■データセンター屋さんのIPv4枯渇対策 さくらインターネット研究所 大久保さん ・本発表の趣旨 - JANOGでもメールがあったが、IPv4枯渇対策を検討している 過去の発表資料でデータセンターサイドの議論が少ない 解があまりないが、議論は必要 - 自己紹介 さくらインターネット研究所所属 数年後の飯のたねになりそうなことを研究 v4枯渇やクラウドに取り組んでいる - サービスラインナップ レンサバ、VPSからハウジングまで - さくらインターネットにおけるIPv4枯渇対策 - IPv6対応 - IPv4アドレス確保 - プロトコルトランスレーションサービスの提供 - v6対応は色々と議論されているので今回はv4アドレス確保と プロトコルトランスレーションを中心に話す - 3つの対策がどの時期に? インターネットはIPv6に移行していく これは信じて疑わないようにしないといけない IPv4は下がって行くと"いわれています" NGN IPv6接続サービスが開始。IPv4が枯渇して、IPv6が普及する - IPv4のネットワーク IPv4 サービスを引き続き提供していかないといけない トランスレーションサービスが長期に渡って必要 - IPv4アドレス確保 IPv4がなくなったからといってIPv6オンリーサービスは売れない IPv6インターネットは少数の新規ユーザで、既存の99.999%は IPv4ユーザ IPv6 Onlyのサーバは既存のIPv4ユーザからは参照できない IPv4ユーザが0になるまでIPv4を供給し続けないといけない - 弊社の事情 月当たり、4Cぐらい消費している JPNICさんの在庫が枯渇すると一年以内にIPv4アドレスを 顧客に提供できなくなる 石狩は2011年秋 最大60万台のサーバ。その分アドレスが必要になる このままいくと… 2011年6月にIANA在庫が尽き、その後にAPNICさん、 JPNICさんの在庫が枯渇、2013年ぐらいに事業拡大が できなくなる - 枯渇後のv4アドレス確保の手段 IPv4アドレスの移転 一番やりやすい 既存セグメントから回収 ルータのバックボーンのアドレス転用 フレッツのサービスをプライベートにしてLSNで捻出 ISPからの割り当て -上位ISPに依存 たくさんもっているISPさんと接続、割り当てを受ける 企業買収 アドレスだけじゃなくて会社ごと買っちゃう - IPアドレス移転の現状 APNICは正式なポリシ JPNICではJPNICの理事会で検討中というステータス 早くこのポリシが使えるようになるといいなぁと - トランスレーションの必要性 当面デュアルスタック環境が続くのでIPv4とIPv6の橋渡しが必要 IPv4サーバをIPv6対応に OSの入れ替えとか、ソフトバージョンアップをすぐに できるわけではない 通信の橋渡しが必要になってくる いずれにしても、過渡的な技術で万能ではない 過渡的にしか使用できない - トランスレーションが必要なシチュエーション 既存のIPv4インターネットに繋がって、トランスレータを経由して IPv6へ けっこう簡単にIPv6対応できる IPv6にしか繋がってないサーバをIPv4に見せてあげる - 最近のトランスレータの動向 SIIT、NAT-PTがヒストリカル IETF BEHAVE WGで再定義されようとしている NAT64やDNS64など - トランスレータの技術 現状3つの方式がある - NAT-PT -- L3の技術 -- per packetで変換なのでMTUの問題が大きくなる - TRT -- L4の技術 - Proxy 完全にアプリケーション層 こちらはトランスレータ自体が終端するので、NAT-PTと 比べると通信の問題が少ない。逆に言うと、上位まで 見ないといけないので、負荷が高い - NAT-PTの実装 一番良くできてるのが、横河電機さんのTTBシリーズだったが販売終了 D-Linkさんの装置 Alaxlaさんのルータ セイコープレシジョンさん - TRT方式の実装 FreeBSD faithd OS標準機能 Linux - Proxy方式の実装 F5 BIG-IP A10 AXシリーズ apacheのmod_proxyとか lighttpdのproxyとか - トランスレータの実験をすすめている 具体的に弊社のコーポレートサイトをv6対応 サーバ自体がIPv4にしか対応してない IPv6に対応するためにバックボーンにトランスレーターを設置 NW構成 - IPv6アドレスにIPv4アドレスを埋め込み、広告 - そのアドレスをDNSに登録している - トランスレータの運用 TRT方式はTCPを終端する IPv4サーバがダウンしてもIPv6側からセッションが はれたりする 監視はコネクションチェックだけではなく、HTTPのステータスコードをみないと.. トランスレータのプールアドレスになる 不正アクセスがあると、トランスレータと一緒の真のv6アドレスをみないといけない draft-ietf-intarea-shared-addressing-issues-01 よくまとまっている ポート番号ログ、spamブラックリスト、その他 - トランスレータへの付加機能検討 使い勝手の良いトランスレータってなんだろう? ロギング、ファイウォール TCP SYN Cookieなどの対策 コンテンツをキャッシュして返すなど こういった付加機能をつけると良いのかなと - IPv4時代のホスティング サーバにv4グローバルが振れなくなる時代がくることを想定する必要 v4アドレスが少ない状況でのホスティング サーバの方にはv4のプライベートとv6 IPv4のグローバルは有料? 場合によってはポート番号単位で いかにIPv6到達性を得るか サーバにはv4のプライベートアドレスとv6グローバル v6はグローバル v4はALGを介して接続するのを考えている ALGが肝になってくる - なぜALGが必要か? IPv4インターネットからの到達性を持たせる アドレスでサーバが識別できなくなる サーバ識別IDを増やす必要がある でも、ポート番号は決まっている そうすると、アプリケーション層までみないといけない なので、ALGを使わないといけない ALGの機能としては、LSNとトランスレータとALG IPレイヤについての動作は、v4のグローバルとプライベートの変換 NAT-PTの機能 一般的なNAT機能 アプリケーション層までみないといけなくなる まず、forward NAT ALG+NATの箱のポート番号を選択して サーバ毎に、グローバルが欲しいお客様には1対1 NAT ポートフォワード: IPアドレスはいらないけど、ポート番号が欲しいと 80番の共有は難しい 80番をみんな使いたい そうなってくると、Virtual Hostを使ったルーティングが必要に HTTPのホストヘッダを見て、お客さんの向きを決めるなど SMTPゲートウェイなどのアプリケーション層のゲートウェイ 機能 ドメイン名を見たらわかる ALGのバーチャルドメイン SIPなど、アプリ毎に対応していかないといけないので結構大変 - まとめ 枯渇後のIPv4アドレスの確保がデータセンタ屋には重要 IPv4アドレス争奪戦が起きるのではないか アドレスを持っているものが勝ち残りそう □議論 枯渇後にIPv4アドレスを確保する方法は? 既にv4アドレス確保を検討している事業者さんは? IPv6へと移行するんですか? ** 質疑 ・解約アドレスの再利用 Q: 既に解約したお客さんのアドレスを回収するという話があったが、今は   再利用してないのか C: 再利用しようと思っても、かなりの痛みが伴うんですよね? A: ルーティング的に使いやすいアドレスは使っているが、一部だけ解約された   ようなアドレスの再利用は非常に難しい。/27返却などであれば使いやすいが、   /25の数台で間が抜けていると、リナンバがあり大変 A: おかわりするにも利用率がある程度高くないといけないから大変。アドレス 使ってなくても回収できない、利用率が8割ないといけないので、つらい ・SEO対策 Q: SEOのためにアドレスを確保している業者さんがいるが、そういった業者さん   はおかわりできるのか C: SEOのためには色々なIPアドレスブロックが必要。なので、おかわりをすると   いうよりは複数の場所からアドレスを買うと予測されるので、枯渇には直接は   関係ないと思う ・トランスレータの運用の課題 Q: トランスレータをやってるとやはりDDoSなどが悩ましい。IPv4アドレスが1個   でIPv6アドレスがプールなトランスレータだとセッション毎にアドレスがコロ  コロかわりそうだが、そうなると動かないアプリが出てきそうだが、そういっ た事はどう考えているか。pop before SMTPとかが動かなくなる A: うちでもアクセス解析で問題がある。プールアドレスの範囲になったりする。  HTTPヘッダにIPv6ヘッダを入れたりする実装はある。例えばsquidとか  mod_proxy は突っ込んでくれる Q: /25の中から一部解約された場合にどう対応するかという話があったが、  ProxyARPなどの技術を利用するなどしてもいいのではないか A: 一部やっているが、非常に大変。箱があればほしいかもしれない ・インターネットがIPv6になるか Q: インターネットがIPv6になるかについて。中国は2015年まで、インドは2012 年までとかは言っている。額面通りとりば、中国とインドがやればそうなる んじゃないか? A: 大きな国が対応しても、インターネットの隅々までなるかというと怪しいん じゃないかと思う C: 全部はならないのだろうかと思いつつも、そういう人を相手にすると必要で はないか C: 企業買収するとかでIPv4アドレスをがめるのは合法。わりと簡単にできる。