ipv6共存 移行 ネットワーク最適化を実現する ipv6ソ … 4500 ciscoルーター...
TRANSCRIPT
1© 2010 Cisco and/or its affiliates. All rights reserved.
IPv6共存/移行ネットワーク最適化を実現するシスコのIPv6ソリューション
2011年6月8日
シスコシステムズ合同会社
© 2010 Cisco and/or its affiliates. All rights reserved. 2
• Why IPv6• EnterpriseへのIPv6導入
CampusWANFirewall & Remote Access
© 2010 Cisco and/or its affiliates. All rights reserved. 3
IPネットワークへ接続するデバイスが急増する中、IANAが保有するIPv4アドレスが枯渇
IPv4に置き換わるプロトコルとしてService Provideを筆頭にIPv6の導入が進んでいる
© 2010 Cisco and/or its affiliates. All rights reserved. 4
IANA (ICANN)
RIPE NCC(欧州)
ARIN(北米)
APNIC(アジア太平洋)
LACNIC(中南米)
AfriNIC(アフリカ)
JPNICNIR
LIR
EU
LIR指定事業者
EU EU EU
ISP
EU
ISP ISP
EU EU
RIR
NIR
LIR
ISP
EU
2011/2/3 IPv4アドレス枯渇
2011年4月15日
APNIC同様2011年4月15日
Source: Japan Network Information Center
© 2010 Cisco and/or its affiliates. All rights reserved. 5Source: Geoff Huston, APNIC
© 2010 Cisco and/or its affiliates. All rights reserved. 6
インターネット
Data Center Internet Web Server
Enterprise ConsumerMobile
Broadband
IPv4 IPv6
グローバルIPv4アドレスが枯渇しているしかし、グローバルIPアドレスがなぜ必要か?グローバルIPアドレスが割当られないと何が問題なのか?既存のIPv4ネットワークが無くなる事は暫く無いIPv6へ移行では無く、IPv4/IPv6の共存が求められている
7© 2010 Cisco and/or its affiliates. All rights reserved.
ENTERPRISEにおけるIPv6導入
© 2010 Cisco and/or its affiliates. All rights reserved. 8
ネットワーク接続機器(プリンタ、IP-FAX、IP監視カメラ等)
ネットワークインフラ(LAN、WAN)
サーバープラットフォームデータセンターネットワーク
社内システム/アプリケーション
モバイルユーザ(VPN)
インターネット回線(プロバイダ選択)
コミュニケーションインフラ(IP電話、TV会議等)
クラウドサービス
クライアント端末PC/スマートフォンなど
社外向けサーバー(DNS、Webサーバー等)
ルータ(L3スイッチ)ファイヤウォール
© 2010 Cisco and/or its affiliates. All rights reserved. 9
ネットワーク接続機器(プリンタ、IP-FAX、IP監視カメラ等)
ネットワークインフラ(LAN、WAN)
サーバープラットフォームデータセンターネットワーク
社内システム/アプリケーション
インターネット回線(プロバイダ選択)
コミュニケーションインフラ(IP電話、TV会議等)
クラウドサービス
クライアント端末PC/スマートフォンなど
ルータ(L3スイッチ)ファイヤウォール
モバイルユーザ(VPN)
社外向けサーバー(DNS、Webサーバー等)Windows Vista、
Windows 7、MacOS、iOS、Androidは既にIPv6 Ready
IPv6対応
© 2010 Cisco and/or its affiliates. All rights reserved. 10
クライアント端末PC/スマートフォンなど
ネットワーク接続機器(プリンタ、IP-FAX、IP監視カメラ等)
ネットワークインフラ(LAN、WAN)
サーバープラットフォームデータセンターネットワーク
社内システム/アプリケーション
インターネット回線(プロバイダ選択)
コミュニケーションインフラ(IP電話、TV会議等)
クラウドサービス
ルータ(L3スイッチ)ファイヤウォール
モバイルユーザ(VPN)
社外向けサーバー(DNS、Webサーバー等)
IOSではIPv6機能は標準機能Catalystシリーズ、CiscoルータISRシリーズCiscoルータASRシリーズCisco Aironet シリーズ
IPv6対応
IPv6対応
IPv6対応
IPv6対応 ASA 5500シリーズ
IPv6ステートフルファイヤウォールステートフルフェイルオーバー対応
© 2010 Cisco and/or its affiliates. All rights reserved. 11
インターネット回線(プロバイダ選択)
ルータ(L3スイッチ)ファイヤウォール
ネットワーク接続機器(プリンタ、IP-FAX、IP監視カメラ等)
ネットワークインフラ(LAN、WAN)
社内システム/アプリケーションクラウドサービス
クライアント端末PC/スマートフォンなど
モバイルユーザ(VPN)
社外向けサーバー(DNS、Webサーバー、メールサーバー等)
サーバープラットフォームデータセンターネットワーク
コミュニケーションインフラ(IP電話、TV会議等)
IPv6対応
IPv6対応
IPv6対応
IPv6対応
IPv6対応
IPv6対応
IPv6対応
中長期でIPv6化Cisco Unified CommunicationもIPv6対応開始(CUCM 7.1~)
主要な製品はIPv6対応済みWindowsサーバーLinuxサーバー等Bind/Apache/Squid/Postfix等
© 2010 Cisco and/or its affiliates. All rights reserved. 12
ネットワークインフラ(LAN、WAN)
インターネット回線(プロバイダ選択)
クライアント端末PC/スマートフォンなど
ルータ(L3スイッチ)ファイヤウォール
社外向けサーバー(DNS、Webサーバー、メールサーバー等)
サーバープラットフォームデータセンターネットワーク
コミュニケーションインフラ(IP電話、TV会議等)
ネットワーク接続機器(プリンタ、IP-FAX、IP監視カメラ等)
社内システム/アプリケーション
モバイルユーザ(VPN)
クラウドサービス
インターネット上のサービスがIPv6対応
ASA5500 & AnyConnect社内システムのIPv6化に伴いIPv6対応必要
仮想化、クラウド化等と共にIPv6対応
IPv6 only環境にするためにはIPv6対応必要
IPv6対応
IPv6対応
IPv6対応
IPv6対応
IPv6対応
IPv6対応
IPv6対応
IPv6対応
IPv6対応
IPv6対応
IPv6対応
13© 2010 Cisco and/or its affiliates. All rights reserved.
STEP 1.ネットワークインフラのIPv6対応
© 2010 Cisco and/or its affiliates. All rights reserved. 14
IPv6 Network
IPv6 Network
IPv6 Host
トンネル技術Configured6to4 Tunnel
LISP
IPv6 Host
既存IPv4網
IPv4: 192.168.99.1
IPv6: 2001:db8:1::1/64IPv6/IPv4
Dual Stack
IPv6 IPv4
NAT-PT
NAT-PT
IPv6 IPv4 Dual Stack IPv4 and IPv6 Addresses
ISATAPRouter
IPv4 ONLY ISATAPTunneling
トンネル技術Configured6to4 Tunnel
LISP
ISATAP: Intra-Site Automatic Tunnel Addressing Protocol
© 2010 Cisco and/or its affiliates. All rights reserved. 15
For the Enterprise
環境条件 導入シナリオCisco IOS
Support
WAN ISPがIPv6サービス可能であり、WANルータもIPv6対応である。
Dual Stack Yes
専用線接続環境, e.g. LL, ATM and FR PVC, sWDM Lambda Dual Stack Yes
ISPがIPv6サービスを行っていない 又は WAN Core がIPv6使用不可能な場合
Configured Tunnels Yes
ISPがIPv6サービスを行っておらず、多サイト間でIPv4 Any to Anyの接続が必要な場合
6to4, LISP Yes
Campus L3ネットワークとしてIPv6対応可能な場合 Dual Stack Yes
L3ネットワークとしてIPv6対応不可な場合、又はIPv6ホストが非常に少ない場合
ISATAP Yes
16© 2010 Cisco and/or its affiliates. All rights reserved.
ENTERPRISEにおけるIPv6導入: CAMPUS
© 2010 Cisco and/or its affiliates. All rights reserved. 17
DistributionLayer
AccessLayer
CoreLayer
AggregationLayer
IPv6 Server
Layer 3
Example
• Dual-StackまたはISATAPを使用した例
• IPv6非対応L3機器が存在する場合には、ISATAPによりIPv6ホスト-IPv6対応L3機器間を“tunnel”で接続する。
L2
v6-Enabled
-v6-Enabled
v6-Enabled
Not-v6-Enabled
DualStack
Dual S
tack
ISATA
P
ISATAP Enable:Windows PCMacOSLinux
DualStack Enable:Windows PCMacOS, Linux
IPv6 L3IPv4 L3
ISATAP対応機器Catalyst 6500Catalyst 4500Ciscoルーター
DualStack対応LANsw機器Catalyst 6500Catalyst 4500Catalyst 3750X/3750ECatalyst 3560X/3560E
© 2010 Cisco and/or its affiliates. All rights reserved. 18
• IPv4と同様にIPv6についてもH/W Forwarding対応のL3機器を採用
L2スイッチについては、Multicastの制御以外においては影響なし。(Multicastを制御するためにはMLD Snoopingが必要。)
• Control PlaneにおけるIPv4/IPv6 DualStack対応が必須
Stateless AutoconfigurationRouting protocols
• AdvancedなIPv6機能の導入IPv6 multicast / QoS
• Access-controlによるSecurityの確保
IPv6 option headersにも要対応
• VLAN/L2設計はIPv4 と IPv6で共通
Data Center
WAN and InternetAccess
© 2010 Cisco and/or its affiliates. All rights reserved. 19
v4
v4
v4
v4
v6/v4
IPv6 world
境界のルータだけIPv6化しても、サイト内にはIPv4装置が沢山あり、サイト全体のIPv6化は困難
IPv6を使用したい
IPv6を使用したい
IPv6を使用したい
IPv6を使用したい
IPv6対応できない
ISATAPルータ
© 2010 Cisco and/or its affiliates. All rights reserved. 20
v4
v4
v4
v4
v6/v4
IPv6 world
PREFIX::5efe:a.b.c.d
a.b.c.d
IPv6アドレスをIPv4アドレスから自動生成
サイト内が1つのNBMAネットワークに見える
a.b.d.e
PREFIX::5efe:a.b.d.e
PREFIX::5efe:a.b.f.1 PREFIX::5efe:a.b.1.5
ISATAPルータ
domain: cisco.com
DNS名“isatap.cisco.com”でISATAPルータのIPv4アドレスを認知。ISATAPルータからIPv6のPREFIX情報を取得
© 2010 Cisco and/or its affiliates. All rights reserved. 21
ISATAP
ipv6 unicast-routing
ipv6 cef
!
interface Loopback0
description ISATAP address for Access Layer
ip address 10.1.1.1 255.255.255.255
!
interface GigabitEthernet2/10
ipv6 address 2001:DB8:C003:111C::2/64
ipv6 cef
!
interface Tunnel0
ipv6 address 2001:DB8:C003:111F::/64 eui-64
no ipv6 nd suppress-ra
ipv6 enable
tunnel source Loopback0
tunnel mode ipv6ip isatap
Non-v6 Switchには変更不要
Interface ID
IPv4 Addr.64-bit Unicast Prefix 0000:5EFE:32-bit32-bit
2001:DB8:C003:111F:0:5EFE:10.1.2.100
クライアントPCはDNSでISATAPルータを検知!
DNS上に、isatap.xxxx.xxxの“A” Recordを作成。Windows OSではDefaultで動作
DNSを使用しない場合、クライアントPCにStaticな設定が可能:C:¥>netsh interface ipv6 isatap set router 10.1.1.1
※現在ISATAPはMulticast未対応です!!
10.1.2.100
ISATAP Address Format:
© 2010 Cisco and/or its affiliates. All rights reserved. 22
Catalyst 3750XCatalyst 3560X
Catalyst 3560compact
Nexus 7000シリーズ Catalyst 6500シリーズ
Catalyst 4500シリーズ
Catalyst 2960/2960S(※L2sw:管理機能IPv6対応)
23© 2010 Cisco and/or its affiliates. All rights reserved.
ENTERPRISEにおけるIPv6導入:WAN
© 2010 Cisco and/or its affiliates. All rights reserved. 24
DualStack
WAN回線サービス
CorporateNetwork
Dual Stack
Example
• Ciscoのルータ製品はすべてIPv6 対応しております。
• IPv6を通せる回線サービス(広域L2 LANサービス、DualStackIP-VPNサービスなど)を利用している場合には、導入の容易さ、セキュリティ、パフォーマンスの面から、Dual-stackでの導入を推奨します。
Dual Stack
IPv6対応IPv6対応
IPv6対応 IPv6対応
専用線、ISDN、ATM、広域L2サービスなど
© 2010 Cisco and/or its affiliates. All rights reserved. 25
IPv4
WAN回線サービス
CorporateNetwork
Dual Stack
Example
• IPv6が通らない回線サービス(IP-VPNサービスなど)を利用している場合、トンネル技術の利用を検討
• トンネル技術(IPv6 over IPv4)
1. Configuredトンネル
2. 6to4
3. ISATAP
4. LISPIPv4
IPv6対応IPv6対応
IPv6対応IPv6対応ISATAPルータ
IP-VPN、Internet-VPNなど
ISATAP
IPv6 over IPv4トンネル
© 2010 Cisco and/or its affiliates. All rights reserved. 26
Configured Tunnel
IPv4IPv6 Network
IPv6 Network
IPv6 Host
Dual-Stack Router
Dual-Stack Router
IPv6 Host
ipv6 unicast-routingipv6 cef!interface Tunnel0no ip addressipv6 address 2001:DB8:C003:1104::1/64ipv6 ceftunnel source Serial0/0tunnel destination 192.168.0.1tunnel mode ipv6ip!interface FastEthernet0/0ipv6 address 2001:DB8:C003:111E::1/64ipv6 cef!interface Serial0/0ip address 10.1.1.1 255.255.255.252
ipv6 unicast-routingipv6 cef!interface Tunnel0no ip addressipv6 address 2001:DB8:C003:1104::2/64ipv6 ceftunnel source Serial0/0tunnel destination 10.1.1.1tunnel mode ipv6ip!interface FastEthernet0/0ipv6 address 2001:DB8:C003:111F::1/64ipv6 cef!interface Serial0/0ip address 192.168.0.1 255.255.255.252
© 2010 Cisco and/or its affiliates. All rights reserved. 27
• IPv4 IPSec Tunnel上でconfigured 又は 6to4 tunnelsを動かすことによってIPv6 VPNを構築可能
(Native IPv6でのIPSecがSupportされるまでの暫定策)
Primary IPv6 Tunnel Secondary IPv6 Tunnel
Branch 1
Branch 2
IPv4Internet
CorporateNetwork
VPN HE1
VPN HE2
IPv6 Configured Tunnel
IPv6 Configured Tunnel
© 2010 Cisco and/or its affiliates. All rights reserved. 28
IPv4IPv6 Network
IPv6 Network
6to4 Router2
6to4 Router1
100.168.99.1 100.168.30.1Network Prefix:2002:64A8:6301::/48
Network Prefix:2002:64A8:1E01::/48
= =
E0 E0
interface Loopback0ip address 100.168.30.1 255.255.255.0ipv6 address 2002:64A8:1E01:1::/64 eui-64!interface Tunnel0no ip addressipv6 unnumbered Ethernet0tunnel source Loopback0tunnel mode ipv6ip 6to4!ipv6 route 2002::/16 Tunnel0
• 6to4 tunnel: IPv4グローバルアドレスから自動的に
IPv6 Prefixを生成
6to4 Address Range=2002::/16それぞれのSiteにIPv4グローバルアド
レスが必要 (no RFC 1918)
2002 Public IPv4 Address
/48 /64/16
Interface IDSLA
© 2010 Cisco and/or its affiliates. All rights reserved. 29
• 6to4 relay: 6to4 SiteからIPv6 Internetへ
アクセスするためのGateway Site。
6to4 Siteから見たDefault router
Anycast address (RFC 3068) for multiple 6to4 relay (192.88.99.1)
IPv6 Address:2002:64A8:1E01::1
IPv4IPv6 Network
IPv6 Network
6to4 Router1
100.168.99.1Network Prefix:2002:64A8:6301::/48
=
6to4 Relay IPv6 Internet
interface Loopback0ip address 100.168.99.1 255.255.255.0ipv6 address 2002:64A8:6301:1::/64 eui-64!interface Tunnel0no ip addressipv6 unnumbered Ethernet0tunnel source Loopback0tunnel mode ipv6ip 6to4!ipv6 route 2002::/16 Tunnel0ipv6 route ::/0 2002:64A8:1E01::1
© 2010 Cisco and/or its affiliates. All rights reserved. 30
“… routing scalability is the most important problem facing the Internet today and must be solved … ”
Internet Architecture Board (IAB)October 2006 Workshop (written as RFC 4984)
Overview
開発背景
• インターネットが直面しているIPアドレス経路爆発に対応するために考案
• IPアドレスはLocatorとIDが不可分経路の増加を促している
• IPv6を導入しても解決しない
• 経路爆発が引き起こす問題
• ルータの転送テーブル(FIB)を保持する高速かつ高価なメモリが必要
• ネットワークのアップグレードコスト負担
• 経路収束時間増 インターネットの安定性と信頼性を低下
WithoutLISP
© 2010 Cisco and/or its affiliates. All rights reserved. 31
Internet
ホストのIPv4やIPv6アドレスは identity(端末識別) とlocation(位置情報)の両方
を表す
今日のインターネットの振る舞いLocator/ID の一体化によるオーバーロード
x.y.z.1 ホストが異なるサイトに移動すると、そのサイトで新しい identity と
location のためのアドレスを取得しなければならないw.z.y.9
端末のIPv4やIPv6アドレスは identity のみ
ホストが移動しても同じidentity を保持
LISPの振る舞いLocator/ID の分離
Internet
a.b.c.1e.f.g.7
Location のみ変更
x.y.z.1
x.y.z.1
location はルータが持っている
“location” と “identity” とは?
IOS 15.1(4)M~、NXOS 5.0(3)~LISP正式サポート開始
© 2010 Cisco and/or its affiliates. All rights reserved. 32
DNSは URL から IPアドレス を解決する
LISPは EID から RLOC を解決する
host
DNS URLのIPアドレス解決
LISP接続先ルータのIPアドレス解決
[ who is www.cisco.com ] ?
LISP router
DNSServer
LISP Mapping System
[ 198.133.219.25 ]
[ where is x.y.z.1 ] ?
[ location is a.b.c.1 ]
LISPのマッピング解決
© 2010 Cisco and/or its affiliates. All rights reserved. 33
IPv4 Outer Header: RLOC
ルータのアドレス
IPv4 Inner Header:EID
ホストのアドレス
LISP header
UDP
draft-ietf-lisp-09IPv4 EID / IPv4 RLOC の例
© 2010 Cisco and/or its affiliates. All rights reserved. 34
IPv4 Internet
IPv6 Internet
v6
v6v4v6
LISProuterLISP
routerv6
services
IPv6 Transition Support
v6-over-v4, v6-over-v6 v4-over-v6, v4-over-v4
Data Center 1
Data Center 2
a.b.c.1VM
a.b.c.1VM
VM move
LISProuters
LISProuters
Internet
VM-Mobility
Cloud / Layer 3 VM moves Segmentation
LISP 利用方法例
HQ LISP Site
Internet
DataCenter
UserNetwork
RemoteLISP Site
RemoteLISP SiteRemote
LISP SiteRemote
LISP Site. . 10k . .
High-Scale VPNs
Reduced CapEx/OpEx Segmentation
Efficient Multi-Homing
IP Portability Ingress Traffic Engineering without BGP
LISProuters
LISPSite
Internet
© 2010 Cisco and/or its affiliates. All rights reserved. 35
LISP Virtualization EIDとRLOCのネームスペースを仮想化する技術
LISP “Instance-ID”を利用してコントロールプレーンとデータプレーンのアドレススペースを分離
Instance-ID 24-bitの任意の値
Data-plane: LISPのヘッダーに格納
Control-plane: LCAF formatでEIDに付加
Instance-ID
VLAN Tagの様にパケットに識別子をつける技術
© 2010 Cisco and/or its affiliates. All rights reserved. 36
共有マッピングシステム
(IID1, 10.1.0.0/16) (IID1, 10.2.0.0/16)
(IID2, 10.2.0.0/16)(IID2, 10.1.0.0/16)
コントロールプレーン
MSMRMSMR
xTR2
xTR4xTR3
共有ネットワーク
xTR1
重複するEIDプレフィックスのアドレス空間をInstance IDと使って分離
IID EID RLOC1 10.1.0.0/16 xTR11 10.2.0.0/16 xTR22 10.1.0.0/16 xTR32 10.2.0.0/16 xTR4
© 2010 Cisco and/or its affiliates. All rights reserved. 37
共有マッピングシステム
MSMRMSMR
共有ネットワーク
(IID2, 10.1.0.0/16)(IID1, 10.1.0.0/16)
(IID1, 10.2.0.0/16) (IID2, 10.2.0.0/16)
データプレーンプレーン
xTR3
xTR1 xTR2
Instance ID毎にVRFでルーティングインスタンスを分離
共有RLOC
IID EID RLOC1 10.1.0.0/16 xTR11 10.2.0.0/16 xTR32 10.1.0.0/16 xTR22 10.2.0.0/16 xTR3
VRF IID EID RLOCBLU
E1 10.2.0.0/16 xTR3
RED 2 10.2.0.0/16 xTR3
© 2010 Cisco and/or its affiliates. All rights reserved. 38
• IPv6 QoS (MQC)
QoS
www.cisco.com/go/fn
• IPv6 standard /extended ACL• IPv6 IPSec authentication for
OSPFv3• IPv6 firewall (Stateful)
Security
• RIPng、 OSPFv3• IS-IS for IPv6、 MT IS-IS• MP-BGP IPv6 Unicast• MP-BGP IPv6 Multicast• Policy-based routing• LISP• HSRP for IPv6• VRFv6
Routing
Broadband Access• Cisco VSA AAA• RADIUS AAA (RFC 3162)• PPPoA, PPPoE, RBE and
ATM 1483 encapsulations• DHCPv6 prefix delegation
(RFC3633)• Stateless DHCP (RFC 3646)• Generic prefix• DHCPv6 Server• DHCPv6 Relay Agent
• MLDv1 and v2• MLD access group• PIMv2 SM, SSM, Bi-Dir• PIM embedded RP• IPv6 MC over IPv4 tunnels• Scope boundaries• Static mRoutes
Multicast
• Configured and automatic tunnels (RFC 2893)
• 6to4 (RFC 3056 and 3068)• IPv6 over GRE/IPv4• IPv6 over MPLS (6PE)• ISATAP• NAT-PT phase I and II
(RFC 2765 and 2766)• IP over IPv6 tunnels
Integration
• IPv6 (RFC 2460)• ICMPv6 (RFC 2463)• Neighbor discovery (RFC 2461)• Stateless auto-configuration• Anycast• CEFv6/dCEFv6• uRPF• CEFv6 switched tunnels
Core
• Telnet, TFTP, DNS resolver, HTTP, Ping, Traceroute, SSH, SNMP, sylog
• IP-SLA• Cisco IP and IP-Forwarding MIBs• Netflow for IPv6
Applications and Mgnmt
Cisco IOS Software
39© 2010 Cisco and/or its affiliates. All rights reserved.
ENTERPRISEにおけるIPv6導入:Firewall & Remote Access
© 2010 Cisco and/or its affiliates. All rights reserved. 40
IPv6対応ステートフルファイヤウォール IPv6ステートフルフェイルオーバー対応
高パフォーマンス ファイアウォールスループット:40 Gbps * IPS スループット:10 Gbps* VPNリモートアクセス:10,000 ユーザ対応
インベストメント プロテクション ビジネス成長に必要不可欠な拡張機能
を実現するハードウェア
先進的なマルチセキュリティサービス Botnet Traffic Filtering と Global Correlation
によるセキュリティサービス Cisco AnyConnectとの連携
クラウドコンピューティングの台頭、モビリティデバイスの増加の現代において求められる性能を高水準で実現したファイアウォール
*最上位機種(SSP60)にて実現
新製品情報
© 2010 Cisco and/or its affiliates. All rights reserved. 41
マルチサービス(ファイアウォール/ VPN / IPS)
パフォーマンス
/スケーラビィティ
データセンタ大企業支社SOHO インターネットエッジ
ASA 5585 SSP-60(40 Gbps, 350K cps)
ASA 5585 SSP-40(20 Gbps, 200K cps)
ASA 5585 SSP-20(10 Gbps, 125K cps)
ASA 5585 SSP-10(4 Gbps, 50K cps)
ASA 5540 (650 Mbps,25K cps)
ASA 5520 (450 Mbps,12K cps)
ASA 5510 (300 Mbps,9K cps)ASA 5505
(150 Mbps, 4K cps)
ASA 5550 (1.2 Gbps, 36K cps)
NEW
NEW
NEW
NEW
ファイアウォール/ VPN アプライアンス
FWSM(5 Gbps, 100K cps)
ASA SM(20 Gbps, 300K
cps)
ファイアウォールモジュール
(VPNもサポート予定)
NEW
新製品情報
42© 2010 Cisco and/or its affiliates. All rights reserved.
• インテリジェントな接続制御
– ゲートウェイ選択の最適化
– ネットワーク接続品質による制御
–IPv6 対応(IPv6 over IPv4)
• セキュリティ機能の拡張
– Always On VPN– 接続時端末検疫機能の拡張
• きめ細かいユーザサポート機能
ホットスポット/限定的なアクセス環境の検知と状態の通知
VPN接続時にもローカルのネットワークプリンタ利用が可能
43© 2010 Cisco and/or its affiliates. All rights reserved.
ENTERPRISEにおけるIPv6を導入しない場合の懸案事項
© 2010 Cisco and/or its affiliates. All rights reserved. 44
Neighbor Discoveryの問題→LAN内からの不正アクセス 不正トンネル (Teredoトンネル)→LAN外からの不正アクセス
IPv4 Intranet
IPv6 InternetIPv4 Internet
IPv6 Client
攻撃者
攻撃者
IPv4ネットワーク||
IPv6トラフィックを監視していない
L2の機能で防御 (IPv4と同じ対策)Private VLANPort Security, 802.1x
Teredo対策が必要(次ページ)
© 2010 Cisco and/or its affiliates. All rights reserved. 45
Teredo利用時
• IPv6が有効なクライアントによってTeredoトンネルが構築される
• 社内ユーザがIPv6でP2Pを実行
• FWではただIPv4 UDPトラフィックが通過しているように見える
• アウトバウンドの制御がFWでできない!
IPv4 Intranet
IPv4 Firewall
Teredo Relay
IPv4 InternetIPv6 Internet
対応策
• FWでUDPをフィルタリング
• Flexible Packet Matching (FPM)を利用UDPのペイロードにあるTeredoアドレス(2001::/32)をブロックする
© 2010 Cisco and/or its affiliates. All rights reserved. 46
• ルータ/スイッチベンダとしての実績
IPv4がIPv6になったからといって、ルータやスイッチの本質が変わるわけではない。またIPv6だけのネットワークにすることがない以上、IPv4の今後の機能拡張も非常に重要。
• IOSのVersionUpによるIPv6対応
既存ルータ/スイッチなどはIOS VersionUpにてIPv6にも対応可能。
IPv6はまだプロトコル自身が未成熟であり、今後も変動するためハードウェア処理に依存し過ぎない実装。ハードウェア処理は高速だが、ハードウェア処理できない機能の場合、使い物にならないような性能の製品実装は将来的に使えない。
• 卓越したIOSオペレーション
IPv4と同様のオペレーションにて、IPv6のオペレーションも可能。IPv6オペレータの育成コストを削減可能。
Thank you.