既存ネットワーク環境をIPv6対応にするポイントIPv6導入指南(後編)

» 2002年02月13日 00時00分 公開
[大浦哲生日立製作所]

特集の前編では、IPv6移行のメリットとその際に重要となる移行技術について紹介してきた。今回は、それら技術を用いて、実際に既存の環境からいかにIPv6へと移行していくか、ケース別テクニックを解説する。IPv6の技術は日々進化を続けており、流動的だ。最新情報に気を配りつつ、現状において、あなたのネットワーク環境にベストだと思われる解を見付け出してほしい。

                                      (編集局)


 前編では、IPv6導入のメリット、技術について説明してきた。今回は、まずIPv6のサポート状況について触れ、企業での導入方法を考えてみる。前編の冒頭で「企業がIPv6を導入するための製品や技術がそろっていない」と説明したが、現状でIPv6サポートが行われている製品として、どのようなものが挙げられるのだろうか?

ネットワーク関連製品のIPv6サポート状況は?

 筆者自身もすべてを把握できていないが、jp.ipv6.orgのホームページにいくつかのサポート状況がまとめられている。ここに出ている情報は、すべてを網羅しているわけではない。また最新情報に更新されていないものもあるかもしれないので、実際に導入を検討するときには、サポート元の最新情報を確認した方がよいことを最初に断っておく。

 さて、この情報を参考に最新状況を少し説明してみる。まずOSであるが、Windows XPがIPv6対応済みであることは、皆さんもご存じであろう。もちろん、日本発の世界標準コードであるKAMEを取り込んだBSD系のUNIXも忘れてはならない。ただし、KAMEコードは、いまでも日々進化している。従って、最新の機能を使いたいときには、KAMEのホームページから最新コードをダウンロードする必要がある。

 次にアプリケーションであるが、jp.ipv6.orgのホームページにあるように、Webブラウザ/サーバやメール関連といった、今日、企業で使われているアプリケーションのIPv6対応版はすでに存在している。もちろんInternet ExplorerもIPv6に対応している。上記ページには記載されていないが、Windows用のIPv6対応メーラとしては、オレンジソフトのWinbiffがある。ネットワーク管理ソフトでは、日立製作所のJP1/cm2が一例である。JP1/cm2は、通信自体はIPv4で行うが、IPv6 MIBを取り扱うことによりIPv6機器の管理が可能になっている。

 最後にネットワーク機器だが、ルータを中心にしてかなりの製品がそろっている。これは、日本のベンダが率先してIPv6の製品化に注力してきた結果である。その中でIPv4-IPv6のトランスレータとしては、横河電機のTTBなどが挙げられる。

なぜIPv6対応のファイアウォールがないのか?

 ファイアウォール製品は、ほとんどが海外メーカー製である。日本が牽引してきたほかのIPv6対応製品に比べると、サポートが遅れているのは事実だ。しかし、それは現時点での状況で、ファイアウォールのメーカーもこれからIPv6への対応をしてくるだろう。また、IPv6ソリューション(特に企業向け)としてもIPv6対応のファイアウォールは必要なので、国内メーカが対応してくることも期待できるのではないかと思う。


セキュリティ・レベルに応じた企業へのIPv6導入方法

 企業でインターネットへの接続を行う場合に、まず考えなければならないことは、セキュリティ・レベルである。IPv4を使った現在のインターネット接続環境はすでに導入されていると思われるので、それぞれ企業やサイトにおけるセキュリティ・レベルは決まっているはずだ。

 企業におけるセキュリティ・レベルは、IPv6とIPv4で、基本的に同じだと考えていいと思う。現時点でまず試験的な導入を考える範囲では、IPv4のノウハウはそのまま生かせるはずだ。ただし、IPv6用のファイアウォールがないので、場合によっては、セキュリティ・レベルと運用のバランスを考える必要は出てくるだろう。もちろん、IPv6固有のアプリケーションが出てきてそれを利用する場合は、対応方法も変わってくると思う。それでは、セキュリティ・レベルとIPv6の導入レベルをパラメータに、導入方法を考えてみよう。

パケット・フィルタを運用しているサイト

 ファイアウォール製品は用いずに、パケット・フィルタで運用しているサイトの場合は、比較的IPv6の導入がしやすい。なぜならば、IPv6をサポートしているルータは数多くあるし、パケット・フィルタ機能はルータの基本機能として実装されているからだ。さらに最新のルータの中には、パケット・フィルタもハードウェアで実装し、高速処理を実現しているものもある。従来までこうしたルータはキャリア向けの大型のものが多かったが、最近では小型モデルも登場してきている。従って、IPv6に対応したルータと端末をそろえることによって、IPv6の導入ができる。このようなサイトでは、現状のIPv4でのセキュリティ・レベルをIPv6でも保てると考えて良いだろう。

ファイアウォールを運用しているサイト

 IPv6のファイアウォールがないことは、何度も述べた。従って、このようなサイトで現在のセキュリティ・レベルを保ちながらIPv6を運用するのは難しい。そこでまず、IPv6をイントラネットに導入する場合を考えてみよう。一番簡単な導入方法は、前編で「プロキシ型」と分類したサーバを利用する方法である(図1)。

図1 デュアル・スタックに対応したサーバをプロキシとして動作させることで、既存のセキュリティ・ポリシーを維持したまま、IPv6クライアントをネットワーク上に配置できる 図1 デュアル・スタックに対応したサーバをプロキシとして動作させることで、既存のセキュリティ・ポリシーを維持したまま、IPv6クライアントをネットワーク上に配置できる

 図1は、一般に企業で用いられていることが多い構成である。いまさら筆者が説明する内容ではないが、一応話をしておこう。インターネットとの外部接続にはファイアウォールを用い、DMZ(DeMilitarized Zone)に外部サーバを置く。インターネットからは、外部サーバにしかアクセスを許可しない。外部サーバでは、アプリケーション・レベルでセキュリティの監視を行う。このようにして内部ネットワークを外部から守る。さらに、外部サーバで安全が確認されたデータのみが、ファイアウォールを介して内部ネットワーク上にある内部サーバに送られる。ファイアウォールは、内部サーバとDMZ上の外部サーバのアクセスしか認めない。

 お気付きだろうが、ここまではすべてIPv4による通信である。すなわち、現状と同じポリシーでセキュリティが確保されている。ここでのポイントは内部サーバだ。内部サーバをデュアル・スタック*1にするのである。内部サーバは、IPv4とIPv6の両方をサポートしているアプリケーションを動かす必要がある。すでに述べたように、このようなアプリケーションはいくつか存在するので、実際に導入や運用が可能である。内部サーバでは、アプリケーション・レイヤで中継が行われるので、IPレイヤを意識する必要はない。従って、従来のIPv4ネットワークからIPv4ネットワークへの中継と同様に、IPv6ネットワークとIPv4ネットワークの間の中継が可能になるのである。また図では、ファイアウォール側はIPv4、クライアント側はIPv6となっているが、クライアント側にIPv4の端末がある場合は、IPv6だけでなくIPv4も使うことになる。

*1IPv4とIPv6の2つのプロトコルを動かすという意味での「デュアル・スタック」のこと。本編で「プロキシ型」と定義しているのは、IPv4とIPv6をアプリケーション・レベルで変換/中継することなので、IPv4とIPv6のデュアル・スタックであることが前提になる

 この構成での必要条件は、内部サーバで使用するアプリケーションがIPv4とIPv6に対応していることである。特徴としては、既存のネットワーク構成を変更する必要がなく、装置のデュアル・スタック化によって対応できる点である。

 それでは、前編で述べた、ほかのトランスレーション方式を使う場合を考える(図2)。ここで説明する範囲では、「NAT-PT型」と「TRT型」で大きな違いがないのでまとめて説明する(ちなみに前述の「TTB」は「TRT型」である)。これらの方式を利用する場合には、図1とは違い、既存設備のほかに、専用のトランスレータを配置することになる。逆にいえば、専用のトランスレータ以外はIPv6を意識しないで済むのである*2。一部のネットワークだけでIPv6を使いたい場合などは最適だろう。しかしながら、この方式でもすべてのアプリケーションが使えるわけではない。アプリケーションによっては、IPアドレスを意識した作りになっているからだ。このような場合、トランスレータ装置がそこまで意識して作られていれば問題ないが、すべてのアプリケーションに対応するのは難しい。例えば、FTPではIPアドレスを意識する場合があるが、多くのトランスレータでは問題なくFTPを取り扱えるようだ。

図2 デュアル・スタックに対応したプロキシ・サーバではなく、トランスレータによりIPv4とIPv6のアドレス変換を行わせているのが図1との違いだ 図2 デュアル・スタックに対応したプロキシ・サーバではなく、トランスレータによりIPv4とIPv6のアドレス変換を行わせているのが図1との違いだ

 ここまでの例は、内部ネットワーク上のIPv6クライアントを使いながら、従来どおりのIPv4インターネットを利用するケースである。もちろん、内部のIPv6端末同士で通信することは可能である。

*2もちろん、クライアントとDNSをIPv6に対応させることは必要

IPv6接続サービスを利用する

 さて、さらに一歩進んで、本格的にIPv6接続サービスを利用するケースを考える。IPv6サービスは多くのISPが提供しており、その一部はすでに商用サービスである。現在ISPが提供しているサービスには、IPv6のパケットをIPv4ネットワークの中に通すという「トンネル・サービス」が多いが、IPv6の接続環境を直接提供する「ネイティブ・サービス」もいくつかある。

IPv6接続サービスとファイアウォール利用を両立させる

 このサービスを取り込む場合のネットワーク構成例を図3に示す。外部接続には、IPv6を直接収容するためのルータ、または「IPv6 over IPv4トンネル」を終端するルータが必要となる。DMZには、IPv6対応のサーバを置く。前述のルータとIPv6対応サーバとは、IPv6のネットワークで接続する。DMZの入り口の部分にファイアウォールがないので、セキュリティ的に問題のようにも思えるが、ルータにもフィルタ機能があり、ある程度の運用はできるのではないかと考える。フィルタがハードウェア化されている分、既存のファイアウォールよりも高性能になるというメリットもある。

図3 ISPが提供するIPv6接続サービスを利用した場合のネットワーク構成例。ファイアウォールを利用するため、デュアル・スタックに対応した外部サーバと内部サーバの間をIPv4で通信させている 図3 ISPが提供するIPv6接続サービスを利用した場合のネットワーク構成例。ファイアウォールを利用するため、デュアル・スタックに対応した外部サーバと内部サーバの間をIPv4で通信させている

 さて図3では、外部サーバと内部サーバをデュアル・スタック(すなわち、プロキシ型)にして、その間をIPv4ネットワークで接続してファイアウォールを通過させている。これは、既存の構成をできるだけ利用することと、ファイアウォールの力を借りるということの両方の効果を狙っている。しかしながら、これは企業によって事情が違うと思うので、運用ポリシーによっていろいろ構成が考えられるだろう。

 図3のケースでは、当然ながらIPv6サービスを直接利用することができる。前述のjp.ipv6.orgのホームページには、IPv6でアクセスできるサーバの一覧がリスト・アップされている。これらサイトにアクセスするのもいいが、ぜひ皆さんの手で自身のサイトもリストの中に加えられるようにしてみてはいかがだろうか?

IPv6の身近な利用例

 企業内で使うのに好適な製品が実はある。それは、インターネットノードのHotNodeである。Netwrold+Interop 2001 Tokyoでも紹介されていたのでご存じの方もいると思うが、ネットワーク経由での監視が可能な温度センサーである。企業内で、温度センサーはいろいろ使い道があると思う。

 このHotNodeの特徴として、IPv6に対応していることが挙げられる。皆さんの社内でIPv6対応のHotNodeを導入し、温度センサーを活用してみてはどうだろう?



 さて、2回にわたって、企業におけるIPv6の導入方法についてお話をしてきた。まだすべての条件はそろっていないが、現状で企業への導入が運用次第で可能なことをご理解いただけたかと思う。IPv6のプラグ&プレイ機能や十分なIPアドレス空間は、ネットワーク構成の変更に多大な時間と費用を費やしている企業ネットワークを変えるだろう。問題点は、まだ出てくるかもしれない。しかし前編の冒頭でも述べたが、より良い企業ネットワークを実現するためには、皆さま、管理者の方々のフィードバックが大事である。ぜひ、IPv6の導入に取り組んでいただけたらと思う。その結果が間違いなく企業ネットワークの発展につながるはずである。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。