーズCiscoルータASRシリーズCisco Aironet シリーズ

IPv6対応

IPv6対応

IPv6対応

IPv6対応 ASA 5500シリーズ

IPv6ステートフルファイヤウォールステートフルフェイルオーバー対応






社内システム/アプリケーションクラウドサービス



社外向けサーバー(DNS、Webサーバー、メールサーバー等）



IPv6対応

IPv6対応

IPv6対応

IPv6対応

IPv6対応

IPv6対応

IPv6対応

中長期でIPv6化Cisco Unified CommunicationもIPv6対応開始（CUCM 7.1～）

主要な製品はIPv6対応済みWindowsサーバーLinuxサーバー等Bind/Apache/Squid/Postfix等






社外向けサーバー(DNS、Webサーバー、メールサーバー等）







インターネット上のサービスがIPv6対応

ASA5500 & AnyConnect社内システムのIPv6化に伴いIPv6対応必要

仮想化、クラウド化等と共にIPv6対応

IPv6 only環境にするためにはIPv6対応必要

IPv6対応

IPv6対応

IPv6対応

IPv6対応

IPv6対応

IPv6対応

IPv6対応

IPv6対応

IPv6対応

IPv6対応

IPv6対応


STEP 1.ネットワークインフラのIPv6対応


IPv6 Network

IPv6 Network

IPv6 Host

トンネル技術Configured6to4 Tunnel

LISP

IPv6 Host

既存IPv4網

IPv4: 192.168.99.1

IPv6: 2001:db8:1::1/64IPv6/IPv4

Dual Stack

IPv6 IPv4

NAT-PT

NAT-PT

IPv6 IPv4 Dual Stack IPv4 and IPv6 Addresses

ISATAPRouter

IPv4 ONLY ISATAPTunneling

トンネル技術Configured6to4 Tunnel

LISP

ISATAP: Intra-Site Automatic Tunnel Addressing Protocol


For the Enterprise

環境条件導入シナリオCisco IOS

Support

WAN ISPがIPv6サービス可能であり、WANルータもIPv6対応である。

Dual Stack Yes

専用線接続環境, e.g. LL, ATM and FR PVC, sWDM Lambda Dual Stack Yes

ISPがIPv6サービスを行っていない又は WAN Core がIPv6使用不可能な場合

Configured Tunnels Yes

ISPがIPv6サービスを行っておらず、多サイト間でIPv4 Any to Anyの接続が必要な場合

6to4, LISP Yes

Campus L3ネットワークとしてIPv6対応可能な場合 Dual Stack Yes

L3ネットワークとしてIPv6対応不可な場合、又はIPv6ホストが非常に少ない場合

ISATAP Yes


ENTERPRISEにおけるIPv6導入: CAMPUS


DistributionLayer

AccessLayer

CoreLayer

AggregationLayer

IPv6 Server

Layer 3

Example

• Dual-StackまたはISATAPを使用した例

• IPv6非対応L3機器が存在する場合には、ISATAPによりIPv6ホスト－IPv6対応L3機器間を“tunnel”で接続する。

L2

v6-Enabled

-v6-Enabled

v6-Enabled

Not-v6-Enabled

DualStack

Dual S

tack

ISATA

P

ISATAP Enable:Windows PCMacOSLinux

DualStack Enable:Windows PCMacOS, Linux

IPv6 L3IPv4 L3

ISATAP対応機器Catalyst 6500Catalyst 4500Ciscoルーター

DualStack対応LANsw機器Catalyst 6500Catalyst 4500Catalyst 3750X/3750ECatalyst 3560X/3560E

Presenter

Presentation Notes

In this example Campus layout we will use dual-stack everywhere we have an IPv6 capable switch. Areas where we do not have IPv6 capability for L3 switches service PCs we will use ISATAP to “tunnel” over the not-v6-enabled devices and reach the IPv6 network on the core switches


• IPv4と同様にIPv6についてもH/W Forwarding対応のL3機器を採用

L2スイッチについては、Multicastの制御以外においては影響なし。（Multicastを制御するためにはMLD Snoopingが必要。）

• Control PlaneにおけるIPv4/IPv6 DualStack対応が必須

Stateless AutoconfigurationRouting protocols

• AdvancedなIPv6機能の導入IPv6 multicast ／ QoS

• Access-controlによるSecurityの確保

IPv6 option headersにも要対応

• VLAN/L2設計はIPv4 と IPv6で共通

Data Center

WAN and InternetAccess


v4

v4

v4

v4

v6/v4

IPv6 world

境界のルータだけIPv6化しても、サイト内にはIPv4装置が沢山あり、サイト全体のIPv6化は困難

IPv6を使用したい




IPv6対応できない

ISATAPルータ


v4

v4

v4

v4

v6/v4

IPv6 world

PREFIX::5efe:a.b.c.d

a.b.c.d

IPv6アドレスをIPv4アドレスから自動生成

サイト内が１つのNBMAネットワークに見える

a.b.d.e

PREFIX::5efe:a.b.d.e

PREFIX::5efe:a.b.f.1 PREFIX::5efe:a.b.1.5

ISATAPルータ

domain: cisco.com

DNS名“isatap.cisco.com”でISATAPルータのIPv4アドレスを認知。ISATAPルータからIPv6のPREFIX情報を取得


ISATAP

ipv6 unicast-routing

ipv6 cef

!

interface Loopback0

description ISATAP address for Access Layer

ip address 10.1.1.1 255.255.255.255

!

interface GigabitEthernet2/10

ipv6 address 2001:DB8:C003:111C::2/64

ipv6 cef

!

interface Tunnel0

ipv6 address 2001:DB8:C003:111F::/64 eui-64

no ipv6 nd suppress-ra

ipv6 enable

tunnel source Loopback0

tunnel mode ipv6ip isatap

Non-v6 Switchには変更不要

Interface ID

IPv4 Addr.64-bit Unicast Prefix 0000:5EFE:32-bit32-bit

2001:DB8:C003:111F:0:5EFE:10.1.2.100

クライアントPCはDNSでISATAPルータを検知！

DNS上に、isatap.xxxx.xxxの“A” Recordを作成。Windows OSではDefaultで動作

DNSを使用しない場合、クライアントPCにStaticな設定が可能:C:¥>netsh interface ipv6 isatap set router 10.1.1.1

※現在ISATAPはMulticast未対応です!!

10.1.2.100

ISATAP Address Format:

Presenter

Presentation Notes

Intra-Site Automatic Tunnel Addressing protocol (ISATAP) Details Use IANA‘s OUI 00-00-5E and encode IPv4 address as part of EUI-64 Microsoft XP machines will default to a host lookup for “isatap.domain.com” By adding a DNS record for 20.1.1.1 By default, ND (Neighbor Discovery) packets are NOT sent on tunnel interfaces or P2P links. In the case of ISATAP we will have multiple hosts terminating on the Tunnel0 interface and will require IPv6 addresses (provided by neighbor/router advertisements) and other pertinent information. So we use the “no ipv6 nd suppress-ra” command to override the default behavior. We need to have the tunnel interface use the EUI-64 (concatenated MAC) address as the host portion (64 bits). We use the “EUI-64” keyword to allow for the router to generate a unique IPv6 address vs. us manually assigning the host address. Finally we enable the tunnel mode to “ISATAP” so that the router knows what do with the addressing/tunneling format for connecting hosts


Catalyst 3750XCatalyst 3560X

Catalyst 3560compact

Nexus 7000シリーズ Catalyst 6500シリーズ

Catalyst 4500シリーズ

Catalyst 2960/2960S（※L2sw:管理機能IPv6対応）


ENTERPRISEにおけるIPv6導入:WAN


DualStack

WAN回線サービス

CorporateNetwork

Dual Stack

Example

• Ciscoのルータ製品はすべてIPv6 対応しております。

• IPv6を通せる回線サービス（広域L2 LANサービス、DualStackIP-VPNサービスなど）を利用している場合には、導入の容易さ、セキュリティ、パフォーマンスの面から、Dual-stackでの導入を推奨します。

Dual Stack

IPv6対応IPv6対応

IPv6対応 IPv6対応

専用線、ISDN、ATM、広域L2サービスなど


IPv4

WAN回線サービス

CorporateNetwork

Dual Stack

Example

• IPv6が通らない回線サービス(IP-VPNサービスなど）を利用している場合、トンネル技術の利用を検討

• トンネル技術（IPv6 over IPv4）

1. Configuredトンネル

2. 6to4

3. ISATAP

4. LISPIPv4

IPv6対応IPv6対応

IPv6対応IPv6対応ISATAPルータ

IP-VPN、Internet-VPNなど

ISATAP

IPv6 over IPv4トンネル


Configured Tunnel

IPv4IPv6 Network

IPv6 Network

IPv6 Host

Dual-Stack Router

Dual-Stack Router

IPv6 Host

ipv6 unicast-routingipv6 cef!interface Tunnel0no ip addressipv6 address 2001:DB8:C003:1104::1/64ipv6 ceftunnel source Serial0/0tunnel destination 192.168.0.1tunnel mode ipv6ip!interface FastEthernet0/0ipv6 address 2001:DB8:C003:111E::1/64ipv6 cef!interface Serial0/0ip address 10.1.1.1 255.255.255.252

ipv6 unicast-routingipv6 cef!interface Tunnel0no ip addressipv6 address 2001:DB8:C003:1104::2/64ipv6 ceftunnel source Serial0/0tunnel destination 10.1.1.1tunnel mode ipv6ip!interface FastEthernet0/0ipv6 address 2001:DB8:C003:111F::1/64ipv6 cef!interface Serial0/0ip address 192.168.0.1 255.255.255.252


• IPv4 IPSec Tunnel上でconfigured 又は 6to4 tunnelsを動かすことによってIPv6 VPNを構築可能

（Native IPv6でのIPSecがSupportされるまでの暫定策）

Primary IPv6 Tunnel Secondary IPv6 Tunnel

Branch 1

Branch 2

IPv4Internet

CorporateNetwork

VPN HE1

VPN HE2

IPv6 Configured Tunnel

IPv6 Configured Tunnel

Presenter

Presentation Notes

Until IPSec over IPv6 is supported we will have to use the IPv4 network as the transport mechanism for tunneling IPv6 over the network and then attaching IPSec to that tunnel


IPv4IPv6 Network

IPv6 Network

6to4 Router2

6to4 Router1

100.168.99.1 100.168.30.1Network Prefix:2002:64A8:6301::/48

Network Prefix:2002:64A8:1E01::/48

= =

E0 E0

interface Loopback0ip address 100.168.30.1 255.255.255.0ipv6 address 2002:64A8:1E01:1::/64 eui-64!interface Tunnel0no ip addressipv6 unnumbered Ethernet0tunnel source Loopback0tunnel mode ipv6ip 6to4!ipv6 route 2002::/16 Tunnel0

• 6to4 tunnel: IPv4グローバルアドレスから自動的に

IPv6 Prefixを生成

6to4 Address Range=2002::/16それぞれのSiteにIPv4グローバルアド

レスが必要 (no RFC 1918)

2002 Public IPv4 Address

/48 /64/16

Interface IDSLA


• 6to4 relay: 6to4 SiteからIPv6 Internetへ

アクセスするためのGateway Site。

6to4 Siteから見たDefault router

Anycast address (RFC 3068) for multiple 6to4 relay (192.88.99.1)

IPv6 Address:2002:64A8:1E01::1

IPv4IPv6 Network

IPv6 Network

6to4 Router1

100.168.99.1Network Prefix:2002:64A8:6301::/48

=

6to4 Relay IPv6 Internet

interface Loopback0ip address 100.168.99.1 255.255.255.0ipv6 address 2002:64A8:6301:1::/64 eui-64!interface Tunnel0no ip addressipv6 unnumbered Ethernet0tunnel source Loopback0tunnel mode ipv6ip 6to4!ipv6 route 2002::/16 Tunnel0ipv6 route ::/0 2002:64A8:1E01::1

Presenter

Presentation Notes

The graphic shows the configuration of Router1 using a 6to4 relay for all IPv6 traffic to sites on the IPv6 Internet. To use a 6to4 relay, only add a default IPv6 route to the IPv6 address of the 6to4 relay. Important note: Private IPv4 addresses cannot be used if a 6to4 relay is used.


“… routing scalability is the most important problem facing the Internet today and must be solved … ”

Internet Architecture Board (IAB)October 2006 Workshop (written as RFC 4984)

Overview

開発背景

• インターネットが直面しているIPアドレス経路爆発に対応するために考案

• IPアドレスはLocatorとIDが不可分経路の増加を促している

• IPv6を導入しても解決しない

• 経路爆発が引き起こす問題

• ルータの転送テーブル（FIB）を保持する高速かつ高価なメモリが必要

• ネットワークのアップグレードコスト負担

• 経路収束時間増インターネットの安定性と信頼性を低下

WithoutLISP

Presenter

Presentation Notes

What is LISP? LISP stands for Locator/ID Separation Protocol and is a next-generation routing architecture being developed by Cisco and the IETF that implements a new paradigm for IP addressing that uses two IP addresses to create two namespaces: Endpoint Identifiers (EIDs), which are assigned to end-hosts, and Routing Locators (RLOCs), which are assigned to devices (primarily routers) that make up the global routing system. Creating separate namespaces for EIDs and RLOCs resolves current routing scalability limitations through greater aggregation of RLOCs, and facilitates new functionality such as improved multi-homing efficiency and ingress traffic engineering in an interoperable manner with minimal impact to existing networks. Why was LISP developed? The current Internet routing and addressing architecture uses a single namespace, the IP address, to simultaneously express two attributes about a device: its identity, and its location (how it is attached) within the network. One very visible and detrimental result of this single namespace is manifested in the rapid growth of the Internet's DFZ (default-free zone) as a consequence of multi-homing, traffic engineering, non-aggregatable address allocations, and business events such as mergers and acquisitions. Locator/ID separation concepts have been discussed for many years as a way to greatly reduce the size of the Internet DFZ. LISP comprises the development of protocol specifications being developed by Cisco and the IETF.


Internet

ホストのIPv4やIPv6アドレスは identity（端末識別）とlocation（位置情報）の両方

を表す

今日のインターネットの振る舞いLocator/ID の一体化によるオーバーロード

x.y.z.1 ホストが異なるサイトに移動すると、そのサイトで新しい identity と

location のためのアドレスを取得しなければならないw.z.y.9

端末のIPv4やIPv6アドレスは identity のみ

ホストが移動しても同じidentity を保持

LISPの振る舞いLocator/ID の分離

Internet

a.b.c.1e.f.g.7

Location のみ変更

x.y.z.1

x.y.z.1

location はルータが持っている

“location” と “identity” とは？

IOS 15.1(4)M～、NXOS 5.0(3)～LISP正式サポート開始


DNSは URL から IPアドレスを解決する

LISPは EID から RLOC を解決する

host

DNS URLのIPアドレス解決

LISP接続先ルータのIPアドレス解決

[ who is www.cisco.com ] ?

LISP router

DNSServer

LISP Mapping System

[ 198.133.219.25 ]

[ where is x.y.z.1 ] ?

[ location is a.b.c.1 ]

LISPのマッピング解決


IPv4 Outer Header: RLOC

ルータのアドレス

IPv4 Inner Header:EID

ホストのアドレス

LISP header

UDP

draft-ietf-lisp-09IPv4 EID / IPv4 RLOC の例

Presenter

Presentation Notes

Is Path MTU and issues with LISP? LISP encapsulation adds 36 bytes (IPv4) or 56 bytes (IPv6) to the original packet size. As with other protocols that encapsulate or tunnel traffic (e.g. IPSec and GRE), it is possible that the resulting encapsulated packets could exceed the permissible MTU of the egress interface or somewhere along the path to the destination. LISP provides both stateless and stateful mechanisms for handling potential MTU issues, with the main goals being (1) preventing packets from being dropped, and (2) preventing the need for ETRs to perform packet reassembly prior to LISP de-encapsulation. Stateless mechanisms allow the ITR to fragment packets prior to encapsulation so that the destination host is responsible for reassembly. Stateful mechanisms avoid fragmentation by allowing LISP to participate in Path MTU Discovery (PMTUD).


IPv4 Internet

IPv6 Internet

v6

v6v4v6

LISProuterLISP

routerv6

services

IPv6 Transition Support

v6-over-v4, v6-over-v6 v4-over-v6, v4-over-v4

Data Center 1

Data Center 2

a.b.c.1VM

a.b.c.1VM

VM move

LISProuters

LISProuters

Internet

VM-Mobility

Cloud / Layer 3 VM moves Segmentation

LISP 利用方法例

HQ LISP Site

Internet

DataCenter

UserNetwork

RemoteLISP Site

RemoteLISP SiteRemote

LISP SiteRemote

LISP Site. . 10k . .

High-Scale VPNs

Reduced CapEx/OpEx Segmentation

Efficient Multi-Homing

IP Portability Ingress Traffic Engineering without BGP

LISProuters

LISPSite

Internet


LISP Virtualization EIDとRLOCのネームスペースを仮想化する技術

LISP “Instance-ID”を利用してコントロールプレーンとデータプレーンのアドレススペースを分離

Instance-ID 24-bitの任意の値

Data-plane: LISPのヘッダーに格納

Control-plane: LCAF formatでEIDに付加

Instance-ID

VLAN Tagの様にパケットに識別子をつける技術


共有マッピングシステム

(IID1, 10.1.0.0/16) (IID1, 10.2.0.0/16)

(IID2, 10.2.0.0/16)(IID2, 10.1.0.0/16)

コントロールプレーン

MSMRMSMR

xTR2

xTR4xTR3

共有ネットワーク

xTR1

重複するEIDプレフィックスのアドレス空間をInstance IDと使って分離

IID EID RLOC1 10.1.0.0/16 xTR11 10.2.0.0/16 xTR22 10.1.0.0/16 xTR32 10.2.0.0/16 xTR4


共有マッピングシステム

MSMRMSMR

共有ネットワーク

(IID2, 10.1.0.0/16)(IID1, 10.1.0.0/16)

(IID1, 10.2.0.0/16) (IID2, 10.2.0.0/16)

データプレーンプレーン

xTR3

xTR1 xTR2

Instance ID毎にVRFでルーティングインスタンスを分離

共有RLOC

IID EID RLOC1 10.1.0.0/16 xTR11 10.2.0.0/16 xTR32 10.1.0.0/16 xTR22 10.2.0.0/16 xTR3

VRF IID EID RLOCBLU

E1 10.2.0.0/16 xTR3

RED 2 10.2.0.0/16 xTR3


• IPv6 QoS (MQC)

QoS

www.cisco.com/go/fn

• IPv6 standard /extended ACL• IPv6 IPSec authentication for

OSPFv3• IPv6 firewall (Stateful)

Security

• RIPng、 OSPFv3• IS-IS for IPv6、 MT IS-IS• MP-BGP IPv6 Unicast• MP-BGP IPv6 Multicast• Policy-based routing• LISP• HSRP for IPv6• VRFv6

Routing

Broadband Access• Cisco VSA AAA• RADIUS AAA (RFC 3162)• PPPoA, PPPoE, RBE and

ATM 1483 encapsulations• DHCPv6 prefix delegation

(RFC3633)• Stateless DHCP (RFC 3646)• Generic prefix• DHCPv6 Server• DHCPv6 Relay Agent

• MLDv1 and v2• MLD access group• PIMv2 SM, SSM, Bi-Dir• PIM embedded RP• IPv6 MC over IPv4 tunnels• Scope boundaries• Static mRoutes

Multicast

• Configured and automatic tunnels (RFC 2893)

• 6to4 (RFC 3056 and 3068)• IPv6 over GRE/IPv4• IPv6 over MPLS (6PE)• ISATAP• NAT-PT phase I and II

(RFC 2765 and 2766)• IP over IPv6 tunnels

Integration

• IPv6 (RFC 2460)• ICMPv6 (RFC 2463)• Neighbor discovery (RFC 2461)• Stateless auto-configuration• Anycast• CEFv6/dCEFv6• uRPF• CEFv6 switched tunnels

Core

• Telnet, TFTP, DNS resolver, HTTP, Ping, Traceroute, SSH, SNMP, sylog

• IP-SLA• Cisco IP and IP-Forwarding MIBs• Netflow for IPv6

Applications and Mgnmt

Cisco IOS Software

http://www.cisco.com/go/fn�


ENTERPRISEにおけるIPv6導入:Firewall & Remote Access


IPv6対応ステートフルファイヤウォール IPv6ステートフルフェイルオーバー対応

高パフォーマンスファイアウォールスループット:40 Gbps * IPS スループット:10 Gbps* VPNリモートアクセス:10,000 ユーザ対応

インベストメントプロテクションビジネス成長に必要不可欠な拡張機能

を実現するハードウェア

先進的なマルチセキュリティサービス Botnet Traffic Filtering と Global Correlation

によるセキュリティサービス Cisco AnyConnectとの連携

クラウドコンピューティングの台頭、モビリティデバイスの増加の現代において求められる性能を高水準で実現したファイアウォール

*最上位機種(SSP60)にて実現

新製品情報


マルチサービス(ファイアウォール/ VPN / IPS)

パフォーマンス

/スケーラビィティ

データセンタ大企業支社SOHO インターネットエッジ

ASA 5585 SSP-60(40 Gbps, 350K cps)




ASA 5540 (650 Mbps,25K cps)

ASA 5520 (450 Mbps,12K cps)

ASA 5510 (300 Mbps,9K cps)ASA 5505

(150 Mbps, 4K cps)

ASA 5550 (1.2 Gbps, 36K cps)

NEW

NEW

NEW

NEW

ファイアウォール/ VPN アプライアンス

FWSM(5 Gbps, 100K cps)

ASA SM(20 Gbps, 300K

cps)

ファイアウォールモジュール

(VPNもサポート予定)

NEW

新製品情報


• インテリジェントな接続制御

– ゲートウェイ選択の最適化

– ネットワーク接続品質による制御

–IPv6 対応(IPv6 over IPv4)

• セキュリティ機能の拡張

– Always On VPN– 接続時端末検疫機能の拡張

• きめ細かいユーザサポート機能

ホットスポット／限定的なアクセス環境の検知と状態の通知

VPN接続時にもローカルのネットワークプリンタ利用が可能


ENTERPRISEにおけるIPv6を導入しない場合の懸案事項


Neighbor Discoveryの問題→LAN内からの不正アクセス不正トンネル (Teredoトンネル)→LAN外からの不正アクセス

IPv4 Intranet

IPv6 InternetIPv4 Internet

IPv6 Client

攻撃者

攻撃者

IPv4ネットワーク||

IPv6トラフィックを監視していない

L2の機能で防御 (IPv4と同じ対策)Private VLANPort Security, 802.1x

Teredo対策が必要（次ページ）


Teredo利用時

• IPv6が有効なクライアントによってTeredoトンネルが構築される

• 社内ユーザがIPv6でP2Pを実行

• FWではただIPv4 UDPトラフィックが通過しているように見える

• アウトバウンドの制御がFWでできない！

IPv4 Intranet

IPv4 Firewall

Teredo Relay

IPv4 InternetIPv6 Internet

対応策

• FWでUDPをフィルタリング

• Flexible Packet Matching (FPM)を利用UDPのペイロードにあるTeredoアドレス（2001::/32）をブロックする


• ルータ/スイッチベンダとしての実績

IPv4がIPv6になったからといって、ルータやスイッチの本質が変わるわけではない。またIPv6だけのネットワークにすることがない以上、IPv4の今後の機能拡張も非常に重要。

• IOSのVersionUpによるIPv6対応

既存ルータ/スイッチなどはIOS VersionUpにてIPv6にも対応可能。

IPv6はまだプロトコル自身が未成熟であり、今後も変動するためハードウェア処理に依存し過ぎない実装。ハードウェア処理は高速だが、ハードウェア処理できない機能の場合、使い物にならないような性能の製品実装は将来的に使えない。

• 卓越したIOSオペレーション

IPv4と同様のオペレーションにて、IPv6のオペレーションも可能。IPv6オペレータの育成コストを削減可能。

Thank you.

Documents

IPv6共存 移行 ネットワーク最適化を実現する IPv6ソ … 4500 Ciscoルーター DualStack対応LANsw機器 Catalyst 6500 Catalyst 4500 Catalyst 3750X/3750E Catalyst

IPv6共存移行ネットワーク最適化を実現する IPv6ソ … 4500 Ciscoルーター DualStack対応LANsw機器 Catalyst 6500 Catalyst 4500 Catalyst 3750X/3750E Catalyst