IPv6 の問題点 パート３

前回に引き続き、もう少しネットワークインフラ全体を考えてみました。

NAT の欠点は、NHK の番組での指摘した部分がありますが、では長所は何でしょうか？

私は、企業や各営業所単位で、端末の台数を公に公開しなくてすむ点だと思っています。

IPｖ６ は、すべてグローバルIPアドレスですから、当然端末台数は外部にアクセスするか、アクセスをせずとも、大まかに判断がつきやすいシステムになります。
どの端末が不正アクセスしやすいかなどです。


別の視点から、プロトコル別の大まかな基準として

IPｖ４ 通信においては、セキュリティ （ この場合は、発信者側 ） を高める手段を講じて運用していると考えています、逆に、IPｖ６ 通信はサーバー側のセキュリティ管理を行いやすくしていると思います。

一般的なインターネット利用者は、パケットの発信側で、企業や情報発信を行いたい人々が、受信者側だと思っています。

そこから導かれる答えは、個人利用者がサーバー側のためにIPv6を導入するための追加費用を出す考えになるか？
また、パート１で指摘したトンネリングによるIPｖ６の持つ本来のセキュリティ部分とルーティング情報伝達の正確性がスポイルされた不完全なサービスが発展するのでしょうか？

私なりの現段階でのIPｖ６導入方法にたいする考えを次回書き込んでみようと思います。


追記
前回の NAT 変換での現状問題の解決策として、プロキシーサーバーを用いてIPｖ４端末のセキュリティを高める方法もかなり導入されていると推察しています。

IPｖ６の問題点 パート２

前回、日本におけるIPv6 展開の問題点を取り上げましたが、
もう少し具体的になぜ展開が遅れているか説明したいと思います。

なぜか、催促されたようなのですがハッキリしませんが

さて、
実はIPv6へ移行しなければならない原因の一つとして、NATシステムの限界をNHK番組のホワイトボックスで指摘していましたが、それはネットワークシステムの構成をしっかり作成して構築すればさほど問題ではありません。

現在今NATを使用してすべて実運用している訳ですから。

ただし、たしかに1台のルーターで約２５０台近いPCが一斉に外部へ送信を開始したら、ルーターのメモリー容量とCPUの処理能力によっては、パケット処理が追いつかず、通信が途絶えてしまう可能性はあります。

ではどのような構成になっているのでしょうか？

仮の簡単なネットワーク構成図を下記に示します。

この構成はあくまで仮ですので、これが普通一般的と断定しないでください。




結論を先に述べます。
この会社のNATシステムの負荷は、１セグメント内の約４台 各部署ごとのルーターの数に負荷分散できます。

ネットワークシステムのIPv4ヘッダを示します。

バージョン	ヘッダ長	T O S	トータルパケット長
識 別 子			フラグ	フラグメントオフセット
T T L		プロトコル	ヘッダチェックサム
３２Bit　始点　IP　アドレス
３２Bit　終点　IP　アドレス
オ プ シ ョ ン
デ ー タ

NAT を簡単に説明すれば以下のようになります。

ルーターは、IPｖ４ヘッダの送信元（ 始点IPアドレス ）を自分の外向きアドレスに書き換えます。

ルーティングをわかり易く説明しますと、

仮に営業一部のPCが外部へアクセスしようとすると、当然自分のIPアドレスを振り分けたルーターへパケットを送信します。

次にパケットを受け取ったルーターは、このパケットのあて先が内部宛でないと判断すると外部ルーターへパケットを送信します。

IPｖ４パケットのヘッダサイズは規定されたサイズです、遥か遠くまでパケットを送信するのに、全ての通信アドレスを書き込んでインターネット回線を流れる訳ではありません。

（ 指定して送信する方式が無い訳ではありませんが、外部インターネットでは通常用いられません ）

最後に、あえてNAT プラス NAT のシステムで構成しましたが、大企業では図で示した LAN - Seg1 は、グローバルアドレスで対応することが多いです。

グローバルアドレスにかかる費用を節約するためにNATを多用するシステムエンジニアもいるのでしょうが、

一般的に　中小企業で　１から８（６）のグローバルアドレスを。

中規模で、８から１６（１４）のグローバルアドレスを

大規模で　１６から３２（３０）以上のグローバルアドレスを用いていると思います。

どちらにしても、企業のネットワークシステムは、どの位の通信量があって、さらにマージンを計算にいれて、設計されるものです。

どの機器をもちいるかのハード面からどのソフトを使用して運用するか全てを計算して構成を組みますから、NATを大規模の１セグメントで用いる方法は一般的に採らないはずです。

IPv6 の問題点

なぜ、IPｖ６が広がりを見せないのか？

相変わらず、NHKの番組 【 ホワイトボックス 】ではそのものずばりは、ご法度なのか、戦略的経営に差しさわりがあるのか、釈然としません。

それとも男性司会者などのスタッフに問題が？？

とにかく、IPアドレスが不足するので、IPｖ６を使いましょうと、あいまい且つ無責任なので私がいくつかのポイントを定義したいと思います。

まず、IPｖ６はIPアドレスの不足する事態を見越して早くから検討されてきた経緯はあります。

そして、新しい設計の元でIPv４で問題となっているセキュリティ対策を含めて登場しました。

しかし、プロバイダーの運営方針の問題によってIPv６化が進まないのです。

現在、OCNのIPv６でも、その問題は顕著です。

OCNは、IPv６通信を仮想通信という単語を使用して説明していますが、

実際は、カプセル化通信のはずです。

問題点

1. IPv６システムは、すべてのネットワーク・インターフェースがグローバルアドレスでインターネット接続します。

　　　その結果、家庭内の他のPC・事務所内のPCなどが、すべてIPv６化していないと

　　　相互通信できません。

　　　（デュアルスタック方式は別）

　　　OCNの場合、flets通信ともシステムがぶつかるため使い勝手が非常に悪いです。

　　　IPv４の購入またはレンタル・ルーターは、何の意味のない素どうりだけで、

　　　WAN側のIPv４アドレスの自動割り当てだけの代物となります。

　　　当然フィルター機能などはIPv６に対応していないはずです。

　　　１契約で２台までのサブネットIPv６割り当てのサービスを展開しているようですが、

　 　　　　（ /64 ）

　　　現段階では、2台のPCまでがIPv６の割り当て範囲のため、

　　　相互通信をおこなう利用では、Flets系は、通信できないでしょう。

　２． OCN内で、IPv６システムのDNS（名前解決）サーバーが設置されていません。

　　　　依然としてセキュリティが低いIPv４のままです。

　３． IPv６通信をIPv４でカプセル化する仕組みは、一番簡単で、とりあえずインターネット

　　　通信が可能となり、IPv４アドレスが枯渇しても、通信が出来なくなることはありま

　　　せん。

　　　しかし、IPv６が元々備えてあるセキュリティの仕組みは、インターネット上で

　　　ほとんど使えません。カプセル化することで、意味がなくなるのです。

IPSec による暗号化通信

（これを行われると困る組織があるのでしょう、企業にとっては自社の情報を守るべきですよね）

カプセル化のしくみ

  元々のIPv6パケット

                              

　IPv4のカプセル化

　

　このカプセル化の状態で、インターネット上に出てゆくので、拡張ヘッダにある

　IPSec 、QoS、 完全なマルチキャスト通信が出来ません。

また、カプセル化のIPｖ４のヘッダにはルーティング情報などが載りません。

昔ホームページで、オーバーヘッドが大きいと欠点を挙げた理由はこれです。

４． カプセル化した場合、IPv４パケットとしてインターネットでルーティングして

　　目的地まで送信されます。このとき相手先がIPｖ6が未対応だった場合パケットは

    破棄されることもあります。

   現時点ではIPv6 の使用目的は、IPv6 対応のサーバーとの接続でない限り意味を

   もちません。

５.  一番最大のセキュリティ問題として、カプセル化したパケットの中のIPv6パケットの

     改ざんが可能となる点です。

     方法は公開できませんが、関心がある方はご自分でハックしてみてください。