研鑽、交流、そして共育。全国に拡がるIBMユーザーのネットワーク line IBMユーザー研究会
fream01 ようこそ ゲスト さま separate fream2
 
  logomark IBMユーザー研究会TOP

midashiID登録がまだの方はこちらからblankup

ID登録のススメ
IBMユーザー研究会
入会申し込み
お問い合わせ
 
   
 
 
Security
Analytics
Commerce
Cloud
Social
Systems
Watson
Topics
 <業種別>
金 融
保 険
製 造
流 通
公共・通信
 
 <IBMユーザー研究会主催>
Webセミナー blankup
 <IBM主催>
IBM Webセミナー blankup
OnDemandセミナー blankup
IBM YouTubeチャネルblankup
日本IBMホームページ
Easy Web Browsingヘルプ 拡大読み上げ
当サイトのURLは予告なく変更・削除されることがございますことを予めご了承ください。
7
 
Social
IPv6のススメ ~もはや静観していられない時代へ
2012年05月01日掲載
日本アイ・ビー・エム システムズ・エンジニアリング株式会社
システム基盤ソリューション ネットワーク・システムズ
アドバイザリーITスペシャリスト 都竹 高広
IPv4が枯渇した今、企業におけるIPv6対応の動機や対応シナリオ、技術者が最低限知っておくべきIPv6のキホンを解説します。
 
1. IPv4の枯渇とIPv6機運の高まり
 2011年2月3日にIANAでIPv4アドレス在庫が枯渇し、2011年4月15日にAPNICおよびJPNICも枯渇しました[1]。他の地域レジストリ(RIR)においても、2012年から2014年までに枯渇することが予想されています。IPv4アドレス枯渇は、今後インターネットがIPv4では拡大や発展が困難になることを意味します。既存のIPv4アドレスは、今まで以上に節約し使いまわす必要があります。暫定的な枯渇対応策としては、Large Scale NAT (またはCareer Grade NAT)が数年前から検討されていますが、1ユーザーあたりのセッション数・ポート番号の制限や多段NATによる双方向性の欠落など、インターネット上の通信環境を劣化させる大きな課題があります。その他にも未使用アドレスレンジの返却など、様々なIPv4枯渇対応策が検討されて久しい状況ですが、やはり広大なアドレス空間を持つIPv6へ全世界が移行することが根本的な方法です。
今日のコンシューマー用OSでは、IPv6は意識して設定変更しない限りデフォルトで稼働しています。Windows Vista以降、Mac OS X (10.4以降)、LinuxなどのPC系OSは言うまでもなく、iOSやAndroidなどのスマートデバイスOSも対応しています。また、コンシューマー向けIPv6回線サービスも2011年から充実し始めています[2]。追加料金なのサービスとして自動的にIPv6アドレスの付与が開始され、自宅のパソコンが知らない間にIPv4IPv6デュアルスタック構成になりIPv6通信していた、という状況が実際に発生しています(筆者実体験)。コンシューマー環境でのIPv6対応は本格的に始まっており、この流れは日本以外でも同様に拡大していくことがほぼ必然と考えられます。
図1はJPNICが管理するIPv6アドレス割振り件数の推移で、IPv4が枯渇する2011年頃から急激に伸び始めていることが分かります[3]。
image
 昨年6月8日に、World IPv6 Dayという世界的なIPv6トライアルのイベントが行われ、参加団体のWebサイトが1日だけIPv6対応(AAAAレコード追加)されました。この成果を受けて、今年6月6日にはWorld IPv6 Launchという、世界的なIPv6移行キャンペーンが行われます。これは、2012年6月6日以降は恒久的にIPv6対応しようという取り組みで、既に多くの企業が参加を表明しています[4]。また、中国のチャイナテレコムは2010年4月に、2015年を目標としたIPv6への全面移行を表明しており、中国市場へ進出する日本企業や中国企業とパートナーを組む日本企業においてはIPv6対応が強く求められます。
 
2. 企業におけるIPv6導入の動機
 IPv6技術自体は既に開発されてから10数年経過しており、標準化や製品化も実運用可能な段階にありますが、企業ネットワークへの導入はほとんど進んでいない状況にあります。その理由として、IPv6の導入が目に見える価値を生みにくいことが考えられます。管理するIPアドレスが増えるだけでありそれ以上でもそれ以下でもない、むしろ近視眼的にはアドレスや回線分の保有コストや管理コスト増に繋がります。
一般的には、IPv6の膨大なアドレス空間を活用した様々なキラーアプリケーションも考えられましたが、IPv6の普及していない段階では価値を生みにくく「鶏と卵」状態になっているものがあります。IPv6の本格導入への動機としては、キラーアプリケーション登場への期待は幻想であり、決め手に欠けているのが最近の数年間の状況です。
では、企業ネットワークにおいてIPv6を導入する動機になりうるものは何でしょうか。1つ挙げるとすれば、「IPv6対応しないことによるデメリットを回避すること」が考えられます。そのデメリットは、以下のようなものです。

 ■WebサイトのIPv6対応をしない/対応が遅れることによるIPv6ユーザーに対する機会損失や信用低下
 ■新規IPv4グローバルアドレスを確保できないことによる制約
・データセンターのシステム増強や移行ができない
・新規拠点の追加(VPN接続)ができない
・新規サービスを開始できない

新規IPv4アドレスのアサインは通信キャリア側の事情に左右されます。ユーザー企業側が対処できることは、IPv4アドレスを確保できない状況への対応策をいち早く確立することで、それはIPv6への対応を意味します。
IPv6への対応は、簡単であり複雑でもあります。ネットワーク・インタフェースへのIPv6の基本的な設定方法はほぼ確立されており簡単ですが、IPv4アドレスの影響はアプリケーション層まで到達しているケースも多く、IPv6化の影響を上位層まで考慮する必要があります。ネットワーク監視システムにおいても、SNMP MIBのIPv6対応、インタフェース生死確認のための監視トラフィックIPv6化など検討すべきポイントがあります。システム全体を安全かつ安定的に対応させるために、アセスメントから設計導入まで通常の基盤構築プロジェクトと同様の長期的かつ段階的な取り組みが必要になります。
 
3. 企業におけるIPv6導入のステップ
 企業ネットワークにおいて、どこからIPv6対応すべきか。2で述べたように、比較的後ろ向きなIPv6対応動機においては、IPv6インターネットユーザーやIPv6回線サービスなどの外的要因への対応が最初と考えられます。最初に対応すべき箇所は、IPv6インターネットに直面する以下の2箇所が考えられます。
・外向けWebサイトのIPv6化
・拠点間VPN用の足回り回線のIPv6化 (インターネットVPN使用時)

外向けWebサイトでは、IPv6ユーザーからのIPv6アクセス(トランスポート層のIPv6対応)の他に、DNS名前解決におけるIPv6対応(AAAAレコードの追加)が必要になります。トランスポート層の対応方法は、IPv6通信経路上のノード全てにIPv6アドレス付与するIPv4IPv6デュアルスタック化が最も望ましい方法ですが、IPv4とIPv6を変換するトランスレーター装置を一時的または局所的に使用する方法も有効です。拠点間VPN用の足回り回線では、広域イーサネットなどのL2閉域網は考慮が不要ですが、特に新規IPv4アドレスがアサインされにくくなるインターネット経由のVPNで対応が必要です。対応方法は、IPv4で構成された既存の企業イントラネットをIPv6インターネットの上に通すトンネリングが考えられます(IPv4 over IPv6 トンネリング with IPsec暗号化VPN)。さらに加えて、IPv6対応したネットワーク機器やサーバー等の監視システムでも、上記への適切な対応が必要です(IPv6アドレスやそのサービスの生死確認、障害発生時の通知など)。次に考えられるのが、企業内ユーザーのIPv6化への対応です。特に、モバイルユーザーなどリモートアクセスVPNは、拠点間VPNと同様の考慮が必要になります。
最後までIPv6対応が必要のないネットワークやシステムも存在します。イントラ内部で、一部のクライアントやサーバー間でのみ通信が発生するシステムでは、IPv6インターネットや社内IPv6クライアントからの接続が必要ないため、現状通りIPv4プライベートアドレスのみで運用しても大きな問題になりません。
図2は、一般的な企業ネットワークをセキュリティゾーンと機能によってモデル化したもので、IPv6対応の1stステップを示しています。IPv6アドレスはインターネットからやって来るため、いわゆる3Tier構造におけるDMZまでをIPv6デュアルスタック化すると共に、DNSなど関連システムも対応させています[5]。
image
 
4. IPv6これだけは知っておこう
 IPv6は、その生い立ちの中でIPv4の課題を解決することを特に意識されて設計されてきています。今後触れることが多くなるIPv6技術について、最低限知っておきたい予備知識をいくつかご紹介します。

アドレスが長く扱いが困難
IPv6アドレス長128bitはIPv4(32bit)の4倍の長さであり、かつ人が覚えにくい表記に変わっています。実際に運用する際には、固定設定時の打ち間違いやドキュメント記載ミスなどが非常に発生しやすい性質があります。DNSでは逆引きゾーンの設定をIPv4時代よりもしっかりやる必要があるでしょう。なお、IPv6アドレス表記は、連続する0のセクションを省略するなど様々な表記が可能ですが、RFC5952の推奨事項に従って一意な表記方法で運用することを強くお奨めします[6]。

(参考) RFC5952 IPv6アドレス推奨表記

  1. 1.各16bitのField内の先頭”0”は省略する
    ×2001:0db8::0001             ○2001:db8::1
  2.      
    2.連続の0を省略する“::”の扱い
    1.      ・最大限省略する
      ×2001:db8:0:0:0:0:2:1       ×2001:db8::0:2:1             ○2001:db8::2:1
    2.      ・16bit 0000 Fieldが1つだけの場合は省略しない
             ×2001:db8::1:1:1:1:1          ○2001:db8:0:1:1:1:1:1
    3.      ・“::”で省略できる箇所が複数ある場合は、最も省略できる箇所に使う
      省略できるField数が同じ場合は前方に使う
      2001:0:0:1:0:0:0:1 の場合:  ×2001::1:0:0:0:1    ○2001:0:0:1::>1
      2001:db8:0:0:1:0:0:1の場合:  ×2001:db8:0:0:1::1  ○2001:db8::1:0:0:1
3.a~fは小文字を使用する
×2001:DB8::ABCD:EF12             ○2001:db8::abcd:ef12

ARPがない
IPアドレスとMACアドレスの紐付けにIPv4ではARPを用いていましたが、IPv6ではARPではなくNeighbor Discovery Protocol (NDP)が使用されます。NDPの実態はICMPv6で、ゲートウェイ・ルーターが送出するRouter Advertisement (RA)など5種類のICMPv6メッセージを使用します。NDPは、IPとMACのアドレス解決だけではなく、アドレス自動生成やネイバー到達不可の検出など、IPv6で追加された機能があります。機器やNICのTakeover、その他接続トラブル時などでは、各ノードのNDPテーブル(ネイバーキャッシュ)を元にトラブル解析するケースもあるため、少なくともネットワークやサーバーなど基盤担当者はNDP動作をよく理解しておく必要があります。図3はWindows7でのNDPテーブルを例示しています。
image
アドレスをたくさん持ってしまう
IPv6では、1つのインタフェースに複数のアドレスが付与されるケースが多々あります。OS設定やゲートウェイ・ルーター等の設定によっては、アドレスが4つも5つも自動アサインされることもあります。アドレス自動アサインは、ゲートウェイ・ルーターが定期送出するRAメッセージで決まり、主にSLAAC[7]、Stateless DHCP [8]、Stateful DHCP[9]の3種類の方法があります。他にも不正に送出されたRAにより想定外のIPv6アドレスがアサインされてしまうことへの対応も必要です。アドレス固定設定時はRAを受け付けない設定にすること、不要なRAの送出をとめること、などが検討項目になります。

通信で使用するアドレスを特定しづらい (送信元アドレス選択と一時アドレス)
IPv6ノードは多数のアドレスを持つため、通信する際にどのアドレスを使用するかを決める必要があります。これらは、RFC3484 [10]で送信元/宛先アドレス選択ルールとして規定されています。このアドレス選択ルールでは、IPv4アドレスも内部的にIPv4-mappedアドレス ::ffff:x.x.x.xに変換され同列で比較されます。標準のルールではIPv4アドレスの優先順位は低いため、IPv4IPv6デュアルスタックのクライアントではIPv6アドレスを優先的に使用します。選択ルールの1つとして、IPv6ノードは優先度などを規定したポリシーテーブルを持っています。アドレス選択のルールをユーザーが変更したい場合は、このポリシーテーブルを書き換えることで変更が可能となっています(図4参照)。
image
 またこれ以外に、IPv6アドレス自動設定が有効なWindows端末では、一時アドレスと呼ばれるアドレスを生成し、これを通信に優先的に使います[11]。一時アドレスは、乱数を用いて生成され24時間で再生成されます。一時アドレスを含む多数のアドレスを持つクライアントからアクセスを受けるシステムでは、サーバー側での端末の特定もより困難になります。IPv4ではよく行われていた送信元IPアドレスで問題判別やアクセス解析、送信元IPアドレスでのセッション維持なども設計変更が必要になる可能性があります。

DNSラウンドロビンは効かない (宛先アドレス選択)
1つのドメイン名に複数のホストレコード(IPv4ではAレコード/IPv6ではAAAAレコード)をDNSサーバーに登録して返答順序をラウンドロビンする、いわゆるDNSラウンドロビンは、IPv6では基本的には動作しません。先に述べたRFC3484 [10]の宛先アドレス選択ルールに従い、IPv6クライアントはDNS応答されたホストアドレスをルールに従ってソートし、その先頭アドレスを使用します。DNSサーバーがアドレス順序を変化させて応答しても、クライアントOSがソートしてしまうので、意図したラウンドロビン効果が表れません。企業ネットワークでDNSラウンドロビンが使用されている場合は、IPv6時代ではサーバー負荷分散装置など別のソリューションを検討する必要があります。

原則としてNATしない
NATを極力避けることは、歴史的にもIPv6の基本的かつ重要なコンセプトとなっています。通信の双方向性を非常に重視しており、グローバルアドレスをそのまま隅々まで付与する形になります。IPv4の世界ではNATの副次的な効果である実IPアドレスの隠ぺいが重要なセキュリティ対策として活用されていますが、IPv6の世界では Firewallによるゾーニングやフィルタリングなど、NAT以外の手法でセキュリティを確保することが前提となっています。但し、IPv6においても 実際のIPv6アドレスを隠ぺいすることでセキュリティを確保したいという要望は強く、またサーバー負荷分散などではIPv6 NATが実装されているという現実があります。このため、現在もIETFを中心とした internet community でIPv6 NAT の必要性が継続して議論されています。
  
5. おわりに
 当面の間は、IPv4が消滅しIPv6 Onlyな世界になることはなく、端末・サーバー・回線はIPv4IPv6のデュアルスタック構成へと変化し、その状態が長く続くと考えられます。現時点では、IPv4IPv6デュアルスタックにすると、うまく繋がらなかったり遅延が発生したりする問題(いわゆるIPv6フォールバック問題)が発生し、あえてIPv6をオフにして使うユーザーも存在しています。しかし今後、IPv6導入が進む一方でIPv4がLSN (CGN)などで住みにくくなってくると、逆にIPv4をオフしてIPv6のみで使用するという選択肢が出てくる可能性があり、それがIPv6 Onlyネットワークへの入り口になるかもしれません。
IPv4アドレスが枯渇した今、企業ネットワークでは直ちにIPv6対応への準備を始めるフェーズにきています。IPv6対応だけを目的に構築プロジェクトを行うことは動機が弱いものの、別の新規/更改プロジェクトの一環でIPv6対応を含めるなど着実に備えをしていくこと、それを提案していくことが我々に求められていると思います。

なお、今年6月に予定されているISE Technical Conference 2012 [12]では、今回解説した内容も踏まえ、より細かく実践的なIPv6ネットワークのポイントを加えて解説する予定です。


<ご注意>
この資料は2012年4月1日現在のものであり、将来この資料の全体または一部につき変更する場合があります。また、記載されている製品名または会社名はそれぞれの各社の商標または登録商標です。
 
参考文献blankup
[1] “IPv4アドレスの在庫枯渇に関して,” 2011年4月15日, JPNIC,
http://www.nic.ad.jp/ja/ip/ipv4pool/
[2] “IPv6サービスリスト,” IPv4アドレス枯渇対応タスクフォース,
http://www.kokatsu.jp/blog/ipv4/data/ipv6service-list.html
[3] “IPアドレスに関する統計・各種リスト,” JPNIC,
http://www.nic.ad.jp/ja/stat/ip/
[4] World IPv6 Launch – Participants,
http://www.worldipv6launch.org/participants/
[5] “企業ネットワーク IPv6移行シミュレーション,” TEC-J IPv6移行シミュレーションSIG, 2010/2/25
[6] “A Recommendation for IPv6 Address Text Representation,” RFC5952,
http://www.ietf.org/rfc/rfc5952.txt
[7] “IPv6 Stateless Address Autoconfiguration,” RFC2462,
http://www.ietf.org/rfc/rfc2462.txt
[8] “Stateless Dynamic Host Configuration Protocol (DHCP) Service for IPv6”, RFC3736,
http://www.ietf.org/rfc/rfc3736.txt
[9] “Dynamic Host Configuration Protocol for IPv6 (DHCPv6),” RFC3315,
http://www.ietf.org/rfc/rfc3315.txt
[10] “Default Address Selection for Internet Protocol version 6 (IPv6),” RFC3484,
http://www.ietf.org/rfc/rfc3484.txt
[11] “Privacy Extensions for Stateless Address Autoconfiguration in IPv6”, RFC4941,
http://www.ietf.org/rfc/rfc4941.txt
[12] “【F-1】いよいよ本腰!IPv6ネットワークへの対応アプローチ,” ISE Technical Conference 2012, 2012年6月7日~6月8日,
http://www-06.ibm.com/jp/ise/techconf/


 
 
 
サイトマップ関連リンクプライバシーポリシーblankupご利用にあたってblankup
ページのトップへ