インターネット構成法 第5回 IPアドレス利用のデザイン 2002/11/11 担当:村井 純 IPv4アドレス 32bit アドレスの総数は2の32乗(約40億) 131.113.209.140のように表記 ネットワーク部とホスト部に分かれる 1 0 0 0 0 0 1 1 0 1 1 1 0 0 0 1 1 1 0 1 0 0 0 1 1 0 0 0 1 1 0 0 131 . 113 . 209 Slide: 2 . 140 インターネット構成法 2002 サブネットマスク ネットワーク部とホスト部の境を示す サブネットマスクが1の部分はネットワーク部、0の部分 はホスト部 例131.113.209.140 netmask 255.255.255.128 ネットマスクの長さをとって/25 とも表記 131 . 113 . 209 . 140 1 0 0 0 0 0 1 1 0 1 1 1 0 0 0 1 1 1 0 1 0 0 0 1 1 0 0 0 1 1 0 0 ネットワーク部 ホスト部 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 255 255 255 Slide: 3 128 インターネット構成法 2002 サブネット 例:131.113.209.140/25 131.113.209.128 ~ 131.113.209.255 が含まれる 131.113.209.128はネットワークアドレス(ホスト部が全て0) 131.113.209.255はブロードキャストアドレス(ホスト部が全て1) 実際に使えるアドレスは131.113.209.129 ~ 131.113.209.255 ルータ 131.113.209.129 ホストA 131.113.209.130 ホストB 131.113.209.131 ホストC 131.113.209.132 Slide: 4 インターネット構成法 2002 サブネット長と接続ノード数 ホスト部の長さによって、接続できるノード数が変化 /24 /25 /26 /27 /28 /29 /30 → → → → → → → ホスト部8bit ホスト部7bit ホスト部6bit ホスト部5bit ホスト部4bit ホスト部3bit ホスト部2bit → → → → → → → 254台 126台 62台 30台 14台 6台 2台 Slide: 5 インターネット構成法 2002 IPv4 - /24の割りあて例(1) 131.113.209.0/24を4つのオフィスで利用したい 東京本社 85台 131.113.209.0/25 大阪支社 10台 131.113.209.224/28 名古屋支社 11台 131.113.209.192/28 Slide: 6 横浜支社 25台 131.113.209.128/27 インターネット構成法 2002 IPv4 - /24の割りあて例(2) 将来的なノード数を予測 サブネットが大きすぎると無駄 小さすぎるとアドレスが不足 新しいサブネットが必要になる可能性もある 131.113.209.0/24 131.113.209.0/25 (東京支社,85台) 131.113.209.128/27 (横浜支社,25台) 131.113.209.160/28 (大阪支社,10台) 131.113.209.176/28 (名古屋支社,11台) この割り当て例では、横浜支社には 新しく使えるアドレスは5つしか残らない しかし、大阪支社、名古屋支社も余裕は少ない。 ここで、それぞれに大きめのサブネットを配るか、 ぎりぎりの大きさのサブネットを配って reservedされたアドレスを残すかは悩みどころ。 将来を予測した設計が必要。 131.113.209.192/26 (reserved) Slide: 7 インターネット構成法 2002 IPv4 - /24の割りあて例(3) サブネット分けしない方法もある 4つの拠点をスイッチで接続 昔は大きすぎるサブネットを切ると通信品質が低下する問題があった。 (Ethernet上で衝突が増加) メリット ネットワークが単純、管理も楽 アドレスの利用効率が高い ネットワークアドレス、ブロードキャストアドレスが一つで済む。 どの部署に何台マシンが増えても大丈夫 131.113.209.0/24 スイッチ スイッチ スイッチ Slide: 8 インターネット構成法 2002 設計のポイント サブネット分割が必要になる要因 ネットワークごとに異なるセキュリティーポリシがある 管理団体が違う ネットワークが巨大なので通信品質が落ちる 分割しておけばLayer3でトラブルシューティングし易い 冗長性、耐障害性をどのように確保するか サブネット分割されたネットワーク ルーティングプロトコルによるバックアップが可能 スイッチで複数のネットワークを接続している場合 VRRP,HSRPなどを利用 Slide: 9 インターネット構成法 2002 セキュリティを考慮したネットワーク 部署ごとに異なるセキュリティポリシがある 開発、営業、総務 Firewall ネットワークのセキュリティを守る方法 ネットワーク型Firewall 中継ノード上でパケットを監視 下流のネットワークを外からの攻撃から守る ホスト型Firewall エンドノード上でパケットを監視 Slide: 10 インターネット構成法 2002 ネットワーク型Firewall パケットフィルタリングベース パケットのヘッダを元にパケットの破棄・ 通過を決定 TCPの状態を見る製品も アプリケーションゲートウェイベース パケットのペイロードを元に処理を決定 例: Proxy サーバ、Anti-Virusゲートウェイ、 Webページフィルタリング Slide: 11 インターネット構成法 2002 Firewall •Source / Destination •Protocol •Port •IN/OUT interface <Application Gateway> •Anti-Virus for E-mail •WEB Proxy •Traffic Logging INTERNE T Application Filrewall (Packet Filter) Transport Proxy IP Data Link Physical User Slide: 12 インターネット構成法 2002 異なるセキュリティポリシの適用(例) 大阪支社 Firewallを導入 営業部は全ての支社で情報を共有 開発部は、機密保持のため営業部とのアクセスも制限 インターネット 131.113.209.0/25 131.113.209.128/26 Firewall スイッチ 名古屋支社 スイッチ 横浜支社 スイッチ 東京支社 営業部 Slide: 13 機密 東京支社 開発部 インターネット構成法 2002 IPv4アドレスの不足 インターネットユーザ数の増加に伴い、 IPv4アドレスが枯渇 各ISPは厳しい審査を経てIPアドレスを取得 限られたグローバルアドレスを有効に活用 NAT/NAPT 弊害もある 対策技術 IPv6 Slide: 14 インターネット構成法 2002 インターネットに接続された ホスト数の推移 Source: Internet Software Consortium (http://www.isc.org/) Slide: 15 インターネット構成法 2002 IANAの委任したIPv4アドレスの現状 ARIN 6% 4% APNIC 4% RIPE NCC 37% 未割り当て 他の組織 (RIR以前) 43% 6% (マルチキャスト) Source: RIR Co-ordination and Joint Statistics at IEPG, July 2002 Slide: 16 インターネット構成法 2002 IPv4 Allocations per RIR 1999-2002 40,000,000 35,000,000 RIPE NCC APNIC ARIN 2.25 2.05 30,000,000 1.50 25,000,000 1.71 1.51 1.29 20,000,000 15,000,000 10,000,000 .92 .92 .89 0.79 .52 .57 5,000,000 0 1999 2000 2001 2002 2.61 4.47 5.47 2.37 Source: RIR Co-ordination and Joint Statistics at IEPG, July 2002 Slide: 17 インターネット構成法 2002 IPv4 Allocations by Country 2002 (Jan-Jun) IT IN Other 11% 2% 1% UK HK 2% 2% TW 5% JP 26% AU 6% US 10% CN 19% KR 16% Source: RIR Co-ordination and Joint Statistics at IEPG, July 2002 Slide: 18 インターネット構成法 2002 ISPが提供するサービスの現状 安価な接続サービスでは割り当てられるIPv4ア ドレス数に厳しい制限 /26~/32程度 利用IPアドレス数に比例した料金体系のサービスも 多い IPアドレスを必要なだけ割り当てられる サービスは高価 例: A社の10Mbps専用接続サービス 最大64個: 月額498,000円 制限なし: 月額1,100,000円 Slide: 19 インターネット構成法 2002 プライベートIPアドレス RFC1918 で定義 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 広大なIPアドレス空間 インターネットとの通信がそのままでは 不可能 Slide: 20 インターネット構成法 2002 NAT RFC1631: The IP Network Address Translation プライベートIPアドレスをグローバル IPアドレスに変換 本来の意味ではIPアドレスの対応は1対1 同時接続分のグローバルIPアドレスを消費する ヘッダのIPアドレス部分のみを変換 NATという表現に多少表現に混乱も Slide: 21 インターネット構成法 2002 NAPT RFC2391: Load Sharing using IP Network Address Translation (LSNAT) 内に記述 Network Address Port Translation IPアドレスに加え、ポート番号も変換する 1つのグローバルアドレスで複数のプライベートIPア ドレスを持つ端末を接続できる NAPT,NAT+, IP Masqueradeと呼ばれているもの とほぼ同義 Slide: 22 インターネット構成法 2002 NAT/NAPTのメリット グローバルIPアドレスの節約が可能 一つのグローバルアドレスを使って、複数のマシンが外部と通信できる アクセス制御 外部から内部ネットワークが隠蔽される NAPTの内側 192.168.0.2:1048 192.168.0.3:1050 NAPT-BOX 133.27.24.254:2911 133.27.24.254:2932 133.27.24.254:2949 133.27.24.254:3018 Internet 192.168.0.4:2181 192.168.0.5:2911 NATによって隠蔽され外から見えない Slide: 23 インターネット構成法 2002 NAT/NAPTのデメリット プロトコルによってはNAT/NAPTを通過できない ペイロード内にIPアドレスを含むプロトコルを 利用するアプリケーション 例:FTP,H.323系のVoIP,NetMeeting アドレス変換時に、アプリケーションデータも書き換える必要 外部からアクセスを受けるアプリケーションが利用しずらい 外部からも接続が行われるアプリケーション 例:ネットワークゲーム,P2P 複数の動的なセッションを利用するアプリケーション 例:FTP, NetMeeting Slide: 24 インターネット構成法 2002 UPnP Universal Plug and Play Microsoftが提唱 Universal Plug and Play Forumが標準化 NAT/NAPTのデメリットへの対応 機能 ネットワーク接続した機器のUPnP機器での検知 NAT Traversal ネットワークアプリケーションがNAT デバイスの背後にあることを検 出し、ルータに割り振られているWAN側 IP アドレスを識別 NAT の外部ポートから、アプリケーションの使用する内部ポートへパ ケットを転送するポートマッピングを設定 Slide: 25 インターネット構成法 2002 NAT/NAPTのデメリット 外側にNAT内部から外部にabuseがあった場合、 実行者の割り出しが難しい インターネット側からみたIPアドレスがNAT箱のものになる 10.0.0.3 Internet 犯罪者 10.0.0.1 10.0.0.5 203.178.143.1 NAT箱 一般利用者 Slide: 26 インターネット構成法 2002 NAT内部からのabuseへの対応策 Proxyサーバでログを記録 Proxyサーバを利用しなければ外部ネットワークへ アクセスできないようにする Transparent Proxyの導入 TCPのフロー情報を記録 NAT前とNAT後のフロー情報を保存 sFlow (RFC3176) Cisco NetFlowなど Slide: 27 インターネット構成法 2002 ケーススタディ(起) 村井研究室のユーザセグメント 最初は研究室全体が一つのセグメントに入っていた セキュリティは各マシンごとに管理者が確保 クライアントの数は、多い時で230程度 Wide ネットワーク ルータ 203.178.143.0/24 Slide: 28 インターネット構成法 2002 ケーススタディ(承) 管理の甘いマシンがクラックされた 同一ネットワーク上のマシンは全て再構築 Sshのkeyも作り直し。。 対策 新たなセキュリティポリシの考案 Wide ネットワーク ネットワークを半分に分割 ルータ Firewallに保護されたネットワーク マシンごとに厳格な管理されたネットワーク Firewall 203.178.143.128/25 保護されたネットワーク (filtered) 203.178.143.0/25 ホストごとに管理されたネットワーク (unfiltered) Slide: 29 インターネット構成法 2002 ケーススタディ(転) 新たな問題 Firewallを通さないネットワークがきつきつ 潜在的に150台程度のニーズ Firewallを通すネットワークには80台程度 解決方法 サブネットを切りなおす? NATを使う? 新たなグローバルアドレスを確保? Wide ネットワーク ルータ 既に満杯 Firewall 203.178.143.0/25 ホストごとに管理されたネットワーク 80台 203.178.143.128/25 保護されたネットワーク Slide: 30 インターネット構成法 2002 ケーススタディ(結:案1) 必要IPアドレス数に合わせて、サブネットを切りなおす 必要IPアドレス Firewallなしセグメント 150 → /25 + /27 Firewallありセグメント 80 → /27 + /27 + /27 (/26 + /27) 問題点 拡張性が低い 構成が複雑 203.178.143.0/25 (unfiltered) 203.178.143.128/27 (unfiltered) 203.178.143.160/27 (filtered) 203.178.143.192/27 (filtered) 203.178.143.224/27 (filtered) Slide: 31 インターネット構成法 2002 ケーススタディ(結:案2) FirewallをNAPTにする NAPT自体に付随する問題を許容できるか? プロトコルによってNAT/NAPTを通過できない問題 NAPTセグメント内のマシンが、外部からアクセスを受けられない問題 嫌がる人も多い 203.178.143.0/24 ホストごとに管理されたネットワーク Wide ネットワーク ルータ Firewall/NAT 192.168.0.0/24 Slide: 32 インターネット構成法 2002 まとめ サブネットを切る時に考えること 運用ポリシー アドレスの利用効率 ネットワークの冗長性、拡張性 運用上考えなくてはならない問題点 グローバルIPアドレスの効率的利用 NAT/NAPTの是非 総合的に考えて、導入する機器を選択 Slide: 33 インターネット構成法 2002
© Copyright 2024 ExpyDoc