IPv6アドレススキャン攻撃

IPv4では、アドレススキャン攻撃やポートスキャン攻撃は日常的に行われています。 ファイアウォールなしの状態でグローバルIPv4アドレスに接続していれば、すぐに攻撃を観測できます。

IPv6でもアドレススキャン攻撃は発生しています。私の家のネットワークでも、IPv6でのアドレススキャン狙いと推測されるトラフィックを簡単に観測できました。 ただ、いまのところ、私の家では、実際に利用しているIPv6アドレスを外部から発見できているようなスキャンの形跡を発見できておらず、主にステートフルDHCPv6や手動設定でのIPv6アドレスを探しているように見えました。 やはり、IPv4と比べると、IPv6の方がIPv6アドレススキャン攻撃の難易度は高いのだろうと思います。

続きを読む...

MACアドレスの再利用は、みんなが思っているよりもはるかに一般的

MACアドレスは、原則として、一意に割り当てられるものです。 ネットワークインターフェースカードごとに、ひとつずつユニークな値をベンダーが付けるものとされています。 ただ、これは、あくまで「原則として」であって、実際は、MACアドレスが重複することもあります。

IPv6に関連するいくつかのRFCで、MACアドレスの重複への言及があります。 この記事では、MACアドレスの重複とIPv6アドレスの自動生成という、わりと限定された視点ではありますが、MACアドレスが一意とは限らない、という話を紹介します。

続きを読む...

Wiresharkで観察するIPv4 Mapped IPv6アドレスを使った通信

「Wiresharkで観察するIPv4 Mapped IPv6アドレスを使った通信」という動画をYouTubeで公開しました。

IPv6 アプリケーションが、IPv4で通信するためのアドレスとして、IPv4-MappedIPv6アドレスというものが用意されています。IPv4 Mapped IPv6アドレスは、IPv4射影IPv6アドレスとも呼ばれています。 IPv4との互換性のために標準化されているIPv4-Mapped IPv6アドレスは、IPv4アドレスを表現する手段として利用されることがあります。

続きを読む...

「徹底解説v6プラス」を書きました

「徹底解説v6プラス」という本を書きました。 「v6プラス」は、NTTフレッツ網を利用するユーザが、IPv6とともに、IPv6 IPoEを経由してIPv4インターネットと の通信ができる、日本ネットワークイネイブラー株式会社(JPNE)のサービスです。 IPv6 IPoEを経由することで、IPv4 PPPoEを経由せずにIPv4インターネットとの通信を行うため、ユーザのパケットが通る経路が変わります。 この経路の違いが通信品質に大きな影響を与える場合もあります。

「v6プラス」は、特定の企業のサービスであるため、RFCなどの文書によってその内容が明示されているものではありません。 2018年に発行した「プロフェッショナルIPv6」では、AppendixとしてNTTフレッツ網におけるIPv6に関する話題を扱っていますが、各VNEが提供しているサービスに関しては言及していません。

続きを読む...

IPv6がIPv4よりも速い理由

北米、及びカリブと北大西洋地域のRIR(Reigional Internet Registry)であるARIN(American Registry for Internet Numbers)のブログで、「Why is IPv6 faster? (なぜIPv6の方が速いのか)」という記事が公開されています。この記事に関連する内容は、NANOG 76で「Prisoner of IPv4(IPv4の囚人)」というタイトルで発表されています(動画58分ごろからがPrisoner of IPv4です)。

ARINの記事では、計測によるとIPv6を利用した方がIPv4よりもRTT(Round Trip Time)が短くなる傾向があるとしています。さらに、それによってWebサイトなどの表示速度が上昇することでSEOとしての効果も期待できるので、Googleによる検索エンジンでの順位が上がると書かれています。

続きを読む...

DS-Liteの仕組み

DS-Liteは、基幹ネットワークをIPv6で構築し、ユーザのローカルネットワークとIPv4インターネットをつなぐことができる技術です。 基幹ネットワークをIPv6だけで構築しつつ、ユーザに対してはIPv4サービスも提供できます。

DS-Liteという名前は、Dual-Stack Liteの略です。 名前の意図としては、IPv6とIPv4のデュアルスタックを軽量に実現できる技術である、というものです。 この軽量は、ISP側によるIPv4でのCGN(Carrier Grade NAT)と比べて軽量という意図があります。

続きを読む...

可搬型ドラム光ファイバ@Interop Tokyo 2019

Interop Tokyo 2019 ShowNetにて、ドラムに巻かれた強いファイバが展示されていました。 NECによる「ポータブルPAC ケーブル&可搬ドラム」と、日鉄溶接工業株式会社による「金属管光ファイバケーブル PICODRUM」です。 電源ドラムと同じようなドラムに光ファイバが巻きついており、イベント会場や屋外などで一時的な光ファイバ敷設を行いやすい製品です。


電源ドラムと同じように扱うことが可能で、踏んでも曲げても壊れないことを示すために、ShowNet展示では「曲げてください!」「踏んでください!」という体験コーナーがあります。 ShowNetブースで展示されているビデオでは、フォークリフトで光ファイバを踏んでも映像伝送が問題なく続けられていることが紹介されています。 また、防水加工されたコネクタ部分(NECはIEC規格IP68対応/防塵、防水)を水につけた状態でも通信が維持できています。





続きを読む...

Interop Tokyo 2020は4月13-15開催

これまで、Interop Tokyoは6月に行われてきましたが、オリンピックが開催される2020年は4月13日から4月15日での開催になることが、本日発表されました。 開催場所は例年通り幕張メッセです。


2020年は、どうなるのだろうという話は以前から気になってましたが、4月の開催なのですね。 準備期間が2ヶ月減るので色々と大変そうです。

Interop Tokyo 2019 ShowNetのみどころ

2019年のShowNetでのポイントを聞いてきました。色々と盛りだくさんなので、列挙することにしました。

サービスチェイニングも3回目
	バックボーンにサービスとして入れたのが3回目
	今回は、SRv6で実現

External回線は合計310Gbps

400GbEがShowNetで
	昨年も出展社側での静態展示はあった
	今年はShowNetでの相互接続検証
	テスターを入れてある
		400GbEのテスターも大きなポイント
	400GbEのインターフェースも多様
		400G-LR8、400G-SR8、400G-FR4
		400Gでの伝送も展示あり

自動化の範囲が増えている
	222出展社と100を超えるピアリング先は、ほぼ全自動でconfigが入る
		peering portalに情報を入れると自動でBGPのピアリングが行われる
		出展社に対するサービスメニューをWebクリックで選択すると自動的にDHCPのありなし、グローバルアドレスありなし、セキュリティサービスなどがconfigされる

無線LAN(WiFi)
	11ac Wave2はスタンダードに出していて、高速化が進む
	さらに高速な11axの実稼働も展示あり
	2.5G、5Gイーサネットでアクセスポイントを接続

DC/Server/Cloud
	EVPN Type5の相互接続検証を実施
			L2 VNI、L3 VNIそれぞれを広告しあうことによって検証
		EVPN Type 1-4までは、過去に相互接続性検証を実施済み
	RIFT(Routing In Fat Tree)の相互接続性検証を実施
	ロスレスIPファブリックとNVMe-oF
		NVMeストレージ
			KumoScale
			ディスク自身がイーサネットの通信を行うEthernet JBOF
	ShowNet内およびパブリッククラウドを組み合わせてinteropのWebサイトを運用
		グローバルサーバロードバランシング GSLB(DNSを利用)で、ShowNet内に4割ぐらいのトラフィック、パグリッククラウドに6割ぐらいのトラフィック
		コンテナ基盤としては、Microsoft Azure、GCP、ShowNetでのOpenShift

セキュリティ
	ICAPフェス
		マルウェア解析のためのICAP対応製品の組み合わせによる検証を実施
			数が膨大であるため、10月に行われるShowNet_confで詳細が報告される予定
	例年通り、さまざまなモニタリングなど
		タップや解析など
		高度なサイバー攻撃対策とマルチベンダ脅威情報の集約・活用
		サービスチェイニングによる柔軟で堅牢なセキュリティサービスの提供
	サービスチェイニングの活用(SRv6でのサービスチェイニングとの連携)

モニタリング
	クラウドサービスとオンプレミス監視システムの融合
	オンプレ監視システムによるdeepなモニタリングと経路可視化
	クラウドからのShowNet監視とクラウドのShowNetデータ分析

テスター
	400GbEのテスター
	QoEのフィードバックをエンドノードに近いところから継続的にフィードバック
		QoEとして、スループットだけではなく、遅延やジッタなどを含む品質までをチェックできるように
		以前は疎通のみをチェックしていた
	最新のマルウェアやエクスプロイトを用いたセキュリティ試験

モバイルワイヤレス
	4G/5G RANとEPCのマルチベンダー相互接続性検証(今回は2社)
	5Gの各種コンポーネントのエミュレート
	ステートレスなトラフィック誘導を活用したMEC(Multiaccess Edge Comupting)トライアル

ファシリティ
	200V PDUを使うことで配線がスッキリしてデプロイが早くなる
	電源系統ごとに色分け
	冷却用の難燃性素材をラックの隙間に入れることで気流を制御し、冷却効率をあげる
	各ラックにセンサーをつけることで監視して管理
	ドラムに巻きついたファイバ
	伝送装置の相互接続(4社)
		伝送装置を活用することで少ないファイバ芯数に。芯数の節約
		冗長経路にも。ラムダごとにパスを変えている。三箇所を三角形につなぐリングに。

IPv6 IPoEとIPv6 PPPoEの解説動画を作りました

この動画では、NTTフレッツ網のためのIPv6 IPoE方式とIPv6 PPPoE方式について解説します。IPv6 IPoE方式はネイティブ方式、IPv6 PPPoE方式はトンネル方式と呼ばれることもあります。

IPv6 IPoEとIPv6 PPPoEが作られた背景として、NTT法による制限、NTT東西のネットワーク設計および判断に加えて、IPv6がそもそも抱えている課題があります。

続きを読む...

インターネットプロトコルにおけるパケットサイズに関して

拙著「プロフェッショナルIPv6」で、IPv6がリンクにおいて1280オクテット以上のMTUを要求していることに関して「最小MTU」という表現をしており、その表現が間違っているのではないかというご指摘をいただき、その点について調べなおしました。

その過程で、そもそも関連する部分で自分が間違って理解していたことに気がつきました。 その間違いを発信していたという恥を晒す内容ですが、せっかくなのでブログの記事として共有することにしました。

続きを読む...

IPv6とIPv4の違い

IPv6とIPv4は、さまざまな違いがある、似て非なるプロトコルです。 全く異なるプロトコルなので、IPv6とIPv4の間には直接的な互換性はありません。

この動画では、IPv6とIPv4の主な違いを紹介していきます。

続きを読む...

ULA(Unique Local IPv6 Unicast Address)

ULAは、IPv4におけるプライベートIPv4アドレスのようなものであると勘違いされがちですが、ULAはそのようなものではありません。ランダムな値を含むことで競合の可能性を下げているという特徴があるグローバルスコープのユニキャストIPv6アドレスです。

今後、広く使われるようになるのかどうかは不明ですが、仕様として存在しており、クローズドなネットワークでIPv6を利用する際の選択肢として検討されることもあるので解説してみました。

続きを読む...

IPv6マルチキャストのスコープとゾーン

IPv6には、IPv6アドレスの有効範囲を示すスコープという概念があります。

ユニキャストおよびエニーキャストのIPv6アドレスでのスコープと、マルチキャストのIPv6アドレスでのスコープは別です。以前、リンクローカルアドレスの解説でユニキャストとエニーキャストでのIPv6アドレスのスコープについて解説しましたが、今回はマルチキャストでのIPv6アドレスのスコープについて解説します。

続きを読む...

リンクローカルユニキャストIPv6アドレス

リンクローカルユニキャストIPv6アドレスは、単に、リンクローカルアドレスとも呼ばれています。 IPv6では、ネットワークインターフェースの初期化するときに、リンクローカルアドレスが自動的に設定されます。

IPv6の基本的な機能であるNeighbor Discovery Protocolや、IPv6アドレスの自動設定、ルーティングプロトコルであるOSPFv3のプロトコル設計でも、リンクローカルアドレスの存在が前提となっています。 リンクローカルアドレスは、IPv6において重要な要素といえます。

続きを読む...

「IPv6はIPsecで暗号化されるので安全」という誤解

「IPv6はIPsecが必須とされているのでIPv4よりもセキュアである」と誤解されていることがあります。 古い教科書などに、そういったことが書いてあったり、いまでもそのような内容で解説されることがあります。

しかし、現時点において、そんなことはありません。 IPv6で通信を行うときに、普通はIPsecは使われません。

続きを読む...

IPv6基本仕様概要の解説動画を作りました

IPv6の基本仕様は、2017年に発行されたRFC 8200で規定されています。RFC 8200のタイトルは、「Internet Protocol, Version 6 (IPv6) Specification」ですが、その日本語訳は、「インターネットプロトコル, バージョン6(IPv6)仕様」になります。

概要という意味がある、Abstractという章が最初にありますが、そこには、非常にシンプルに、「このドキュメントはインターネットプロトコルのバージョン6を規定している」と書いてあります。

続きを読む...

動画「IPv6の勘所」を作りました

IPv6を勉強するときに、ここは大事だとか、ここでハマりそうだ、と個人的に思った部分をまとめてみました。

この動画に含まれる内容は拙著「プロフェッショナルIPv6」からの解説です。 いまのところ、今回の動画を含めて3本の動画を作りました。 今後、増やしていきたいと考えています。お楽しみいただければ幸いです!



NAT64とDNS64の解説動画を作りました

エンドユーザに対して、IPv4とIPv6の両方を提供するのではなく、IPv6のみを提供することで、ネットワークの管理負荷を軽減するという考え方があります。 NAT64+DNS64を使うと、エンドユーザ向けのネットワークをIPv6のみにしつつ、IPv4インターネットで提供されているWebコンテンツの閲覧などが行えるようになります。

2016年6月からiOSアプリの審査基準としてIPv4に依存するコードの禁止が追加され、iOSアプリでIPv6対応が義務となったことから、IPv6に関する知識が必須になったという方も多いのではないでしょうか。 Apple社のサイトには、「IPv4 アドレス在庫枯渇の発生とともに、ユーザに対してIPv6 のみによるインターネット接続性を提供するNAT64とDNS64がエンタープライズ網や携帯電話網で採用されることが増えている」とあります(参考)。 iOSアプリ開発者は、NAT64とDNS64環境でもアプリが正しく動作することを求められています。 Appleのサイトでは、NAT64とDNS64はOS X 10.11から標準搭載されるようになったことや、Macを使ってiOSアプリの動作確認をすることを推奨していることも書かれています。

続きを読む...

IPv6アドレスのテキスト表記の解説動画を作りました

IPv6アドレスのテキスト表記のルールは、2つのRFCに記載されています。 IPv6アドレス体系を規定したRFC 4291に記載されたルールと、主に人間が読みやすいようにするための、IPv6アドレスの省略表記における推奨事項を規定したRFC 5952に記載されたルールです。

RFC 4291とRFC 5952に記載されているIPv6アドレスのテキスト表記ルールの解説動画を作りました。 IPv6そのものの勉強や、ネットワークスペシャリストの勉強などに活用していただければ幸いです。

続きを読む...

最近のエントリ

過去記事

過去記事一覧

YouTubeで技術解説やってます!