JANOG初日その12006年01月19日

JANOG へ参加するため、仙台へやってきました。 今回のミーティングは17回目。新幹線に乗って、昼に仙台駅に到着。 駅の地下で牛タンを食べ、会場の国際センターへ。

ルーティングセキュリティをISPの視点から考えてみる

ルーティングのセキュリティ確保は難しいよね、という話。提案はいろいろあるけど 実際のところは……。

IPアドレス設計への配慮とは

IPv4についてはそれほど綺麗に整理せずに力技でなんとかする、というのも またポリシーでしょうか。整理するあたってはディスクのフラグメンテーションを 解決するツールがありますが、あれを連想したのですが、同様の指摘が 会場からありました。また、Knuth の本に載ってた メモリのアロケーションについてのアルゴリズムが参考になるのでは、という 指摘もありました。

また、IPv6についてはアドレスをIPv4のアドレスを元に決め、 対応をわかりやすくする、という手段を取っているところもあるようです。

歴史的PIアドレスの今とこれから

IPアドレスは現在はIANA->APNIC->JPNICの階層的なスキームで割り当てられて いますが、それ以前に取得した組織の持つアドレスブロックはどうするの、というお話。

以前からJPNICによる呼びかけで、ひとまずはJPNICの管理下のシステムへ アドレスブロックを登録しているけど、まだ回答も無い組織がかなりあるらしい。 また、経路広報の観測から見ても、未使用のものも多いのではないか、という話。

将来的には使われていないものは回収されたり、あるいはブロックの大きさに 基づいた課金もあるかも、みたいな話も。

なんにしても昔のスキームで割り当てられたアドレスには日本は他のところに比べて 比較的多いらしい。

JANOG初日その22006年01月19日

IPv6の今そこにある危機

IPv6 と IPv4 の混在環境においては、まずIPv6によって接続を試みて、 次にIPv4にフォールバックする、という動作をシステムはとるけど、その 具体的な挙動がどうなの、というレポート。

ICMPによる到達不能エラーの解釈

最初は ICMP のエラー処理がどうなっているか、ということについての 解析の話。ICMP では「接続できない」という場合についてのエラーが 何種類か定義されているが、それらがOSやアプリケーションによって どのように解釈されるか、その話。

Windows XP や WIndows Vista と、IE や Firefox 1.5 の組み合わせでは IPv6からIPv4へのフォールバックは平均して20秒強、という結果が示されていた。 つまり、それらの環境では IPv6 のための AAAA が設定されているサイトに対して接続を試みよう とした場合、実際にはIPv6による接続性が存在していない場合は、20秒ほど 反応が返ってこない、ということになる (ICMPによるエラー処理の場合)。

また、Firefox 1.5 は場合によってはIPv4にfallbackしないこともあるようだ。 また、Linux、FreeBSD、Mac OS X での結果も出ていたが、場合によっては fallback しないこともある。

今年にはリリースされるという Windows Vista からは IPv6 がデフォルトで 有効にされるため、ユーザの環境によっては「サーバの反応が遅くなってしまう」という 懸念がある。

ICMPの解釈についてはOSの領分であるが、fallback 処理については アプリケーション側の問題である。アプリケーションによってはWindows Vista に なった途端に「接続できない」「接続するまでが遅い」などの苦情が 多くなるかもしれない。下手にAAAAは設定できないな、と思った。

DNS Cache Server への負荷への懸念

IPv6を意識しているリゾルバであれば、AAAAとAの2種類のレコードを 問い合わせる、という動作になる。それがDNSのキャッシュサーバへ かける負荷はどうなるでしょう、という話。

単純に考えると、AAAAについてのqueryも増えるわけだから2倍になる。 しかし、いまどきのブラウザなどを考えた場合、入力されたドメイン名に 対するqueryはもっと複雑である。つまり、自動的に www. が補完されたり、 .com や .net、マシンやインターフェイスに設定されたドメイン名が補完されて しまう。

そのため、入力された文字列によってはqueryが最大で40倍ほどの数に 膨れ上がってしまう、というお話。単純に考えれば、xSP の用意する DNS Cache Server への負荷が2倍から40倍になる恐れがある、という こと。

また、Windows の場合には補完による解決の 処理をすべてAAAAのみで済ませた上で、はじめてAにfallbackするらしい。 これがFreeBSDの場合は、AAAAとAによるqueryを交互に発するため、 正解にたどりつくまでのqueryの回数は少なくてすむ。

これとは別に、AAAAへの応答を何も返さない困ったauthoritativeサーバに ついての指摘もあった。cache server からは SERVFAIL を返せばいいのだが、 実際にはタイムアウトの発生までcache serverへの負荷が発生するので 困ってしまう。また、ブラウザも反応が悪くなる。ここいらの話は時間切れとなって 突っ込みは足りなかった。

JANOG初日その32006年01月19日

IPv4が残り少なくなったときのことを考える

IPv4の枯渇が近くなった場合の世界のことについて討議するセッション。

  • 日本にとって必要なのはあと /8 が 4 つくらい? でも、携帯電話などを考えるとひょっとしたら 10以上必要になるかも、みたいな話。そんなことは他の国や地域が許してくれるのか? (世界的には残り 30 くらいしかない)
  • アドレスの確保のために企業のM&Aがおこるかも
  • アドレスのブラックマーケットができるかも
  • 南北問題、の発生による政治問題化
  • 十分に確保したIPv4アドレスを使い続けるところ、IPv6へ以降する ところ、かってなIPv4アドレス空間に移ってしまうところ、みたいな複数の 世界にインターネットが分断されるかも

なんにしてもIPv6への準備は今のうちにやっておくべし、みたいなところではあったが。

<< 2006/01 >>
01 02 03 04 05 06 07
08 09 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31

RSS