CEDEC-Net 2015 テクニカルレビュー
9 likes64,259 views
CEDEC 2015の「『繋がりにくい原因』を探れ! ~CEDEC-Netテクニカルレビュー2015~」で講演した際の資料を公開用に編集したものです。IPv6のサポートがiOSの審査要件になったことを受けて、日本のIPv6ネットワーク事情や、NAT64/DNS64でIPv6オンリーネットワークを構築しcedec-netとしてネットワークを提供したことをお伝えします。
CEDEC-Net 2015 テクニカルレビュー
- 1. CEDEC-‐Net 2015 テクニカルレビュー かわかみ ゆうや (@yuyarin) CEDEC-‐Net NOC
- 2. 注意書き • この講演資料料はCEDEC 2015の「『繋がり にくい原因』を探れ! 〜~CEDEC-‐Netテク ニカルレビュー2015〜~」で講演した際 の資料料を公開⽤用に編集したものです • 専⾨門のネットワークエンジニアを対象 にした講演ではないため、説明を簡素 化するために技術的に曖昧な表現や不不 正確な記述が含まれる場合があります
- 3. ⾃自⼰己紹介 仕事:Network&So<ware Engineer of JPNAP 分野:Internet RouDng, 10&100Gbit Ethernet 趣味:カンファレンスネットワーク構築 • JANOG運営委員 + JANOG30&31 NOC • Interop Tokyo 2015 ShowNet NOC • APRICOT APAN 2015 NOC • HTML5 Conference 2013 NOC • CEDEC-‐Net 2014&2015 NOC 川上 雄也 (@yuyarin)
- 5. IPv6対応が急務!? • Apple Will Require IPv6 Support For All iOS 9 Apps http://www.internetsociety.org/deploy360/blog/2015/06/apple-will-require-ipv6-support-for-all-ios-9-apps/
- 6. iOS向けアプリは… • iOS向けアプリケーションではNAT64/ DNS64環境下での動作検証が必須 • 2015年年12⽉月頃の審査からIPv6に対応して いないと審査が通らない? • SupporDng IPv6 DNS64/NAT64 Networks https://developer.apple.com/library/prerelease/ios/documentation/ NetworkingInternetWeb/Conceptual/NetworkingOverview/ UnderstandingandPreparingfortheIPv6Transition/ UnderstandingandPreparingfortheIPv6Transition.html
- 9. CEDEC-‐Net 2015の対外接続 フレッツ光ネクスト (IPv6 アクセス網) cedec-‐‑‒net4 (IPv4+IPv6) cedec-‐‑‒net (IPv6) (IPv6 ISP網) IPv6 インターネット IPv4 インターネット IPv6はそのまま インターネットへ (IPv6 IPoE) IPv4専⽤用サイト⽤用に IPv6パケットを IPv4パケットに変換 (NAT64+DNS64) IPv4パケットをIPv6で トンネルし、ISP側装置で プライベートアドレスを グローバルアドレスに変換 (DS-‐‑‒Lite) IPv6 Only!!
- 10. IPoE
- 11. ⽇日本の特殊なInternet接続環境 – FTTHのシェア70%、固定系全体の50%以上 – アクセス網とISP網が分離離されている • フレッツがアクセス網としてNTT局舎から家庭ま での光ファイバアクセスを提供する • ISPはNTT局舎でフレッツと接続し、そこからの インターネット接続性を提供する • フレッツは「IPv6閉域網」 ※KDDI、電⼒力力系、CATVは⾃自前のファイバや ケーブルでアクセス網を構築している NTT東⻄西の「フレッツ」
- 12. ⼀一般的なインターネット接続 フレッツ光ネクスト (IPv6 アクセス網) homenet (IPv4+IPv6) ISP事業者 (IPv4+IPv6 ISP網) IPv6 インターネット IPv4 インターネット ISP網までPPPoEや IP6oIP4トンネルで IPv6パケットを トンネルする ISP網までPPPoEで IPv4パケットを トンネルする ルータにはフレッツ のIPv6アドレスと ISPのIPv6アドレスの 両⽅方が付与される ※NTT東⻄西のフレッツを利利⽤用したFTTHによるインターネット接続 プライベートアドレスを グロバールアドレスに NAPTする
- 13. VNE事業者 (IPv6 ISP網) IPv6 IPoEインターネット接続 フレッツ光ネクスト (IPv6 アクセス網) homenet (IPv4+IPv6) IPv6 インターネット IPv4 インターネット ※NTT東⻄西のフレッツを利利⽤用したFTTHによるインターネット接続 ルータにはVNEのIPv6 アドレスがフレッツの アドレスとして付与 される VNE事業者網から IPv6でそのまま インターネットへ (IPv6 IPoE) ISP事業者 (IPv4 ISP網) ISP網まで何らかの ⽅方法でIPv4パケットを トンネルする プライベートアドレスを グロバールアドレスに どこかでNAPTする ※VNE (Virtual Network Enabler)
- 14. IPv4のインターネット接続 • フレッツの場合はトンネル必須 – MTU1454以下 • ほとんどNAT(NAPT)超え必須 • 1家庭1グローバルアドレスルール崩壊 – CGN (Carrier Grade NAT) • Web技術とネットワーク技術の相互影響について • h_p://cedec.cesa.or.jp/2014/session/NW/11094.html – IPv4/IPv6 移⾏行行共存技術(後述) – NAPTのセッション枯渇リスクあり IPv4やめたい…
- 15. IPv6のインターネット接続 IPv6 PPPoE接続/IPv6トンネル接続 IPv6 IPoE接続 • PPPoE等によるトンネルが必要 • MTUが⼩小さくなる(PPPoEだと1434 byte) • トンネルオーバーヘッドによる遅延がある • マルチプレフィックス問題 • ISPとフレッツの2つのアドレスのうち閉域網である フレッツのアドレスを使ってしまうと通信できない • 2011年年頃からフレッツで提供開始 • VNE事業者網を経由してフレッツからそのまま インターネットに抜けることができる • MTU 1500 byte でそのままインターネット • ゲーム⽤用通信に超おすすめ
- 16. DS-‐‑‒Lite
- 17. IPv4/IPv6移⾏行行共存技術 – 複数の家庭で同じIPv4グローバルアドレスを 共有することでアドレスを節約する • 本来は⼤大⼈人数を1回線で収容する⽤用途で使わない • 例例えば1アドレスを128家庭で共有する場合は 各家庭で約512ポートまでのNAPTが可能 – ISPのバックボーンからIPv4がなくなっても 家庭側の端末からIPv4インターネットにアク セス可能にする IPv4グローバルアドレスを共有しつつ IPv6バックボーン上でのIPv4接続を 可能にする技術
- 18. IPv4/IPv6移⾏行行共存技術の種類 カプセル化 (IPv4 over IPv6トンネル) トランスレーション (IPv4とIPv6を相互変換) 家庭側機器 MAP-‐E MAP-‐T プロバイダ側 機器 DS-‐Lite 464XLAT IPv6バックボーン上でのIPv4パケットの運び⽅方 NATの 場所 詳しくは「IPv4/IPv6 移⾏行行・共存技術の動向」で http://www.slideshare.net/yuyarin/i-‐‑‒pv4-‐‑‒ipv6coexistance
- 19. DS-‐Lite (Dual-‐Stack Lite) IPv4 インター ネット AFTR B4 IPv6 バック ボーン IPv4 ネット ワーク IPv4パケットをIPv6でトンネルする AFTR: Address Family Transition Router B4: Basic Bridging BroadBand B4 (家庭側機器) AFTR (プロバイダ側機器) トンネルを終端しIPv4パケットを 取り出した後、NAPTする CEDEC-‐‑‒Netでの設計 • インターネットマルチフィード社の transixサービスで65536ポートを 使える特別な回線を提供して頂く • 64ポート/端末=1024端末で設計 • ⾜足りなければバックアップ回線に回す
- 20. IPv4 NAPTポート枯渇 (Day2) AFTRでの割当NATポート数 • 予想通り&予定通りポート枯渇しました! • バックアップ回線にトラフィックを分散させることで 65536ポートを追加した • 1端末平均50ポートを設計の際に⾒見見込んでおけば ⼤大丈夫だということがわかった 65536ポートの壁 1400端末ぐらい
- 21. NAT64 DNS64
- 22. NAT64/DNS64 • DNSのAレコード(IPv4)が返ってきたら AAAAレコード(IPv6)に変換する(DNS64) • そのIPv6アドレス宛の通信をIPv6⇔IPv4 変換する (NAT64) • 変換では64:ff9b::/96の最後32bit分に IPv4アドレスを埋め込む IPv6の端末がIPv4のサーバに アクセスすることを可能にする技術
- 23. NAT64/DNS64の動作 cedec-‐‑‒net (IPv6) DNS64 NAT64 www.example.com 192.168.1.80 example.com NS AAAAを問い合わせ www.example.com A 192.168.1.80 www.example.com A 192.168.1.80 を AAAA 64:ff9b::c0a8:0150 に 変換する 64:ff9b::c0a8:0150 宛のIPv6 パケットを 192.168.1.80 宛のIPv4パケット宛に変換する 64:ff9b::c0a8:0150 宛に通信 1 23 4 5
- 24. NAT64/DNS64 • サーバ側がIPv6対応していなくても IPv6 Only環境が⼿手軽に作れる – 端末側のアプリの検証に最適 – LinuxやBSDの実装あります • TAYGA h_p://www.litech.org/tayga/ • CEDEC-‐Net 2015では以下の機器を利利⽤用 – NAT64: A10 vThunder – DNS64: BIND9.8.2-‐0.37
- 26. IPv6 Only Networkでの動作 完璧に動作した端末 無線には接続できたけど、ネットワークに 接続できたと認識識されない端末 動作しないアプリ – Mac & iPhone (2/3の端末がApple製) – Android – PS Vita – Nintendo 3DS – 艦これ(ログイン後に真っ⽩白)
- 29. 提督の皆様へのご案内
- 31. 内部ネットワーク
- 32. L3 Network Topology IPv6 Address IPv4 Address ※赤字はdefault gateway segment-name (vlan) 192.0.0.0/30 transix-ipv4-wan rt02 RTX1210 vm03 vthunder1 cedec-net (200) 2409:11:xx:a06::/64 RA server-lan (110) 192.168.110.0/24 2409:11:xx:a02::/64 wlc 0.0.0.0/0 ::/0 .1 ::1 .1 .2 Transix AFTR transix-ipv6-wan DCHP-‐PD pool 2409:11:xx:a00::/56 .3 nat64-‐outside-‐lan (10) 192.168.10.0/24 2409:11:xx:a01::/64 cedec-net4 (208) 192.168.208.0/20 DHCP 2409:11:xx:a04::/64 RA .1 ::1 .2 ::2 ::2 NAT64 pool: 192.168.11.0/24 DNS64: ::100 .4 ::4 .5 ::5 vm01 vm02 .1 ::1 .6 ::6 vm04 DHCP Pool 192.168.208.0/20 2409:11:xx:a00::/64 192.168.11.0/24 2409:11:xx:a06::/64 .2 ::2 .7 : :7 vm05 vm06 .9 ::9 vm07 .10 : :10 ::1
- 34. ダッシュボード
- 35. LANマップ
- 36. CEDEC-‐Net 2015のメッセージ • IPv6に対応しておこう • IPv6を優先的に使おう • IPv4でしか動かないコードは駆逐しよう – IPv4アドレスのハードコーディング – アドレスファミリー依存の実装 • AF_INET決め打ち • × gethostbyname2 → ○ getaddrinfo • × struct in_addr → ○ struct sock_addr 今動いているアプリやサーバをすぐに変える必要はありませんが、 今後作るアプリやサーバははじめから対応しておきましょう。 ただしiOSアプリ開発者は今すぐ!
- 37. 参考書籍
- 38. 参考Web • アプリケーションのIPv6対応ガイドライン基礎編 – h_p://www.v6pc.jp/jp/entry/wg/2012/12/ipv610.phtml • WWDC 2015『Your App and Next GeneraDon Networks』 – h_ps://developer.apple.com/videos/wwdc/2015/?id=719 • SupporDng IPv6 DNS64/NAT64 Networks – h_ps://developer.apple.com/library/prerelease/ios/ documentaDon/NetworkingInternetWeb/Conceptual/ NetworkingOverview/ UnderstandingandPreparingfortheIPv6TransiDon/ UnderstandingandPreparingfortheIPv6TransiDon.html
- 39. 使⽤用機材 • ルータ – YAMAHA RTX1210 (YAMAHA) – Cisco ASR1001 (Cisco) • スイッチ – YAMAHA SWX2200-‐8PoE x18 (YAMAHA) • 無線LANコントローラ – AIR-‐CT5508-‐12-‐K9 (Cisco) • 無線LANアクセスポイント – AIR-‐CAP1602I-‐Q-‐K9 x74 (Cisco) – AIR-‐CAP2602I-‐Q-‐K9 x6 (Cisco) • NAT64/DNS64機器 – vThunder (A10 Networks) • ファイアウォール – CheckPoint 4800 (CheckPoint) ※ネットワーク基材のみ掲載
- 40. トラフィック Day2
- 41. トラフィック Day3
- 42. NAT64セッション数 Day2
- 43. NAT64セッション数 Day3