購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
3398
閲覧回数
0
いいね!
0
コメント

Umbrella: IPv6 の対応状況について

tkitahar
Cisco Employee
Cisco Employee

‎2018-03-07 09:30 AM ‎2019-06-06 02:49 PM 更新

 

※ 2019 年 6 月 6 日現在の情報をもとに作成しています

 

1. はじめに

 

Umbrella における IPv6 の対応状況については、これまでいくつかのサポート記事で触れられてきました。本記事では、これらの情報を一度整理したいと思います。

 

2. IPv4 用の DNS サーバーについて

 

従来から利用されている IPv4 用の Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) でもAAAA のレスポンスとして IPv6 アドレスを返します。以下は dig コマンドの出力例 (一部抜粋) です。

 

;; QUESTION SECTION:
;cisco.com.                     IN      AAAA

;; ANSWER SECTION:
cisco.com.              849     IN      AAAA    2001:420:1101:1::185

 

なお、AAAA のリクエストの判定がグレーまたは黒だった場合、以下のようにレスポンスとして IPv4 射影アドレス (IPv4-Mapped IPv6 Address) を返します。

 

  • 判定がグレーの場合に返る Intelligent Proxy サーバーの IP アドレス

 

;; QUESTION SECTION:
;proxy.opendnstest.com.         IN      AAAA

;; ANSWER SECTION:
proxy.opendnstest.com.  5       IN      AAAA    ::ffff:146.112.237.213
proxy.opendnstest.com.  5       IN      AAAA    ::ffff:146.112.237.204
proxy.opendnstest.com.  5       IN      AAAA    ::ffff:146.112.237.203
proxy.opendnstest.com.  5       IN      AAAA    ::ffff:146.112.237.205
proxy.opendnstest.com.  5       IN      AAAA    ::ffff:146.112.237.220
proxy.opendnstest.com.  5       IN      AAAA    ::ffff:146.112.237.215

 

  • 判定が黒の場合に返るブロック ページ用のサーバーの IP アドレス

 

;; QUESTION SECTION:
;internetbadguys.com.           IN      AAAA

;; ANSWER SECTION:
internetbadguys.com.    0       IN      AAAA    ::ffff:146.112.61.108

 

3. IPv6 用の DNS サーバーについて

 

2018 年に Umbrella のセキュリティ機能に対応した IPv6 用の DNS サーバー (2620:119:35::35、2620:119:53::53) が導入されました。こちらを利用すると、IPv6 ネットワーク上でも前項と同様の結果が得られます。

 

なお、セキュリティ機能のない IPv6 用の DNS サーバー (2620:0:ccc::2、2620:0:ccd::2) も引き続き利用可能ですが、いずれ利用できなくなる予定です。

 

Does Umbrella Provide IPv6 DNS Services?

https://support.umbrella.com/hc/en-us/articles/230563727-Does-Umbrella-Provide-IPv6-DNS-Services-

 

4. 各種サーバーの IPv6 アドレスについて

 

前項の例で、Intelligent Proxy サーバーとブロック ページ用の IP アドレスとして IPv4 射影アドレスが返されました。これは、これらのサーバー用の IPv6 アドレスが用意されていないためです。現段階における IPv6 アドレスが用意されていない主な Umbrella のサーバーは以下のとおりです。

 

  • Intelligent Proxy サーバー
  • IP Layer Enforcement サーバー
  • ブロック ページ用のサーバー
  • Umbrella API サーバー

 

5. IPv4/IPv6 デュアルスタックについて

 

IPv4/IPv6 デュアルスタックの Windows PC において、両方にそれぞれ DNS サーバーが設定されている場合、デフォルトでは IPv6 側の DNS サーバーが優先して使われます。そのため、IPv4 側に Umbrella DNS サーバーを設定するだけでは、Umbrella のセキュリティ機能を利用できません。必ず、IPv6 側にも設定する必要があります。

 

また、この環境で Roaming Client を利用している場合、Roaming Client のデフォルトの動作では、IPv4 側の DNS サーバーの設定を ループバック (127.0.0.1) へ書き換えDNS パケットを Umbrella に転送します。そのため、同様に Umbrella のセキュリティ機能を利用できません。

 

Roaming Client が IPv6 側の DNS サーバーの設定もループバック (::1) に書き換えるようにするには、Umbrella Dashboard の Deployments > Roaming Computers の設定画面で Enable IPv6 DNS Redirection (BETA) を有効にする必要があります。

 

pic.png

 

※ AnyConnect Umbrella Roaming Security Module は現在非対応

 

Umbrella Roaming Client: IPv6 Support

https://support.umbrella.com/hc/en-us/articles/230901268-Umbrella-Roaming-Client-IPv6-Support

 

なお、今回紹介した Roaming Client の機能の詳細、および Network Identity の IPv6 対応については別の記事で説明しています。

ラベル:
0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents