【3/18〜】Amazon、VMwareが語る『クラウドの未来』 スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷


第2回 IPv6で外部接続しよう!

鈴木伸介
日立製作所
2002/8/29


 前回の記事からだいぶ時間が経ってしまったが、今回は具体的に何をすれば、実際にIPv6で外部との接続を行うことができるのかを解説する。図1の例でいうと、上流ISPと企業網間の回線、およびその回線につながるルータの部分である。

図1 ある企業網における、要素ごとのIPv6導入ケース。今回は、赤枠で囲まれた上流ISPとの接続部分について説明していく


 IPv6外部接続の分類

 2002年8月現在、IPv6サービスの提供を行っているISPは数多くある(表1)。

プロバイダ名
トンネル
ネイティブ
デュアル
IIJ
http://www.iij.ad.jp/IPv6/
NTTコミュニケーションズ
http://www.ocn.v6.ntt.net/
http://www.v6.ntt.net/ipbb/
IMASY
×
×
http://www.v6.imasy.or.jp/
KDDI
×
http://www.v6.kddi.com/
JENS
http://www.jens.co.jp/ipv6/
知多メディアスネットワーク
×
×
http://www.medias.jp/
日本テレコム
×
×
http://www.japan-telecom.co.jp/business/odn/ipv6/
パワードコム
×
http://www.poweredcom.net/service/internet/ipv6.html
みあこネット
×
×
http://www.sccj.com/miako/
表1 IPv6サービスの提供を行っているISPの一覧。IPv6サービスは行っているものの、新規募集を終了したISPはこの表から削除している。また一部のISPのサービスは実験サービスや非商用利用限定であるため、実際に契約する際にはサービス内容に注意する必要がある

 各社、さまざまなIPv6サービスを行っているが、接続方法という観点では、「トンネル接続」「ネイティブ接続」「デュアル接続」の3つに分類される。

●トンネル接続
 既存のIPv4接続回線を利用して、IPv6パケットをカプセル化して通すもの。デュアル接続とは異なり、同じ回線上にはIPv4パケットしか存在しない(一部のIPv4パケットのデータの中身が、IPv6パケットそのものになっている)。

●ネイティブ接続
 IPv6接続用に専用の回線を引くもの。デュアル接続とは異なり、同じ回線上に流れるのはIPv6パケットのみである。

●デュアル接続
 既存のIPv4接続回線を利用して、IPv6パケットを直接通すもの。トンネル接続とは異なり、同じ回線上にIPv6パケットとIPv4パケットとが混在する。

図2 IPv6接続形態の分類

 それぞれの手法のエンドユーザーにとっての長所と短所は表2のとおりである。一般には、価格や運用の手間、既存サービスへの影響とのトレードオフを考慮して、どのサービスを採用するか取捨選択すべきだが、本記事では一番導入コストが低いトンネル接続を例に取り解説を進める。

トンネル
既存回線をそのまま使うので、新たな回線コストは掛からない
回線がIPv6未対応でもIPv6接続できる
×
 IPv4ネットワークが不安定だと、IPv6ネットワークも不安定になる
×
 IPv6ネットワークが不安定になり回線が不安定になると、IPv4ネットワークも不安定になる
×
 中継性能が低いことが多い
ネイティブ
既存IPv4ネットワーク/回線への影響なし
中継性能はトンネルの場合に比べると高いことが多い
×
 IPv6専用回線のコストが掛かる
デュアル
既存回線をそのまま使うので、新たな回線コストは掛からない
中継性能はトンネルの場合に比べると高いことが多い
×
 回線がIPv6に対応している必要がある
×
 IPv4ネットワークが不安定だと、IPv6ネットワークも不安定になる
×
 IPv6ネットワークが不安定になり回線が不安定になると、IPv4ネットワークも不安定になる
表2 各接続手法の長所・短所

 それぞれ外部接続に必要な装置や情報は、以下のとおりである。

●IPv6サービス対応ISP
●IPv6プレフィックス
 IPv6サービスの契約を行うと、自動的に取得可能。一般に/48を入手できる。この場合、2の16乗個のセグメントにプレフィックスを割り振り、各セグメントにつき最大2の64乗個のアドレスを定義することができる。通常用途なら十分過ぎる数だろう。

 大企業ではこれでも不足する可能性もあり得るが、その場合はもう少し広い範囲のプレフィックス(例えば/40)や複数の/48を入手する必要がある。そのようなことが可能か否かはISP次第なので、特に大企業の場合は、プレフィックスの拡張が可能か否かを契約時に確認しておくことが大切だ。

●IPv6対応ルータ
 デュアル接続/ネイティブ接続の場合には、対外線(例:ATM、シリアル専用線)そのものでIPv6通信を行えなければならない。

 特にデュアル接続の場合には、現在IPv4対外接続に使用しているルータでIPv6通信を行う必要がある。そのため、場合によっては、IPv6導入のために既存の対外接続ルータをリプレイスする必要があることが多いのに注意してほしい(逆にいえば、IPv6対応に関係なく対外接続ルータをリプレイスする際でも、IPv6対応版を最初から導入しておくと後々楽だということだ)。

 トンネル接続の場合は、IPv6に対応さえしていれば、以上の2つの制約はない。

●最低1つのIPv4グローバル・アドレス
 トンネル接続の場合のみ必須になる。一般に、トンネル接続はNAPT経由では動作しないため、NAPTを経由しないグローバルなIPv4アドレスを用意する必要がある。

 まずは6to4トンネル接続で行こう

 概略はこのくらいにして、実際にトンネルを使って外部とIPv6接続をしてみよう。トンネル技術にはいくつかあるが、まずは「6to4」というトンネル技術を用いて接続してみる。

 6to4はRFC3056で規定されたトンネル技術であり、トンネル通信でパケットをカプセル化するときのIPv4アドレスが、通信先のIPv6アドレス内に埋め込まれていることが特徴である(図3)。

●6to4アドレスフォーマット
6to4における各要素の動作
●PC〜6to4ルータ(上)
IPv6パケットとして普通に転送

●6to4ルータ(上)
IPv6パケットを6to4に変換するルータ。IPv6デフォルト経路を6to4ルータ(下)のIPv6アドレス(2002:0203:0405::1)に向けておく

●6to4ルータ(上)〜6to4ルータ(下)
6to4ルータ(下)のIPv6アドレス「2002:0203:0405::1」からIPv4アドレス「2.3.4.5」を抽出。1.2.3.4 → 2.3.4.5へのIPv4パケットの中に、IPv6パケットをカプセル化

●6to4ルータ(下)
6to4 IPv4パケットをIPv6パケットに変換するルータ。上記IPv4パケットのデータ部からIPv6パケットを抽出。そのIPv6パケットを普通に転送
図3 6to4の動作の様子

 上側の6to4ルータは自分側で用意し、下側の6to4ルータはIPv6サービスを行うISP側で用意する。ただし、日本には実験用に外部公開されている6to4ルータがあるので(www.6to4.jpのページを参照)、それを使えばISPとIPv6サービス契約を行う必要はない。また、使用できるIPv6プレフィックスは自分の所有するIPv4アドレスから自動的に確定するため、特別なIPv6プレフィックス取得手続きも不要である。そのため、6to4に対応したIPv6ルータとIPv4グローバル・アドレスがあれば、6to4トンネルを使うことができる。

 実際に、企業のような複数ネットワークを用いる環境で使うときには、図4に示す構成を取って動作させる。
図4 6to4アドレス使用例


 6to4を用いるときの注意事項

 6to4を実際に用いる際には、いくつか留意すべきことがあるので、ここでリストアップする。

●IPv4でカプセル化したパケットはNAPTを通らない
 NAPTではTCP/UDPのポート番号を基にしてIPv4アドレスの変換を行うのに対して、IPv6パケットをカプセル化したIPv4パケットのプロトコル種別はTCP/UDPのいずれでもないため(「IPv6」というプロトコル・タイプである)、NAPTでアドレス変換を行うことができないからだ。

 最初に、6to4トンネルではIPv4「グローバル」アドレスが必要、という説明をしたのは、上記のような制約があるためである。いうまでもないことだが、NAPTを通しているIPv4グローバル・アドレスも、6to4トンネルに用いるアドレスとしては採用できない。

 なお、TCP/UDPのポート番号によらず静的にアドレス変換を行うNATならば、6to4のIPv4パケットを正しく変換することも可能である。ただし、実際にそのような設定が可能かどうかは実装に依存する。混乱を防ぐためにも、最初はIPv4グローバル・アドレスを用いた方がよいだろう。

●IPv6経由でどこにでもIPv4通信ができてしまう
 6to4ルータは通常、「2002〜」で始まるIPv6アドレス行きのパケットならば、すべてIPv4でカプセル化して外に送信する。このことを利用すると、通常のIPv4対外線利用では許されなかったIPv4通信が、6to4を経由すると実現できてしまうことになる(図5)。

 本来であれば、IPv4的に疎通しなければ6to4トンネルでカプセル化したパケットも疎通しないので、上記のような問題は起こらない。ただし、ファイアウォールに穴を開けて、「『プロトコル・タイプIPv6』のパケットならば全部通す」という設定をしていると、IPv4のフィルタリング・ポリシーでアクセス制限をかけていても、6to4トンネルで越えられてしまう、という問題が発生する。

図5 6to4ルータ経由でIPv4的には不可能な通信ができてしまう

 この問題に対応するためには、根本的にはファイアウォールのIPv6対応が必要なのだが、6to4ルータの経路制御を工夫することによっても、かなりの部分で対応可能である。図5の例でいうと、6to4ルータの経路の設定で、「2002:0304:0506::/48」あてのIPv6パケットを中継しないようにすればよい。そうすれば、カプセル化されたIPv4パケットがファイアウォールに到達する前に、6to4ルータでIPv6パケットが廃棄されるので、ファイアウォールではじくべきパケットをはじくことが可能になる。

●リンク・ローカル・アドレスがない
 リンク・ローカル・アドレスとは、最初の64ビットが「fe80::」で始まっているIPv6アドレスである。このアドレスはルータを越えない通信に用いられ、主に経路制御プロトコルが使用している。

 ところが、6to4トンネルではIPv6アドレスの先頭16バイトが2002で固定になっているため、リンク・ローカル・アドレスを用いた通信を行うことができない。このことは、経路制御プロトコルを6to4トンネルを介して動かすことができないことを意味している。そのため、外部への回線を動的に経路制御で切り替えるような使い方をすることはできない。

 なお、静的に外部への回線を切り替えるだけならば、6to4ルータの経路の設定を工夫するだけで実現可能だ。デフォルトで特定の6to4ルータへ中継させるのではなく、例えば「2002::/16」を半分に分けて、前半分と後半分を別々の6to4ルータへ中継させるような経路設定をすればよい。

 ISPへトンネル接続しよう

 次に、実際のISPサービスでよく用いられている、静的トンネル接続について説明する。通信方法自体は6to4トンネルと完全に同じで、プロトコル・タイプ「IPv6」のIPv4パケットでIPv6パケットをカプセル化して送信する、という仕組みである。

 6to4と異なるのは、そのときに用いるIPv4アドレスが契約により固定されていること、そして使用できるプレフィックスの形式に制約がないことの2つだ。

 トンネル接続の契約は、大まかにいうと以下のような手順で進められる。

自分側のトンネル・ルータのIPv4グローバル・アドレス
を契約時にISPに連絡する
契約締結時に、ISP側のトンネル・ルータの
IPv4グローバル・アドレスが通知される
同時に、ISPから(通常「/48」の)
IPv6プレフィックスをもらえる

 上記情報を用いて、それぞれのトンネル・ルータにて、互いのトンネル・ルータへ向けたトンネル・インターフェイスを仮想的に定義し、そのトンネル・インターフェイス上でパケット中継や経路制御を行うイメージである(図6)。

●トンネル・ルータ(上)のトンネル・インターフェイス設定例
(Cisco IOS)
Router(config)# interface Tunnel 0
Router(config-if)# ipv6 address 3ffe:ffff:ffff::1/64
Router(config-if)# tunnel source 2.3.4.5
Router(config-if)# tunnel destination 1.2.3.4
Router(config-if)# tunnel mode ipv6ip
●トンネル・ルータ(下)のトンネル・インターフェイス設定例
(日立製作所 GR2000)
Router(config): tunnel toISP 1.2.3.4 remote 2.3.4.5 Router(config): ip toISP 3ffe:ffff:ffff::2/64                 destination-ip-address 3ffe:ffff:ffff::1
Router(config): static ::/0 interface toISP
図6 静的トンネルを用いたIPv6外部接続

 トンネル通信先を1カ所に静的に固定して運用するため、6to4トンネルの問題点として挙げた3つの課題のうち、後者2つの問題は解決される。すなわち、仮想的なIPv6専用のPoint-to-Point回線としての利用が可能になる。

 今回は、6to4のトンネル接続を例に、IPv6で対外接続する方法について解説した。次回以降は、内部ネットワークのIPv6化手順について解説していく。

 

「Master of IP Network総合インデックス」

 

ホワイトペーパーTechTargetジャパン

Master of IP Network フォーラム 新着記事
  • どこまで出る? LTEの通信速度 (2010/3/17)
     光ファイバに匹敵する通信速度を実現すると期待されているLTE。ホントにそんなに出るの? という疑問に答えます
  • インターネット世界の地図 (2010/2/23)
     荷物の届け先まではどの道を通っていけばいいのでしょう? それを決める「経路選択」の仕組みを説明します
  • Androidアプリはビジネスになるのか (2010/2/12)
     「iPhoneアプリの次はAndroid?!」NECビッグローブのAndroidアプリ販売サイト「andronavi」を通して、その可能性に迫る
  • 知られざるLTEのネットワーク構成 (2010/1/13)
     LTEのネットワーク構成やプロトコルスタックを詳解。それぞれどんな役割を果たしているかを解説します

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

スキルアップ/キャリアアップ(JOB@IT)

- PR -
@IT Special -PR-
「いつかは壊れるサーバ」そんな故障に
迅速で安価に手軽に対応する方法とは?
New!
「特権ユーザー」の事件を防げ!
万能権限を持つユーザーの管理方法とは?
New!
仮想環境の構築とデータ保護の特効薬?!
実績と信頼性の高いパッケージで安心運用
仮想環境のバックアップもこれまでどおり
「まるごと取ってまるごと戻す」簡単運用
おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介
その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?
美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?
進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

→@IT Special ヘ

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  TomcatやJBossなどAPサーバ環境に関する
情報を集約! “業務”用APサーバ大百科
New!
  一気に解説! 最新のクラスタストレージ
「RAIDを超えたストレージ基準」……など
New!
  クラウド的ユーザー体験の変化は脅威か?
仮想化技術を使いこなす運用管理術を紹介
New!

  上司や部下、部署内メンバーとの情報共有
を“ガラッ”と変えるコラボツールとは?
New!
  おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
  社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介

  Twitterのアカウントはなぜ突破された?
メールによる新手の攻撃手法とその対策
  もう仮想化のお試しフェイズは終わりだ!
Hyper-V 2.0が基幹システムも仮想化
  美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?

  クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」
  .NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?
  業務効率と情報セキュリティ対策を両立!
手間なく確実に機密情報を守る方法とは?

  進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  【CTC事例】約30の基幹システムを統合!
膨大なバッジジョブを制御した方法は?
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する
  その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?

→@IT Special ヘ