Date: Tue, 09 Oct 2001 00:42:56 +0900 From: Masaru Mukai Reply-To: IPv6-Biz@bugest.net Subject: [IPv6-OPS Enterprize:82] meeting log 2001/10/04 To: ipv6-biz@bugest.net Cc: mukai@omp.ad.jp むかいです。 遅くなりましたが、10/04のログです。 ------------------------------------------------------------------- IPv6biz meeting #3 date: 2001/10/04 pana@京橋 logger: mukai@omp.ad.jp 参加者 島田 近藤 白橋 中川 猪俣 藤本 橘 中井 向井 小野 細谷 (敬称略) --------------------------------------------------------------------- まず、前回のおさらい モデルをしめせればよいとする。 今回は、ネットワーク構成、アドレッシングをテーマにやる。 セキュリティ、トランジション、運用監視を今後やる。 サミットで、この場の議論した内容を、猪俣さん中心でやる。 IWの方でも、ISPの運用面についてやる。 ユーザネットワークまわりについても発表の場がある。 -------------------------------------------------------------------- 今日の内容 初回にかるく話はした。 企業のネットワークとして、どのようなものがあるかという洗い出しは したが、もっと深めていきたい。 ルーティングでも、企業の中のものを深めていく必要がある。 --------------------------------------------------------------------- stack トランジション問題を考えると時期を考える必要がある 方法として、 - 部分的に、トンネル? - スイッチでL2でもっていく - VLANをもってくるルータがデュアルスタックであればよい? まずシングルスタックにはならないだろう。 - 基本的には、デュアルスタック 企業の中に複数のプレフィックスを持つ必要はない ゲートウェイで分断するようなモデルの場合は、考える必要はない。 - NAT proxy? - 外と中のアドレス体系をかえて、ルーティングを切り離すことが出来る。 v6のアドレスを複数もって、フィルタリングできる? 組織にあたえるプレフィックスをかえると、ルーティングできないから セキュリティをたもてる。 - これは家庭の議論でも同じ。 -> これが許されないと、NAT?になる 家庭マルチホームになるかも(最悪のシナリオになる) - サービス毎にコネクティビティがことなる可能性もある。 -> ソースアドレスセレクションがきちんと動かないといけない   今の実装として、複数のアドレスを持ったときに、どのアドレスを   ソースにして出て行くのかが問題   アドレスでセグメントをわけて、ここはこれにつかうというのは 今でもやっている。 -> ルーティング的にはこまる アグリゲーションをしたいけど・・・ -> 破綻しないようにしないといけない。 企業内(サイト)単位のアグリゲーションを考えないといけない。 今、IGPの量は200−300ぐらい(人数は700−800) 企業内にBGPは必要? - 意外を敷居が低くなってきている。 - OSPFではコントロールが効かない - RIPぐらいでエッジは回してしまうこともある。 redistribute bgpをしてしまう。 - OSPFのDR問題とか。 - 設計のスケーラビリティ問題。 今のOSPFv3でどのぐらいのルートをもてるか? アドレスが足りないというノリではないし、aggregationはきくので 少しはましだろう ユーザには、/64をあげるのなら、さっくりおわる - IPって何?とか事務系の仕事をする人のところには、/64はいらないよね - 組織を、どのあたりを想定をしてやるのか? - やたら、端末はつなげさせたくないというものある。 - ホテルのether port問題も、認証が出来る。(mac address base) 認証系 - マックアドレスで認証する枠組みは可能 - 少なくともetherでいく。 - なんらかの方法で認証できる LAN上でのアクセス機器類 マックアドレスで行うのは危険 v4の世界でDHCPをつかってやってるところはあるのかな? - 結構ある。 - 無線系だと、マックアドレスで認証可能 - 限り無くどんなものもつながる。 -> セキュリティネタにいく。 企業網の場合は、複数のプレフィックスをもらった時にサイト内に 複数のプレフィックスを配ってよい? - たくさんアドレスがつけれるのはメリットになる。 - dynamic vlanは、IPv4で出来たけど、IPv6でやるとうれしい? -> switchの機能である。 extream, アルカテルとかRADIUS認証が後ろで走る、とか。 -> 社内1サブネット:-) -> ブロードキャストの嵐になるかも。 端末数が多いと、とんでもないことになる。 必要ないものは見せない。 全国フラットなネットワークはありえない。 IPv4とIPv6がおなじ線のうえにいると、なんにも変わらない。 ポリシーという点では何も変わらない。 今のIPv4のネットワークのトポロジーをかえずにIPv6が はいってきて、デュアルスタックになるのを待つということになる。 一つのインタフェースに複数のアドレスかけるけど、何個もてるんだろう? - 理論上は無制限:-) - ルータのメモリ依存とか。config上の制限という形になる。 ルーティングプロトコル同士は、link localでやり取りをする。 tracerouteはグローバルがないとダメ。 - 基本的には、複数のアドレスがあったときには、ルータの実装依存   リンクローカルは書き換えられるのかな? - リンクローカルにホスト名を埋め込んでかえす実装もある。 site local? - サイト境界を越えたら、ルーティングできない。 - サイトローカルアドレスだけがふられたルータがあると、 tracerouteはこまる。 - 意外とつかえない? - 監視網の時はsite localをつかうとよいかもしれない。   v6時代のNMS 監視系の問題。 IPv4・IPv6両方の監視をせざると得ない。 トンネルは使う。 - 使うのか? - 企業の中で、トンネルしてまでつかうのか? - 開発系のところは点在しているから、つなぐのどうしよう?など - L3SW配下は問題ないけど、その間が問題になる可能性がある。 チェックが2重になるね。 今、IPv4の人が、IPv6になるきっかけ windows XPがあって、普通にうごいてる。 ネットワークがIPv6になるのと、端末がIPv6対応になるのは どっちがはやいか? - 動いているネットワークの中で端末が対応が早い。 - システムのリプレースの段階で切り替わる可能性が高い。 会社の中の部門の人の増減で、ネットワークが変わる可能性がある。 - 人が増えると、IPv4の時はプレフィックス長がかわっていた IPv6に対応できないものがある。 - Oracle7とか。 - 業務上、かえれないところがある。 - IPv6優先でつかいたいけど、結局デュアルスタックになる - 部分的には、IPv4を残す? - 席替え、部署換えとかのタイミングで少しずつ変わっていく。 仮にベンチャー立ち上げるとするとIPv6のみで立ち上げ可能か? - メールが対応 - web画対応 - 業務系ソフトウェアが対応すればよい。 - IPv6を提供するISPがあれば、よい。 - IPv4とよりも安かったら... IPv6になるにはなにをすればよいだろう? - 企業体に閉じたものになって、インターネットにはでないことに  なるかもしれない。    社内のコミュニティツールとしてIPがあればよい。    SOCKSでIPv4/IPv6を行き来することもできる  意外と、お手軽になれる。  - アプリケーションに依存しない  - 認証が豊富  - DNSがなくても動いたりする、  - IPv4だけのところにも、IPv6をみせることが出来る。     ○ちょいまとめ で、デュアルスタックはOK 複数のプレフィックスはOK。 エンドサイトは、複数プレフィックス ルータ間のものは、リンクローカル + グローバルアドレス 複数 - グローバルアドレスは、インタフェースに必要。  監視系で必要になる。  traceroute、ping ISP、SIerもたぶん、ルータに名前をつけて、グローバルアドレスをつける。 P2Pの部分には、/64? - /48の中に、/64は何個? - 65535個 全部/64に統一できると移動しても特に苦労はしない アドレス貧乏症になってはいけない。:-) 人口密度に応じて、アドレスの量は変えないかも。 フラットにあげてしまってもよい。 IPv6bizとして、recommendationをだして、構成例をだすとよいのか? /64 x 1024 を考えると、一つの県にそれなりの数をふっても 大した問題にはならない。 - 生保とかコンビニとかは、/48 x 2 or 3個で全国まわってしまう。 - ガソリンスタンド - 企業 - 生保 - コンビニ どういった、トポロジーにするか? - 推奨モデルとか アドレス割り当てに関する例をつくる。 ☆まとめ しばらくは、企業はいまのものが置き換えるものとなったときにIPv6になる。 トポロジーをかえていくのではない。 <その後> IPv6が使えるようになって、使う人が出てきたときに、IPv6を考えた構築が 始まるかもしれない。 環境条件が整ったときに、使う人が出てくる。 浸透したというのは何をもって示すのか? 企業の所属長の1/3ぐらいがつかいはじめた時が、「浸透した」という感覚 つながっている機器の1/3が対応したら「浸透した」という感覚 -> 38%という数字がある。(家電の法則)この場合にあてはめられるのか? IPv6対応しましたという会社が38%をこえると、浸透しました。というのが よいのだろうか? 企業にとって何が起因となるだろう? - ローエンドの製品が対応するのが重要? - もうすこし、外的な要因が必要になる - 平均的なところがかうというが重要。 ニーズによって違う面がある。 FAXもpeer to peerモデル。 - 相手が使えないと、自分も使えない。 - IPv6も似た側面をもつ。 1割の企業の中でも使えることが証明できる。 しかし、IPが既にあるところに、IPv6をいれていくのはすごく難しい 気がつかないうちに、IPv6対応の機器を購入していて、 気がつかないという可能性もある。 WAN側インタフェースはかわっていく。 しかし、内部はなかなか変わっていかない。 ルータ、SW関係は置き換えないだろう 96年にインターネットブームでノリに乗った会社がもっている リースの製品たちは、リースが切れるから、リースの切り替えで機器が かわる可能性がある。 ループバックは、/128?/64? ホストをしめすものだから、/128だろう。 エンドサイトのセグメントはEUI-64? たぶん、そうだろう。 サーバは? 固定 プリンタ? サーバに依存 IP電話? 固定 e-numという地域等でアグリゲーションしようという話がある。 EUI-64?orDHCP?(EUI-64) unsecureなら、DHCP? 認証って、必要? -> 通信の認証 or アドレスをとるときの認証 DNS discovery anycastを使う。 2つあったらDNSは近い方をとる。 DHCPって設定するのかな 最初に導入いたSIが設定して、おしまい。 でも、管理ができない。 RAとDNS discoveryの組み合わせが意外とよい アドレスと個人とを識別したいというところがある。 それがIPv6で出来ないとレベルダウンになる。 会社としては、個人を特定する、アドレスを特定するというのがやりたい。 これをSIerがどうとるのか、選択肢を出すのが目的になる。 このような使われ方もあって、こうなっているのだという例があり、 機能を削るべきではないということぐらいは言わないといけない。 セキュリティ  次回 トランジション 11月 ISP接続 12月 ☆v6summit パネル セキュリティ トランジション ISP接続 UNIはある? -> 考える マルチホーム(企業むけ) この3つの問題でパネルをやりましょう UNI ISPからみて、どのような利用を考えるか 中間報告的に、IW、サミット サミットの議論は、ここでの議論をベースにする。 IWは、ISPの運用の話と、ユーザネットワーク ☆summitに向けて 以下のモデルを考える。 - 大きな企業 猪俣、中井 - 中ぐらい企業 熊谷 - 小さい企業(セグメント2個ぐらい) 橘 - コンビニ 藤本 それぞれ、私ならこうつくるというのを考える。 一から作る場合と、移行する場合の2つ考える。 --- IPv6OPS-Biz Page : http://www.bugest.net/ipv6-biz/ Access: ipv6biz/enterprize