スポンサーサイト 

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

IPv6のULA 

IPv6はNATがないので、LAN内にグローバルアドレスを割り当てる。割り当てるグローバルアドレスはISPから降ってくるわけだけれども、ISPを変更したら降ってくるグローバルアドレスだって変わってしまう。
これって、企業がオフィスで使用する場合には困ってしまうわけで、ISPを変えたら社内のサーバやルータの設定を全部変えないといけなくなっちゃう。

だからIPv6でオフィス内のIPv6アドレスの割り当て方法が分からないでずっと困っていたのだけれども、漸くどうするのが良しとされているのか見つけられた気がする。

JULYの日記に書かれているのを見ると、ULAと呼ばれるアドレスをオフィス内で静的アドレスとして割り当てれば良い模様。

このアドレスをLAN内で静的に割り当てれば良いということね。

とはいえ、
(1)上記の説明によればULAはMACアドレスから計算されるとのことで、それって機器を入れ替えたり、故障交換でNICが変わったらどうなるんだよ
(2)サブネットに切りたい場合にはそれってIPv6アドレスのどこで切るんだよ、どうやってデフォルトゲートウェイを配布するんだよ
という疑問もあるけれど。

とりあえずここを取っ掛かりにして調べればいいんじゃまいか。

スポンサーサイト

IPv6のLAN内アドレスの決定について 

最近はISPからIPv6アドレスを受け取って、LAN内でグローバルIPv6アドレスがつくことも珍しくなくなってきた。
なのでオフィス内のLANについてもIPv6をつけたいと思うのだけれども、ふとよく分からないことにぶち当たったのでメモ。

IPv4の場合には、大抵NAPTを使ってプライベートアドレスをLAN内に割り当てることが多いのだけれど、IPv6ではNAPTを使わないことになっているはず。そうすると、LAN内に割り当てられるアドレスもグローバルIPv6アドレスになる訳だよね。
ここまでは良い。

次にこのグローバルアドレスは誰のものかと言えば、利用しているISPのアドレスなのだけれども、これが問題だ。ISPを変更したくなった時にはLAN内のグローバルIPv6アドレスは、新しく利用することになるISPから配られるものに変更となってしまうわけだ。

クライアントマシンのIPv6アドレスはおそらくRAやDHCPで自動的に変更になるのでどうでも良いのだけれども、LAN内向けのサーバマシン(ファイルサーバ、キャッシュDNSサーバ、業務サーバ、etc...)につけているアドレスは手で全部変更してやり、(LAN内用の)DNSを書き換え、様々な機器で設定されているだろうアドレスによるアクセス制限の設定を変更しなければならなくなるのだ。
これってIPv4より退化しているよね。

これを防ごうとすれば、ISPから割り当てられるISPのグローバルIPv6アドレスではなく、自前でグローバルIPv6アドレスを入手してLAN内で使用する、ということが適当であるように思えるのだけれども、ISPは普通そういうサービスをやっているんだっけ? ただのインターネット接続サービスと同程度の価格帯で。

そもそも、グローバルIPv6アドレスの割当を受けたいと思ったらどこでどう手続きすれば良いんだろう。

原因はMcAfee Endpoint Securityのファイヤーウォールだった 

IPv6グローバルアドレスを取れない、という話の続き。

同じネットワークでAndroid端末はIPv6を取れていたので、おそらくネットワークのせいではないと切り分け。

PCを再起動しても治らないので、何かの設定の問題と切り分け。

ipconfig /renew6


とか実行しながらあれこれ変更していくと、McAfee Endpoint Securityを無効化するとIPv6を取れる。なんだこれ。
もう少し切り分けて、Endpoint Securityのファイヤーウォール機能を無効化するとIPv6を取れることが判明。
エンドポイント上でファイヤーウォール機能を有効にすることの意義があまり理解できない人であるので、早速ファイヤーウォール機能を無効化。

これで解決した。
しかし、IPv6のアドレスを取れなくなるとかいって、どういう了見で初期設定を作っているんだ、このソフト。
そんなことがあった。

IPv6のグローバルアドレスが取れない(Windows10) 

ルータはグローバルアドレスを持っていて、LANにはRAで配布しているのに、Windows10がリンクローカルしか持っていない。なんでだ?
端末によるのかしらん? それとも配っているルータの問題か、その上流のネットワークの問題(それはなさそうだけど)か?

Windowsでrsync+SSH 

suusuke – blogに書かれているけれど、cwRsyncを使うことでWindowsからrsync+SSHを行える。

ファイル転送の際に、毎回chmodに失敗したというメッセージが出力されるのが目障りだけど、バックアップとかするのに役立つからまあいい。

IPv6の逆引き登録 

うちはKDDIの光回線を使っているのだけれど、インターネットへtracert6してみて驚いた。

C:\>tracert6 re.pdata.jp

Tracing route to re.pdata.jp [2001:2e8:602:0:2:1:0:af]
from 240f:3:1b1b:1:873:5fb2:a289:NNNN over a maximum of 30 hops:

1 2 ms 3 ms 2 ms 240f:3:1b1b:1:1eb1:7fff:fe76:NNNN
2 6 ms 3 ms 4 ms 240f:3:1800::1
3 3 ms 4 ms 5 ms sjk-KAPebisuhonkML01.v6.kddi.ne.jp [2001:268:f206:1ee::1]
4 5 ms 6 ms 4 ms tymBBML301.v6.kddi.ne.jp [2001:268:f206:ff::1]
5 8 ms 9 ms 6 ms sjkBBAC05.v6.kddi.ne.jp [2001:268:fa01:aff::1]
6 6 ms 5 ms 5 ms 6otejbb205.int-gw.kddi.ne.jp [2001:268:fa00:ffe9::1]
7 7 ms 6 ms 5 ms 6ix-ote207.int-gw.kddi.ne.jp [2001:268:fb02:103::2]
8 7 ms 8 ms 7 ms 2001:200:0:fe00::1253:0
9 6 ms 7 ms 6 ms 2001:3e0:5001:19::1
10 6 ms 6 ms 6 ms 2001:3e0:5001:12::2
11 20 ms 6 ms 5 ms 2001:2e8:20::22:12
12 8 ms 7 ms 6 ms 2001:2e8:22:203::20
13 6 ms 9 ms 7 ms 2001:2e8:602:0:2:2:0:2
14 6 ms 6 ms 6 ms v6-2001-2e8-602-0-2-1-0-af.ub-freebit.net [2001:2e8:602:0:2:1:0:af]

Trace complete.

C:\>



kddi.ne.jpが機器に逆引きを登録している。これってあれかね? 全IPv6アドレスについて登録しているわけじゃないよね、きっと。実際につながっている機器のアドレスだけとかだよね?

全アドレスを逆引き登録しているととんでもないデータ量になるから、IPv6逆引きは(IPv4の時みたく)全アドレスに対して登録しないだろうと思う。だから、逆引きが登録されているのをみてちょっとびっくりしたわけ。一部の機器についてだけ登録しているんだったらそれでいいんだけど、ゾーンファイルの分割方法とかどうしているのか、ちょっと見せて欲しいと思ったり。

それにしてもKDDIから外へ出るまでに7ホップとか、随分ホップ数多いなぁ。遅延は一桁内に収まっているけど、なんでこんなにホップ数が大きくなるんだろう。

あ、あと、宅内のLAN内機器にIPv6のグローバルアドレスが割り当てられていて、NATせずに通信できているのが確認できた。ちょっと楽しいね。
そうすると、IPv6インターネットから宅内へは全部通しで通信が疎通するのかしら? 上記のアドレスは書かない方がいいのかしら? (適当に消しを入れておくか)

SPFってどれだけ世の中で役に立っているのだろう? 

WIDEが調査している.jpのSPF&DKの普及率を見ると、約半数の組織が
SPFを登録しているようです。DKIMは普及していませんね。
http://member.wide.ad.jp/wg/antispam/stats/index.html.ja
いつの間にこんなに普及したのか、びっくりだ。

ただ、上記の調査は「自ドメインのDNSにSPF用のエントリを登録した組織の割合」である。受け取ったメールをSPFで正当性をチェックしている組織の割合ではない。だから、やりとりされるメールをSPFで正当性チェックする割合を意味しない。
自ドメインのDNSにSPFエントリを登録しているけれど、自分が受信するメールをSPFでチェックしている組織は結構少ないのではないのかと思う。この推測が合っていれば、受信するメールをSPFでチェックしている組織はそんなに高くない事になる。受信メールの正当性をチェックしていなければ、SPFはその組織のメール環境を改善するために役立っているとは言えないよね。

そういえば、世の中のメールサービス全般で、「SPFでメールの正当性をチェックしています」みたいな売り文句は見た憶えがないしな。結局のところSPFはどれだけ世の中で役に立っているのだろう?

IPv6アドレス 

IPv6のアドレスについて

リンクローカル/全ノード/マルチキャストアドレス  ff02::1

ping6 

ping6について。 ping6は基本的にpingと変わらないようだが、いくつかIPv6の仕組みに基づく注意点がある。とりあえず自分のインタフェースにping6してもうまくいかない。

$ /sbin/ip addr show bond0 | grep inet6
   inet6 fe80::21c:c4ff:fedf:e0b0/64 scope link
$ ping6 fe80::21c:c4ff:fedf:e0b0
connect: Invalid argument
$

これは、ping6宛先がリンクローカルアドレスであるため、複数あるインタフェースのどれからパケットを送出すればよいか分からずエラーとなっている。リンクローカルアドレスは各リンクごとに自動的に割り振られるアドレスであるので、どのインタフェースにもリンクローカルアドレスとして上記のアドレスへ疎通の可能性がある。
リンクローカルアドレスへ正しくping6するにはパケットを送出するインタフェースを指定してやればよい。

$ ping6 -I bond0 fe80::21c:c4ff:fedf:e0b0
PING fe80::21c:c4ff:fedf:e0b0(fe80::21c:c4ff:fedf:e0b0) from ::1 bond0: 56 data bytes
64 bytes from fe80::21c:c4ff:fedf:e0b0: icmp_seq=0 ttl=64 time=0.023 ms
64 bytes from fe80::21c:c4ff:fedf:e0b0: icmp_seq=1 ttl=64 time=0.011 ms

--- fe80::21c:c4ff:fedf:e0b0 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 0.011/0.017/0.023/0.006 ms, pipe 2
$

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。