IRS workshop memo (2008.04.22)
[2008-05-07] の日記からの続きで、ICMPv6 と uRPF の関係の話。
- IPv6 なのか IPv4 なのかにかかわらずだけど、PMTUD に注意しましょうと言う事で、今回の発表は、今後問題となるのではないかと言う環境として、IPv6 のネットワークで uRPF check を実装しているルータがある場合を前提とした話
- 中間ノード (特に今回の話では、IX セグメントを例としてあげている) で、ICMP エラーメッセージを返す場合に、そのパケットの source アドレスがグローバルに経路広告されていないと uRPF check で fail となって drop されてしまう。
- uRPF はルータの経路テーブルを見ているので。
- いくつかの解決方法
- IX セグメントの経路を広告する
- IX セグメントは、パケットフィルタでセキュリティを担保する?
- uRPF check を使用しない?
- IPv4 ではみんな結構使っているよね?
- uRPF check を使っているのであれば、ICMPv6 は必ず accept が出来るようにすると言う運用をする
- この対応が一番良いのでは?
- IX セグメントの経路を広告する
- ICMPv6 を全て reject する事はいけないが、rate-limit は良いらしい?
- IX セグメントの IPv6 アドレス
- 経路を広告するかどうかは IX が選べるようになっている