ネットワーク構造の転換期? IPv6も「現実の問題」に
高橋 睦美
@IT編集部
2011/7/8
6月8日から10日にかけて開催された「Interop Tokyo 2011」では、IPv4アドレス在庫の枯渇を受け、IPv6移行を支援するさまざまな技術が一堂に会した。(編集部)
6月8日から10日にかけて、ネットワーク技術をテーマとした展示会「Interop Tokyo 2011」が幕張メッセで開催された。
100ギガビットイーサネットに代表される高速化もさることながら、ネットワーク構成をシンプル化する「ファブリック」や、ネットワークのプログラミングを可能にする「OpenFlow」といった技術が注目を浴びた。また今年は、IPv4アドレス在庫の枯渇を機に、IPv6への移行がいよいよ現実的な問題として浮上した。ちょうど展示会初日と同じ6月8日に行われた「World IPv6 Day」も相まって、IPv6関連ソリューションが目立った。
「大きなトラブルはなかった」、World IPv6 Day
6月8日の特別企画セッション「World IPv6 Dayのインパクトとネットの現状と未来」では、インターネット協会 主任研究員/ブロードバンドセキュリティの佐藤友治氏が司会を務め、速報ベースでWorld IPv6 Dayを振り返った。
「World IPv6 Dayのインパクトとネットの現状と未来」と題した特別企画セッション |
World IPv6 Dayは、コンテンツプロバイダらがWebサイトをIPv6に対応させ、どういった問題が起こるか、課題を洗い出すために企画されたイベントだ。Internet Society(ISOC)が呼び掛け、Google、Facebook、Yahoo!、Akamai Technologies、Limelight Networksといった企業が参加を表明し、実施されることになった。
【関連記事】 いよいよ「World IPv6 Day」がやってくる、直前まとめ情報(@ITNews) http://www.atmarkit.co.jp/news/201106/07/w6d.html IPv4中央在庫の配布終了は「通過点」、本当の枯渇に備えを(@ITNews) http://www.atmarkit.co.jp/news/201102/04/ipv4.html |
背景には、IPv4アドレス在庫の枯渇という事実がある。「2月1日にはIANAで、4月15日にはAPNICでIPv4アドレス在庫が枯渇した。一方で、クラウドなど抽象化Webサービスが広がっているほか、エンドユーザーやデバイスもIPアドレスを必要としている。どうしてもIPv4アドレスは足りない」(佐藤氏)。
日本におけるWorld IPv6 Dayの参加登録窓口として活動した廣海緑里氏(インテック 先端技術研究所)によると、日本の窓口を介してWorld IPv6 Dayに参加を申し込んだのは23組織(このほか、ISOCに直接参加を申し込んだ組織もあった)。ほかに、すでにIPv6対応済みのサイトが67ドメイン/60組織あったという。「学術機関や業界組織が多かったけれど、中には全国剣道連盟や歯科医院のようなユニークな参加者もあった。総務省も参加を表明し、そのプレスリリース自体をIPv6で公開した」(廣海氏)。
ISOC全体では初対応を表明したのは434サイトに上った。これに、すでにIPv6対応済みの767サイトを加えると、1000以上のサイトが参加したことになる。
「意外に大きなトラブルはなかった」と佐藤氏が述べたとおり、8日は特に大きな問題が発生することなく終わった。
IPv6トラフィックの割合は、Arbor Networksの調べでは全体の0.02%、Googleでは0.3%。それでも以前に比べると明らかに増加した。また、金沢大学総合メディア基盤センターの北口善明氏が、Alexaのランキングを加味して、トップ1万サイトにおけるIPv6対応数の推移を見たところ、IPv6対応サイトは開始前の70サイトから徐々に増加し、World IPv6 Day期間中には最大265サイトが対応。実験終了後も112サイトが対応を続けている。「今回のイベントを機に、恒常的にIPv6に対応したサイトも増えた。WebサイトをIPv6化するいいきっかけになった」(北口氏)。
一方で、DNS応答などの監視の結果、IPv4射影アドレスやループバックアドレスといった誤ったDNS設定が行われているサイトもあり、参加サイトのうち平均10サーバ程度は応答がなかったことも判明した。これは今後に生かしていきたいという。
「2000年問題と同じで、ちゃんと準備をして臨めば怖くない」(アラクサラネットワークス 新善文氏)。ただ、そこに至るまでには、技術的、事務的なさまざまな課題の共有と、その解決に向けた取り組みがあったのも事実。「一部のエンジニアに負荷が集中していたかもしれない。ノウハウを共有して、その知識が当たり前のものになるといい」(新氏)。
「今回明るみに出た課題に対応した後、年末ごろをめどにもう一度やる可能性がある」(廣海氏)という。並行して、製品やサービスも包含した、IPv6ビジネス全体の設計も課題になりそうだ。
IPv6ネットワークのセキュリティは? 運用は?
会場の一角で行われた「Special Feature」では、IPv6技術検証協議会 セキュリティ評価・検証部会部会長の衛藤将史氏(情報通信研究機構 ネットワークセキュリティ研究所 サイバーセキュリティ研究室 主任研究員)が、「IPv6のセキュリティ対策は万全? より安全なIPv6環境のための傾向と対策」をいうテーマで講演を行った。
IPv6のセキュリティをテーマとしたSpecial Featureは、立ち見の人が通路にあふれるほどの満員に |
IPv6技術検証協議会は、セキュリティ面からIPv6の技術的課題を検証することを目的に、2010年7月に設立された団体だ。実機を用いて、プロトコルやその実装に起因する29種類のシナリオを作成し、攻撃が成立するかどうかの検証作業を行ってきた。
例えば過去には、不正なジャンボペイロードオプションを指定したパケットを大量に送付し、DoS攻撃を行うシナリオや、RH0(Route Type 0)を指定したパケットによるDoS攻撃といった問題が指摘されてきた。しかし、こうしたセキュリティ問題が認識され、いまではより新しいRFCの中で、攻撃につながるパラメータの無効化が推奨されている。この結果、同協議会の検証では、攻撃は無事失敗に終わったそうだ。
だが逆に、「RFCにきちんと準拠して実装すると成立してしまう攻撃もある」(衛藤氏)。その例として、「送信元を詐称したマルチキャストパケットによる、パケットの増幅攻撃」や「詐称したRA(Router Advertisement)を送付することによる中間者攻撃」があり、残念ながら、検証の対象となった機器すべてで攻撃が成立してしまった。ある意味、プロトコルの根本的な問題といえるかもしれない。
またその中間として、一部の機器でのみ成立する攻撃シナリオもあったという。
前述のとおり、RFCの形で明示的に対策が取られた脆弱性もある。例えばRA詐称については、「前から指摘されている問題であり、SeND(RAルータ認証)やRA Guard(RFC6105)という形で対策も標準化されている」(衛藤氏)。一方で、DoS系の攻撃については、ルータでレートリミットをかけたり、特定のパケットを破棄するといった消極的な対処法にとどまらざるを得ないのが現状だ。
いずれにせよ「IPv4アドレスの枯渇により、IPv6への移行は避けられない。ぜひ、セキュリティ対策もきっちりと行ってほしい」(衛藤氏)。IPv6技術検証協議会では、6月以降、第2次フェイズの検証作業を実施し、その結果をフィードバックしていく計画という。
NTTコミュニケーションズのブースでは、「maiko」と「SAMURAI」の名で知られるネットワーク運用/可視化システムのデモンストレーションを行った。ネットワークを構成する機器がどのような形でつながっており、トラフィックはどこからどこへ、どの程度流れているかを「見える化」するツールだ。異常なトラフィックをリアルタイムに見極め、DDoS攻撃を検知することもできる。
maikoとSAMURAIは、IPv6にも対応している。デモ画面では、IPv4とIPv6のネットワークトポロジを切り替えて表示し、どちらにどのくらいのトラフィックが流れているかを把握できる様子を紹介した。「AS情報やルーティング情報とのマッピングも行っており、ルーティングテーブルもv4とv6、両方で見ることができる」(同社)。
SAMURAIを使って、World IPv6 Dayのトラフィックも監視していた |
「これからのネットワークオペレータには、トラブルが起こったら、それがIPv4とIPv6、どちらのネットワークで起こっているのか分かる能力が求められる」(NTTコミュニケーションズ)。
既存の資産を生かしながらIPv6移行を
一方Interop展示会場では、企業サーバやデータセンターのほか、自宅をはじめとするコンシューマ環境、それらを集約するサービスプロバイダやインターネットエクスチェンジサービスなど、さまざまな「ポイント」でのIPv6移行支援技術に触れることができた。
もちろん、会場のネットワークインフラであるShowNetでもIPv6をフルサポート。今回は、複数のIPv6移行技術を体感できる「IPv6移行技術体験コーナー」を設置し、来場者が自分の機器を接続し、CGN(Carrier Grade NAT)やDS-Lite(Dual Stuck Lite)、6rd(IPv6 Rapid Deployment)といったさまざまな技術を試せるようにした。
さまざまな移行技術をShowNetを使って体験できる「IPv6移行技術体験コーナー」 |
富士通は、独自技術「SA46T」(Stateless Automatic IPv4 over IPv6 Tunneling)を実装した、企業向けの小型アプライアンス「ActiveAssist SA46T(仮称)」を参考出展の形で紹介した。
SA46Tを実装したアプライアンス「ActiveAssist SA46T(仮称)」 |
SA46Tは、IPv6ネットワークを介してIPv4通信を可能にするトンネル技術の1つだ。今後、IPv4とのデュアルスタックではなく、IPv6のみの環境も増えてくると予想される。近い将来、企業のコアネットワークがIPv6化した場合でも、既存のIPv4機器を生かして通信できるようにする技術で、数億ものIPv4ネットワークをスタックできること、IPv4プライベートアドレスのスタックも可能なことなどが特徴だ。現在、IETFで標準化に向けた提案を行っている。
ActiveAssist SA46T(仮称)は、SA46Tを実装したアプライアンスで、2つあるポートを使って、既存のレイヤ2スイッチに接続するだけで導入できる。ネットワーク構成を変える必要がなく、「シンプルに、手軽に導入できることが特徴。副作用はほとんどなしに、IPv4とIPv6ネットワークの仲立ちができる」(同社)。会場で紹介されたのはモックアップで、12月末を目標に製品化し、20万円前後の価格で発売したいとしている。
A10ネットワークスは、「AXシリーズ」で実装している、通信事業者/インターネットサービスプロバイダ向けのCGN、ケーブルテレビ事業者などでの利用が見込まれるDS-Lite、NAT64/DNS64といった複数のIPv6移行方法を紹介した。中でも、コンテンツプロバイダやデータセンターに適している手法が、64SLB(IPv6-IPv4 Server Load Balancer)だ。名前のとおり、IPv6でやってきた接続をサーバの手前でIPv4に変換し、負荷分散も行う。既存のサーバはそのまま運用でき、慌ててIPv6に対応させる必要はない。
A10ネットワークスは「AX-3000」に実装している64SLBをはじめ、さまざまな移行技術を紹介 |
「グローバル展開する企業では、今後、海外拠点や工場のネットワークが先にIPv6対応する可能性がある。そうなると、IPv6クライアントをどのようにIPv4サーバに接続させるかについて考える必要が生じてくる」(A10ネットワークス)。64SLBによって、IPv6ネットワークのクライアントが、IPv4クライアントと同じように既存の資産やコンテンツにアクセスできる環境を整えたいとしている。同社は64SLB以外にも、上述のさまざまなIPv6/IPv4の移行/共存機能を、単一機器に実装していることを大きな特色としている。
セイコープレシジョンは、IPv4/IPv6トランスレータの新製品「TX-3740(仮称)」を紹介した。同社はこれまで、NAT-PTに対応したトランスレータ「SX-3640 IPTransrator」を提供してきた。TX-3740(仮称)は、NAT-PTに加え、その後継プロトコルである「NAT64」プロトコルもサポートする。これも、いま動いているIPv4サーバはそのままに、今後増えてくるであろうIPv6クライアントからの接続を確保する手段として提供する。
IP Infusionは、IPv6ネットワークを介してIPv4接続を可能にするトンネリング技術「4rd」を用いたソリューションを紹介した。今後増えていくであろうIPv6オンリーのネットワーク上で、残り少ないグローバルIPv4接続を可能にする。複数のユーザーで同一のIPv4アドレスを共有できること、IPv6/IPv4アドレスのマッピングをステートレスに行えるため、簡単に導入でき、負荷分散や冗長化が容易なことなどがメリットだ。3Gモバイルサービス向けのプロトコル変換も提供可能という。
【コラム】 ベスト・インパクト賞? 防滴仕様のL2スイッチ Interopの展示会の中でも、最も見る人にインパクトを与えた展示の1つが、アラクサラネットワークスのブースではないだろうか。同社は、レイヤ2スイッチ「AX1250S-24T2C」を防滴仕様にした「AX1250S-24T2C plus」を水槽の中に入れ、実際に上から水をぽたぽたと垂らすというデモンストレーションを行った。
AX1250Sはもともと、過酷な環境でも動作するように設計された耐環境型のスイッチだ。故障の原因となりがちな可動部品を廃したファンレス設計で、防塵性、耐熱性に優れている。動作温度はマイナス10度からプラス50度までで、工場や道路/線路脇など、オフィスよりも格段に過酷な環境でも動作し続けるよう設計されている。 参考展示されたAX1250S-24T2C plusは、これをベースに、さらに防滴機能を追加したモデルだ。天板の形をひさし状にして水が中に入ってこないようにしたほか、基盤の材料やコーティングにも工夫を凝らしている。寒暖の差が激しかったり、湿度が高くて結露してしまうような環境でも耐えられる防滴性を実現した(なお「防水」ではない)。同社では、まだイーサネット/IPが届いていないところのIP化に使ってほしいとしている。 |
1/2 |
Index | |
改めて振り返るInterop Tokyo 2011 ネットワーク構造の転換期? IPv6も「現実の問題」に |
|
Page1 「大きなトラブルはなかった」、World IPv6 Day IPv6ネットワークのセキュリティは? 運用は? 既存の資産を生かしながらIPv6移行を 【コラム】 ベスト・インパクト賞? 防滴仕様のL2スイッチ |
|
Page2 家庭でも離陸始まるIPv6接続サービス ネットワークアーキテクチャが迎える転換期 OpenFlowでネットワークをフラットに 【コラム】 「フラットなネットワークの実現を」とジュニパー |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig 〜(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
|
|