Windows Server 2012 とdownload.microsoft.com/download/C/F/2/CF2F9D51-5D9E-45FE...•VPN とか NAT 越えが難しいプロトコルも使える •身の回りのものすべてにグローバルアドレスを余裕で割り当てるこ

Windows Server 2012 と IPv6

IPv6勉強会代表 MURA

こんな本書きました

copyright (c) 2012 MURA 2

IPv6勉強会って何? • 実務視線の IPv6 勉強会

• 導入、移行、設計、実装、運用、セキュリティ、開発など、「業務でIPv6を使う」を主眼に

• 実務として使える内容重視 • オフライン(勉強会)中心

• 勉強会の各セッションは USTREAM で中継 & 録画 • プレゼン資料等は基本公開

• 2011/11に「IPv6セキュリティ」勉強会を予定オフィシャルサイト : http://www.vwnet.jp/IPv6SG/


IPv6勉強会メンバー募集中 • 勉強会情報などをメールでお知らせします

• http://www.vwnet.jp/IPv6SG/Join.html


Agenda • IPv6のキホン • Windows での IPv6 • Windows Server 2012(RC) で作る IPv6 環境


IPv6のキホン


今なぜ IPv6 ? • 2011/02/03 に IANA の IPv4 在庫がゼロに • 2011/04/15 に APNIC の IPv4 在庫がゼロに

• JPNIC では独自に在庫を持たないので、同日付で日本の IPv4 アドレスも枯渇

• 現在 ISP や iDC が持っている IPv4 流通在庫で運用 → 遅かれ早かれ流通在庫もゼロに

• IPv4 アドレスの新規供給が終了し、IPv6 アドレスだけが新規供給されるのは遠くない将来


2012/06/06 World IPv6 Launch • 著名なWebサイトが恒久的にIPv6対応!!

• bing • Xbox • AKAMAI • facebook • google • その他多数


IPv6って何? • アドレス数を大幅に増やした L3 プロトコル

• 32ビット(IPv4) → 128ビット(IPv6) • 世界人口≒70億人≒ 7x10^9 • IPv4のIPアドレス数=2^32≒4x10^9 • IPv6のアドレス数= 2^128≒ 3x10^38 • /64で考えても 2^64≒ 2x10^19

• IPv4 の弱点を強化したプロトコル • IPヘッダーの単純化→ルーティングの高速化 • 自動構成→PnPを実現 • IPsec標準装備→ハイセキュリティ通信が可能


IPv6 を導入する必要はあるの? •インターネットを使用しているのであれば、導入形態はどう

あれ、IPv6 対応は必要 • IPv6 を導入しない場合のリスク、IPv6 を導入するコストの

バランスを考えて、導入時期、導入方法を判断


IPv6にすると何が良いの? • L3の話しなので、利用者から見ると何も変わりません • IPv4 枯渇に対する現状唯一の根本解決策 • アドレスが潤沢にあるので NAT 不要

• 設計がシンプルに • VPN とか NAT 越えが難しいプロトコルも使える

• 身の回りのものすべてにグローバルアドレスを余裕で割り当てることができる • ゲーム機などの情報家電 • モバイル機器 • 各種センサー


覚えおきたい IPv6 重要キーワード • RA

• Router Advertisement / ルータ広告 • ND

• Neighbor Discovery / 近隣探索 • ICMPv6

• ICMP の IPv6 版 •リンクローカル

• セグメント内だけで有効な IPv6 アドレス


OSI7階層での位置づけ


IPv6の影響を受けるモノ/受けないモノ • L3 以上で動作しているモノは IPv6 の影響を受ける

• OS • Webブラウザー(IP通信をしているアプリケーション) • ルーター • L3スイッチ • ファイアウォール

• L2 以下で動作しているモノは IPv6 の影響を受けない • LANケーブル • L2スイッチ • 無線LAN (ブリッジ動作のみ)


LANケーブル買ってきました


IPv6対応?


IPv4とIPv6は互換性がない


IPv6 ユニキャストアドレスの構造


ユニキャストアドレスの例


表記と短縮方法 • 16ビットごとにコロンで区切った16進表現

• 2001:0db8:0001:0000:0000:0000:0000:cafe • 先頭の0は省略可能

• 2001:db8:1:0:0:0:0:cafe • 連続した0は１ヵ所だけ「::」に省略可能

• 2001:db8:1::cafe • プレフィックス(サブネットマスク)は CIDR と同様表現

• 2001:db8:1::cafe/64 • 詳細ルールはRFC5952参照


スコープの考え方


GUA と ULA • GUA (Global Unicast Address)

• IPv4 で言う所のグローバル IP アドレス • インターネット上でユニークな存在

• ULA (Unique Local Address) • IPv4 で言う所のローカル IP アドレス • インターネット上で使ってはならいない IP アドレス • 計算で求める


1ノードに複数IPv6アドレス • GUA

• インターネット / サイト内部アクセス用 • ULA

• サイト内部アクセス用 • リンクローカル

• リンク内アクセス用(主に通信制御)


RA(Router Advertisement)とDHCPv6


RAのフラグコントロール M flag O flag 意味

ON ON アドレスとそれ以外の情報をDHCPv6で構成する(ステートフル)

ON OFF アドレス構成はDHCPv6を使用するが、それ以外の情報は手動等の別の手段で設定する

OFF ON アドレス構成にはRAを使用するが、それ以外の情報はDHCPv6を使用する(ステートレス)

OFF OFF DHCPv6を使用しない


ND(Neighbor Discovery / 近隣探索) • IPv4 で言うところの arp


ICMPv6 • IPv6 はICMPv6 に強く依存している

• RA • ND • Path MTU Discovery

• ICMPv6 を止めると IPv6 も機能しなくなる


Windows での IPv6


Windows の IPv6 歴史年月出来事 1995/12 RFC 1884 IP Version 6 Addressing Architecture 1999/07 IANA より IPv6 アドレス割り当て開始 2002/09 Windows XP SP1 で IPv6 対応となったが､デフォルト無効 2003/03 Windows 2000 で IPv6 がテスト実装(Microsoft IPv6 Technology Preview) 2003/06 Windows Server 2003 で IPv6 対応となったが､デフォルト無効 2004/03 Windows Server 2003 IPv6 Ready Logo Phase 1 取得 2004/12 Windows CE 4.2 IPv6 Ready Logo Phase 1 取得 2006/11 Windows Vista IPv6 Ready Logo Phase 2 取得 2007/10 Windows Vista IPv6 デフォルト有効で発売開始 2008/01 Windows Server 2008 IPv6 Ready Logo Phase 2 取得 2008/02 Windows Server 2008 IPv6 デフォルト有効で発売開始 2009/10 Windows 7 IPv6 デフォルト有効で発売開始 2010/10 Windows 7 IPv6 Ready Logo Phase 2 取得 2011/06 World IPv6 Day(www.xbox.com が IPv6 対応) 2012/06 World IPv6 Launch(www.bing.com も IPv6 対応)


Windows の IPv6 • RFC に則した実装 • デュアルスタック環境では IPv4 より IPv6 が優先される • IPv6 アドレス自動構成はデフォルト有効 • クライアント OS では匿名アドレスが使われる • ホームグループは IPv6 で実装されている


Windows Server 2012(RC) で作る IPv6 環境


Demo ネットワーク構成


RAの実装 • L3中継装置に RA を実装するだけで IPv6 アドレスは自動構

成される • IPv6 アドレスを自動構成するのに DHCP は不要


L3中継装置の設定 • L3 中継装置に GUA / ULA / リンクローカルアドレスを実装 • リンクローカルアドレスはリンクに閉じているので、

fe80::1/10 を複数ポートに設定する事が可能


RAの実装と L3中継装置の設定

DEMO

ドメインコントローラーへのIP割当て • ドメインコントローラーでは、IPv6 も手動で IPv6 アドレスが割り当てが必要

• IPv4アドレスの割り当て • IPv6アドレスの割り当て • IPv6 アドレス自動構成の停止

• netsh interface ipv6 set interface [インターフェイスID] routerdiscovery=disable • Set-NetIPInterface -RouterDiscovery Disabled (PS3～)


ドメインコントローラーへのIP割当て

DEMO

ルーターガードでも RA が止まりそうな気が... • 残念ながら、RA のアウトバウンドブロックなので止まりません


DNSの設定 • IPv4逆引きゾーンの作成 • IPv6(GUA)逆引きゾーンの作成 • IPv6(ULA)逆引きゾーンの作成


DNSの設定

DEMO

DHCPの設定 • IPv4

• サーバーオプション – 006 DNS サーバー – 015 DNS ドメイン名

• スコープ – 003 ルーター

• IPv6(ステートレス) • サーバーオプション

– 00023 DNS 再帰ネームサーバーの IPv6 アドレス一覧 – 00024 ドメイン検索一覧


DHCPの設定

DEMO

デュアルスタック環境 • AAAA を持つインターネット公開サーバーには IPv6 で通信

する • ping • tracert • http アクセス

• RA で O フラグを ON にしないと DHCPv6 が使用されない • IPv4 でも AAAA 問い合わせはできる


デュアルスタック環境

DEMO

ファイルサーバーへのIPアドレス割当て • ファイルサーバーでは、IPv6 アドレスの手動アドレス割当

ては不要

• IPv4アドレスの割り当て • IPv6アドレスは自動構成でOK


ファイルサーバーへのIP割当て

DEMO

通信の様子 • 有効な IPv6 アドレスが割り当てられている場合、

Windows ネットワークでは、全て IPv6 で通信がされる


通信の様子

DEMO

匿名アドレスの問題 • 匿名アドレスは、一定時間経過または再起動時に更新される • Windows クライアント OS は、匿名アドレスで通信をする •匿名アドレスは DDNS 登録されない

→ ポリシー違反をした PC が特定できない

• 匿名アドレスを停止するには netsh か PowerShell で停止する • netsh interface ipv6 set privacy state=disable • Set-NetIPv6Protocol -UseTemporaryAddresses Disabled (PS3～)


匿名アドレスの問題

DEMO

まとめ • インターネット接続をしているのであれば IPv6 導入は必要 • IPv6 は ICMPv6 に強く依存しているので、不用意に

ICMPv6 を止めない • Windows Vista / Windows Server 2008 以降で IPv6 対応 • Windows Server 2012 と Windows 8 は当然 IPv6 対応!! • 通信監査をしている場合は、匿名アドレスを無効にする必要

あり


Q & A


ありがとうございました!!

Thank You!


Documents

Windows Server 2012 とdownload.microsoft.com/download/C/F/2/CF2F9D51-5D9E-45FE...•VPN とか NAT 越えが難しいプロトコルも使える •身の回りのものすべてにグローバルアドレスを余裕で割り当てるこ