[2008-05-07] の日記からの続きで、ICMPv6 と uRPF の関係の話。

• IPv6 なのか IPv4 なのかにかかわらずだけど、PMTUD に注意しましょうと言う事で、今回の発表は、今後問題となるのではないかと言う環境として、IPv6 のネットワークで uRPF check を実装しているルータがある場合を前提とした話
  • IPv6 は ICMPv6 (Type=2、Packet Too Big) が drop されると PMTUD が動かない。

• 中間ノード (特に今回の話では、IX セグメントを例としてあげている) で、ICMP エラーメッセージを返す場合に、そのパケットの source アドレスがグローバルに経路広告されていないと uRPF check で fail となって drop されてしまう。
  • uRPF はルータの経路テーブルを見ているので。

• いくつかの解決方法
  • IX セグメントの経路を広告する
    • IX セグメントは、パケットフィルタでセキュリティを担保する？
  • uRPF check を使用しない？
    • IPv4 ではみんな結構使っているよね？
  • uRPF check を使っているのであれば、ICMPv6 は必ず accept が出来るようにすると言う運用をする
    • この対応が一番良いのでは？

• ICMPv6 を全て reject する事はいけないが、rate-limit は良いらしい？

• IX セグメントの IPv6 アドレス
  • 経路を広告するかどうかは IX が選べるようになっている