企業ネットワークへのIPv6導入の是非

2012/6/15 一般社団法人テレコムサービス協会 NEC プラットフォームマーケティング戦略本部今井恵一

IPv4 アドレス枯渇対応タスクフォース 2008 年 9 月 5 日に総務省とインターネット / 通信関連 13 団体が設立代表 : 江崎浩 IPv6 普及高度化推進協議会専務理事 / 東京大学 IPv4アドレス枯渇の危機を共有しインターネットの IPv6への円滑な移行を目指して関連団体が設立各分野ごとのWGによる検討活動と月に1 回程度の全体会合による情報交換成果の共有を行っています検討活動の成果は TFのWebサイトやイベント等の機会を利用して公開しています http://kokatsu.jp/ 2012 年 6 月時点で 22 団体が参加総務省 ( 総合通信基盤局電気通信事業部データ通信課 ) ICT 教育推進協議会 (ICTEPC) IPv6 普及高度化推進協議会 (v6pc) ( 財 ) インターネット協会 (IAjapan) ( 一社 ) 情報通信ネットワーク産業協会 (CIAJ) ( 一財 ) 全国地域情報化推進協会 (APPLIC) ( 財 ) 地方自治情報センター (LASDEC) ( 一社 ) テレコムサービス協会 (TELESA) ( 社 ) 電気通信事業者協会 (TCA) ( 財 ) 電気通信端末機器審査協会 (JATE) ( 社 ) 日本インターネットプロバイダー協会 (JAIPA) ( 社 ) 日本ケーブルテレビ連盟 (JCTA) ( 一社 ) 日本ケーブルラボ (JLabs) 日本データセンター協会 (JDCC) ( 一財 ) 日本データ通信協会 (JADAC) ( 社 ) 日本ネットワークインフォメーションセンター (JPNIC) 日本ネットワークオペレーターズグループ (JANOG) 日本ネットワークセキュリティ協会 (JNSA) 日本 UNIX ユーザ会 (jus) ( 株 ) 日本レジストリサービス (JPRS) ( 財 ) ハイパーネットワーク社会研究所 WIDE プロジェクト (WIDE) 2

枯渇タスクフォースが提供する IPv6 検証環境擬似的なIPv6インターネット接続環境を提供ネットワークアプリケーション機器等のIPv6およびデュアルスタック対応等の検証無償で利用可能期間 :2013 年 3 月末まで ( 予定 ) 現在申し込み受付中詳細は下記参照 http://kokatsu.jp/ また数多くの IPv6 対応セミナーも 7 月から順次開催予定ですブースのチラシをご確認ください運営 : 社団法人日本ネットワークインフォメーションセンター協力 : IPv4 アドレス枯渇対応タスクフォース IPv6 普及高度化推進協議会独立行政法人情報通信研究機構 3

IPv4 アドレスの在庫枯渇から既に 1 年経過!! IANA プールに続いてアジア太平洋地域の在庫も枯渇 RIPE NCC IANA 欧州 APNIC ARIN アジア太平洋北米 AfriNIC アフリカ CNNIC KRNIC JPNIC LACNIC ISP IANA: Internet Assigned Numbers Authority ARIN: American Registry for Internet Numbers RIPE NCC: Resource IP Europeans Network Coordination Centre LACNIC: Latin American and Caribbean Internet Address Registry AfriNIC: African Network Information Centre データセンターユーザ中南米 APNIC: Asia Pacific Network Information Center JPNIC: Japan KRNIC: Korea CNNIC: China 4

ISP が持つ IPv4 アドレスの在庫はいつまで持つ? ISP はどのくらい在庫を持っている? これまでは半年 ~1 年分の需要に基づき申請 2011 年 5 月の1 年後にはISPの在庫も枯渇する?? 枯渇直前には 800 万個 400 万個のIPv4アドレスを取得した国内のISPあり IANA APNIC JPNIC ISP 日本国内よりアジア地域が問題? インターネットユーザが爆発的に増えている中国やインドなどのアジア地域の方が問題は深刻!! 2012 年には在庫が枯渇するISPも出てくるだろうユーザ 5

IPv4 アドレスが枯渇すると ISP は ISP は IPv6/IPv4 デュアルのサービスへ移行在庫枯渇後は IPv6 アドレス +IPv4 プライベートアドレスを割り当てるサーバどうしても IPv4 のみのサーバが残るサーバ多くのサーバは IPv6 /IPv4 デュアルへサーバ CGN NAT NAT NAT NAT CGN: Carrier Grade NAT(Network Address Translator) 6

しかし制約がある CGN 経由のアクセス以下のような制約あり IPv4 アドレスを共有するユーザ間で同時接続セッション数に制限サーバ側では IP アドレスだけでは通信相手を識別できないサーバサーバ通信ログに IP アドレス + ポート番号を格納する必要あり CGN NAT NAT NAT CGN: Carrier Grade NAT(Network Address Translator) 7

IPv4 アドレスが枯渇するとデータセンターは IPv6 対応は必須だが IPv4 アドレスの確保も必要コンシューマにIPv6でアクセスするユーザが現れ IPv6 対応は必須 IPv4だけのユーザも残るため新規のサーバにIPv4アドレスを配布できないデータセンター事業者は淘汰されるデータセンターサーバサーバサーバ 8

IPv4 アドレスが枯渇すると企業網は企業の公開サーバと DMZ の IPv6 対応は必要コンシューマを中心にインターネットから IPv6 でアクセスするユーザが出現コンシューマ企業網 DMZ インターネット SW FW LB 公開サーバ群 NGN LTE イントラネット DMZ: DeMilitarized Zone SW: L2/L3 Switch 企業拠点拠点 FW: Firewall LB: Load Balancer 拠点拠点 9

公開サーバおよび DMZ の IPv6 対応の実現方式 [ 方式 1] すべての機器を IPv6/IPv4 デュアル化 SW FW LB 公開サーバ群 [ 方式 2] ロードバランサーで IPv6/IPv4 変換 SW FW LB 変換公開サーバ群最もシンプルな構成であり究極的にはこの方式にすべき新規のサーバであればよいが稼働中のサーバを IPv6/IPv4 デュアル化するのはリスクも伴う公開サーバは IPv4 のままでよいサーバ上の APL で通信相手を IP アドレスで識別している場合は APL の改造が必要となる LB の変換機能に不具合があった場合 IPv4 のトラヒックに影響を与える恐れがある [ 方式 3] リバースプロキシを導入変換 SW FW LB Reverse Proxy 公開サーバ群公開サーバは IPv4 のままでよいサーバ上の APL で通信相手を IP アドレスで識別している場合は APL の改造が必要となる Reverse Proxy に不具合が生じても IPv4 のトラヒックには影響を与えない IPv6 のトラヒックが増えると Reverse Proxy も増設が必要になる究極的には [ 方式 1] にすべきだが単純な Web サーバ ( 通信相手の IP アドレスを管理しない ) であれば簡易的な [ 方式 2] または [ 方式 3] でも実現可能 10

イントラは本当に IPv4 のままでいいのか? 現状では本来 IPv6 導入によるメリットとしては M&Aなどによるネットワークの統合時にプライベートアドレスの競合を避けるイントラ内で自由にIPマルチキャストによる放送映像配信が可能イントラ内で自由に (TV 会議などの )PtoP 通信が可能 11

World IPv6 Launch の影響 http://www.worldipv6launch.org/ 2012 年 6 月 6 日に実施された世界的なイベントでこの日以降 Google 等のコンテンツ事業者は Webサーバを恒久的にIPv6 対応させることを宣言 3つのカテゴリーに対して以下のような企業が参加を表明 -Website Operators: -Network Operators: -Home Router Vendors: Google Facebook Yahoo! Akamai 等 KDDI AT&T Comcast Time Warner Cable 等 Cisco D-Link NEC-AT YAMAHA 等去年のWorld IPv6 Dayとの違い去年は24 時間限定今年はこの日以降恒久的去年はWebサイトのみ参加に3つのカテゴリー 12

新聞 TV 等での報道 4 月 12 日の日本経済新聞 4 月 17 日の NHK ニュース http://www3.nhk.or.jp/news/html/20120417/ k10014495531000.html IPv4 アドレス枯渇対応タスクフォースからも同様の広報文が公開 (2012/4/16) http://www.kokatsu.jp/blog/ipv4/news/2012/04/worldipv6-launchipv6.html 6 月 6 日の NHK ニュース http://www3.nhk.or.jp/news/html/20120606/ k10015633411000.html 13

IPv6-IPv4 フォールバックと暫定回避策フォールバック問題 NTT 東西の B フレッツ /NGN 網では IPv6 を使用するがクローズド網であることが原因宛先がIPv6の場合まずNGN 内のサーバに向かい NGとなった後 IPv4でやり直すこの間 1 秒 ~ 数秒程度の遅延が発生する暫定回避策 :AAAA フィルタ本来 IPv6サービスを提供するべきだが宛先を強制的にIPv4のみとすることでフォールバックが起こらず遅延も発生しない 2011 年には一律導入が可能であったが現在は非 IPv6 ユーザに限定する必要あり!! 各 ISP ISP 内の DNS で AAAA レコードをフィルターする外部の外部のDNS DNSからからIPv6 IPv6アドレス (AAAA (AAAAレコード ) が通知されて ) もそれを削除し IPv4 IPv4アドレス (A (Aレコード ) だけを通知する ) 1 宛先が IPv6 の場合すべて NGN 内へルーチングされる 2TCP RST パケットを返し接続 NG とするフレッツスクエアなど A レコード B フレッツ /NGN DNS AAAAレコード Aレコード ISP DNS Web(IPv6/IPv4) BB ルータ 3IPv4 でリトライして接続 World IPv6 Launch 以降の各 ISP の対応は下記 URL で紹介されている http://www.jaipa.or.jp/ipv6launch/index.html#no_4 14

Google が実施する回避策 (World IPv6 Launch 以降 ) フォールバックを起こす ISP には IPv6 アドレスを通知しないアクセス元ごとに性能を計測し DNS に対する回答後に遅延を示す ISP( 正確には AS) には Google が運用する DNS から A レコードのみを回答する A レコード (IPv4 アドレス ) のみを回答 ISP DNS Web(IPv6/IPv4) ISP www.google.com www.youtube.com など ISP AAAA レコードと A レコードの両方 (IPv6/IPv4 両方のアドレス ) を回答 15

フォールバックによる遅延の回避策の整理 IPv6 接続サービスを提供するか AAAA フィルターで IPv6 をブロック既に IPv6 接続サービスを展開中多くの事業者が IPv6 対応を準備中 2012 年中にも正式サービスを開始 2012 年 5 月より NGN の新設回線ついては改善されている IPv6 IPoE 接続ネイティブ方式 IPv6 PPPoE 接続トンネル方式実質的に追加料金なしでIPv6サービスの提供可能であるがユーザの申請が必要で手続きがめんどくさいユーザ宅に設置するアダプタのコストが問題現状では IPv6 接続サービスが提供されておらず AAAA フィルターを導入の方向か? 16

では企業ネットワークはどうすればいい? イントラネットの IPv6 対応前述の通り (IPv6 のメリットが上回ると判断すれば対応 ) 公開サーバ DMZ の IPv6 対応 IPv6 対応のリスクありフォールバック問題で遅延するユーザあり IPv4のままで不利益なし IPv6が有利になるサービスはほとんどない NTT 東西と ISP などの努力によりフォールバック問題が解決? インターネットに IPv6 が広がり普通に IPv6 が使われる 17

最後に個人的な注目ポイントとして LTE のスマートフォンは IPv6? ドコモのXi( クロッシィ ) は mopera UはIPv6だが SPモードはIPv4プライベート! IPv4のプライベートアドレス空間って2,000 万個しかないよ! デザリング用のWiFiルータを使うと二重 NAT? SPモードはいつIPv6に対応する? KDDI(au) やソフトバンクのLTEスマホはIPv6? NTT 東西の B フレッツはいつ NGN に統合される? いずれ電話網をNGNに移行することは必須 (2020 年 ~2025 年 ) だがそれより前 2013 年ごろにはBフレッツのNGN 統合が始まるか? 日本のコンテンツプロバイダはいつ IPv6 に対応する? Google Facebookなどは既にIPv6に対応した! 日本ではフォールバック問題解決の目処がつく頃?? 18