IPv4アドレスの枯渇と企業ネットワークの課題:目指せ! ネット時代の幸せな管理者(14)(2/2 ページ)
IPv4の枯渇問題。企業ネットワークはそれに対してどのような対策が必要とされるのか。それを解説する。
回線の調達
IPv6の機材やIPv6アドレスの調達が完了したら、インターネットに接続します。接続方法はさまざまですが、主に3通りの方法があります。
1番目の方法は、現在あるIPv4回線とは別にIPv6回線を用意し、IPv4とIPv6のトラフィックを回線ごと分ける「ネイティブ接続」です(図1)。
この接続の利点は回線を別々に分けているため、IPv6の障害や実験的な検証を行ってもIPv4ネットワークに影響しない点です。ただし、回線を2回線引き込んでいるため、回線調達のコストが2倍になります。
2番目の方法は、現在あるIPv4の回線にIPv6を流す「デュアルスタック接続」です(図2)。
この接続は、現在使っているIPv4の回線にIPv6のパケットを流す方式です。当然のことながら、パケットを受けるルータはIPv6対応の機器である必要があります。回線は既存のものを利用しているのでコスト的には最も安価といえます。
ただし、IPv4の本番環境にIPv6パケットを実際に流し、ルータ経路表にIPv6の経路が載ることになり、試験利用などの場合、障害を引き起こす可能性もあるので注意が必要です。
そして3番目の方法は、現在あるIPv4回線にIPv4パケットにカプセルされたIPv6パケットを流す「トンネル接続」です(図3)。
この接続は、回線の両端にトンネルルータを接続します。トンネルルータでIPv6パケットをIPv4でカプセル化し、IPv4パケットとして回線に流します。従って回線上はIPv4パケットのみが流れます。パケットを受け取ったルータもトンネルルータまではIPv4パケットとして運びます。IPv4の環境にIPv6の検証環境を接続する際に論理的にIPv4環境とIPv6環境を分ける意味で効果はあります。ただトンネリングはオーバーヘッドが大きく、ルータのパフォーマンスを下げる一因になります。検証環境として、コスト的にも低く抑えられますが、品質はネイティブ接続と比較して格段に下がりますので、あまりお勧めはできません。
取りあえずIPv6に対応させるのであれば、2か3を選択するのがリーズナブルかつ、短期に調達することが可能でしょう。1はIPv6の利用率が増加する、IPv6ネットワークのパフォーマンスや品質の向上をするなどの場合に必要になってくると思われます。
では、次からいよいよIPv6ネットワークの構築を考えることにしましょう。
設計と構築
IPv6導入初期では、現在の運用ネットワークの小規模版のような形でIPv6ネットワークの設計を行います。
基本的にISPとIPv6接続(接続の方式はその規模に合わせる)を行うことにします。ISPとの接続後に今度は企業ネットワーク内について検討します。
既存のIPv4で構築されたネットワークをIPv6で実際に組みながら検証することから開始し、徐々にIPv6サービスネットワークを大きくするような流れが基本形となります。OSPFなどのダイナミックルーティングプロトコルを用いた大規模企業ネットワークをIPv6化する場合には、最初か既存のIPv4ネットワークと共存させずに小さいセグメントを独立して構築し、機器の相互接続などを十分に検証するようにしてください。
IPv6ネットワークの設計・構築を行うと同時に、IPv6ネットワークの運用についても検討する必要があります。IPv6ネットワークを構築できたとしても、安定運用ができなければインフラとして役に立ちません。IPv6ネットワークを適切に運用するためには、
- 技術者の再教育とIPv6ネットワークへの理解を深める
- 運用の見直しや一部のネットワークの再設計/再構築
- 技術者を含む運用基盤の底上げ
を行うことが重要です。2009年度は、多くのネットワーク管理者がIPv6対応を検討し、上記3点を技術目標として、掲げるのではないかと思われます。
IPv4とIPv6の共存とアドレス変換
IPv6インターネットの構築が完了したら、次はIPv6とIPv4ネットワークとの共存について検討を開始します。
この「IPv4とIPv6ネットワークの共存」については時系列に沿って考えていくことにしましょう。
まず、この検討における重要なポイントは、「IPv4とIPv6は相互接続できない」という点にあります。IPv6の開発当初、IPv4とIPv6の相互互換性について熱く議論されたということですが、最終的にIPv6はIPv4との互換性を持たない形でプロトコルが完成しました。そのため、IPv4のアドレスを持ったノードとIPv6のアドレスを持ったノードが相互に通信するためには何らかの仕組みが必要になります。
IPv4アドレスの枯渇期およびIPv6の普及期において、この2つのプロトコルが存在する状態を“共存”と呼んでいます。
現在、インターネット上の多くのノードがIPv4アドレスを使っています。インターネット上の有名なWebサイトや取引のある企業のメールサーバ、インターネット上に欠かすことのできない多くのDNSサーバなど、これらの多くがIPv4アドレスで構築されているのです。このため、共存については現在活発に技術開発などが行われているようです。
まず、企業ネットワーク管理者としての検討は、自社のWebサーバなどにIPv6アドレスのユーザーがアクセスしてきた場合となります。
サーバそのものをデュアルスタック化、もしくはサーバをIPv6化するなどの方法はありますが、この方法にも一長一短があります。
多くのサーバ管理者は、すでにサービス提供しているサーバをデュアルスタック化することを好みません。これは、先に説明したIPv6対応方針とも共通していて、現在安定稼働しているサーバに新技術を入れることによる障害や停止を発生させないためです。IPv4で安定しているサーバの設定を変更することは、あまりないでしょう。
次にサーバのIPv6化ですが、DNSのように重要なインフラは、IPv6専用に新規で構築する可能性は十分あり得ますが、いまある数十あるいは数百というサーバをすべて二重に構築することは現実的ではありません。
このような状況から、「IPv4とIPv6の変換技術」という要望が高まります。では実際にアドレス変換の技術とそれぞれの特性について見ていくことにしましょう。
現在、IPv4アドレスとIPv6アドレスを変換する技術は代表的に下記の3つの方法があります(図4)。
- トランスレータの利用
- ロードバランサの利用
- リバースプロキシの利用
それぞれの技術にはやはり一長一短があります。使う場所、そのトラフィック、トポロジー、ネットワーク全体のポリシーに準じてそれぞれ使う技術を選ぶ必要があります。
それぞれの技術とのその特性を一覧にしたものが、次の表です。
| トランスレータ | ロードバランサ | リバースプロキシ | |
|---|---|---|---|
| メリット | 高速にパケット変換が可能 | 既存機器を流用できる | プロトコルに特化したALG処理が可能 |
| デメリット | 新規に設置する必要がある データ内に含まれるアドレスは変換できない |
既存機器を流用した場合はIPv4に影響がある データ内に含まれたアドレスは変換できない |
変換負荷が高い プロトコルごとにプロキシが必要 |
| 表1 アドレス変換技術の特性 | |||
企業内におけるIPv4内のIPv6ノード
最後に、企業で一般的に利用されているIPv4ネットワーク内にIPv6のノードが存在する場合について考えていくことにしましょう。
企業内のネットワークは現在、読者の皆さんのような企業ネットワーク管理者によって、かなり高いセキュリティポリシーで守られています。
ただし、このセキュリティは「IPv4のみ」に適用されたポリシーであって、IPv6に対しては放置されているのが現状ではないでしょうか。
現在、社内にWindows VistaやMacintoshなどのユーザーが増えつつあると思います。Windows Vistaなどではインストール時からIPv6が利用できます。逆に、IPv6を使用不可にすることはできません。
このことから、Windows Vistaを利用するユーザー間でのファイルのやりとりなどが、既存のIPv4ネットワークで策定されたセキュリティポリシーから外れているケースが多々出てきています。
社内は当面、IPv4アドレスで構築したネットワークを利用しても、エンドユーザー側でIPv6を利用し始めている場合、セキュリティポリシーとして、IPv6について検討する必要があるといえます。IPv4ネットワークの環境内にいるIPv6ノードに対するセキュリティ的な対応、これが2009年度の企業ネットワーク管理者における重要なタスクになるのではないでしょうか。
これからのインターネットを取り巻く社会
インターネットはこの10年で大きな発展を遂げています。いまでは、このインターネットを基盤にしたさまざまなサービスや技術が登場しています。仮想化やクラウドネットワークといった新技術も、インターネットが発展していくことを前提に考えられ、作られている技術といえます。
インターネットの発展は、IPv4の普及と同義です。このIPv4の普及が現在の便利なインターネット社会を形成し、またIPv4アドレスの枯渇問題を生むきっかけとなりました。IPv4アドレスが枯渇するということは、ビジネスだけにとどまらず社会的な問題を引き起こす可能性が極めて高いと考えられます。
インターネットに携わるすべての人々は、IPv4アドレスの枯渇をどう解決するかを考える必要があります。そしてこの問題をいかにシームレスに解決し、その先の未来を切り開くかは、インターネットに携わる人々の行動にかかっています。
インターネットにかかわる人とは、何もISPなどの事業体だけではありません。SIerからxSP事業者と呼ばれるインターネット上でさまざまなサービスを展開するすべての事業者が対象となります。企業ネットワークの管理者もまた、その1人です。
そして、この問題の解はこの事業者たちのIPv6対応にかかっているといえます。IPv6の対応は技術的な問題だけではありません。さまざまな問題、ケースをいまの段階から検討し、問題点を洗い出し、将来的に必要なことをきちんと見極めるために、いまからIPv6対応を行うことが重要といえるのではないでしょうか。
【参考資料】
▼IPv4アドレスの在庫枯渇に関して(JPNIC)
▼IPv4アドレス在庫の枯渇予測(ジェフ・ヒューストン)
▼IPv6 ready Log program
▼IPv6普及・高度化推進協議会
▼IPv4アドレス枯渇対応タスクフォース
著者紹介
▼著者名 仲西 亮子
2000年 三井情報開発株式会社(現:三井情報株式会社)入社。
2000年 外資系ISPの技術部へ出向、IPアドレス管理やドメイン名管理業務に従事の後、同社iDCのバックボーン運用業務従事。
2002年 三井情報開発株式会社でiDC事業開始と共に出向解除。同社でASの管理・運用業務に従事。
2005年 同社のiDC事業部がMKIネットワーク・ソリューション株式会社として子会社化。これに伴い、MKIネットワーク・ソリューションズ株式会社へ出向、現在に至る。
2007年 JANOG運営委員として活動。
▼著者名 川村 聖一
2001年 日本電気株式会社入社。キャリア営業、法人顧客SEに従事。
2004年 同社ISP部門へ異動。ISPネットワーク設計・構築、新技術導入、ISMS取得に従事。
2006年 NECビッグローブ株式会社へ出向。法人向けアウトソースサービスのコンサルティング・設計・運用を担当。Internet Weekプログラム委員。
2007年 JANOG運営委員として活動。
▼著者名 山崎 佑司
1999年 ソニーシステムデザイン株式会社(現:ソニーグローバルソリューションズ株式会社)入社。ソニー本社をはじめとした、大規模エンタープライズネットワークの設計、構築、運用を担当。
2001年 ソニーグループのショールームや、ソニーグループが主催する各種イベントにおけるネットワークシステムの企画、設計、構築、運営を手掛ける。
2003年 ソニーグループiDCのネットワーク運用業務に従事。データセンターインフラの設計、構築等の業務を行う。
2006年 テオーリアコミュニケーションズ株式会社入社。システムインテグレーション全般を担当する。
2007年 JANOG運営委員として活動。
Copyright © ITmedia, Inc. All Rights Reserved.