IPv6 PMTU Discovery Blackholeの盲点

概要: IPv6を長年運用しているはずの組織でも、IPv6 PMTU Discovery Blackholeを引き起こしている事例があとを断ちません(よね?)。なぜか? その盲点と再発防止策について、運用面から語ります。

発表者: 國武功一 (株式会社ビーコンエヌシー)

資料: IPv6オペレータ育成プログラム iDC/ISP/CATVサーバ編の148ページ“Path MTU Discovery” (IPv4アドレス枯渇対応タスクフォース)

インターネット用語1分解説～Happy Eyeballsとは～ (JPNIC)

IPv6 PMTU Discovery Blackholeの盲点 (國武)

ログ: Q: 会場からの質問

A: 発表者からの回答/コメント

C: 会場からのコメント

C: IPv6 Path MTU Discovery Blackholeやっちゃったらみんなで教えあって解決しましょう。

C: ICMPパケットは、大きくなる傾向がある。トンネルするようなプロトコルの場合、トンネルの中のパケットがErrorパケットにはいっていないと、本当の通信ノードに通知できない。ICMP Errorを送るとき、トンネルの中のパケット情報をなるべく送りたいので、オリジナルパケットを出来るだけつっこめということになっている。

Q: あるwebページにIPv6でアクセスすると見えないことがあった。UTMかなにかでで落とされているのではないかと考えるがどうか

A: そのサイトへのICMP Echo Replyはかえってきていた。Too bigだけを落とすのはちょっと不自然なので、たぶん、UTMかなと思うが本当のことは解らない。

Q: どうやって、なおしたのか気になるがご存じですか。

A: 関係者に連絡をしてから、しばらくして直ったので、今回の発表内容のような問題があったと考えている。

Q: 今回のプレゼンでは、Path MTU Discovery Blackholeを起こすことは難しいとなっているが、参考資料に挙げているものでは、Path MTU Discovery Blackholeは、結構起きているという結論になっていて、ギャップ(矛盾)があるように感じるがどうか。

A: statefulなFirewallを用いていて、UTM/IPSが機能が有効だと、そこで気づかずに落としている可能性があるのではないか。弊社でも実際にあった。

A: Linuxのiptablesでがんばっている人もいる。CentOS 5はコネクショントラッキングはまともに動かず、下手な設定を入れると落としてしまう。CentOS 6からはコネクショントラッキングが動いており、RELATEDの設定をきちんと入れていれば落とさない。もう少し実装が新しくなってくると、Linux系は改善されると思われる。

ハッシュタグ: このプログラムのハッシュタグは #6pmtu です。Twitterなどでつぶやく際にお使い下さい。

→プログラムへ戻る