[ Top page ]

« IPv6 と IPv4 の共存環境で発生しうるセキュリティ上の脅威 | メイン | ポリシーに関する標準化動向 »

インターネットのプロトコル

IPv6 のマルチ・ホーム / 複数アドレス付与とそれによって発生する問題

概要

IPv6 においてはひとつのネットワーク・インタフェースに複数の IP アドレスがつけられる. 何もしなくてもリンクローカル・アドレスがインタフェースに与えられたうえ,インターネットに接続するときには大域的なアドレスが与えられる. さらに,複数のプロバイダに接続すると (つまりマルチ・ホーム環境においては),ひとつの機器に対して各プロバイダからことなる大域的なアドレスがあたえられる. このような複数のアドレスのなかでの誤選択によって発生する問題,とくに通信不能になる場合についてのべる.

複数のアドレスの付与

IPv6 においては,単一のプロバイダとの接続においても複数のアドレスが付与されるが,複数のプロバイダとの接続においてはさらにそのそれぞれからアドレスが付与される. これらの複数アドレス付与について説明する.

単一接続のとき

IPv6 機器がひとつだけのプロバイダと接続するときにも,複数のアドレスがあたえられる. まず,インタフェースごとにかならずリンクローカル・アドレスが与えられる. それにくわえて,インターネットに接続するときは大域 (グローバル) アドレスが付与される. また,トンネルを使用するときなどには,さらにべつのアドレスが付与されることがある. たとえば Windows XP においては 6to4 トンネルのアドレスや RFC 3041 によってさだめられたステートレス・アドレス自動設定の拡張からえられるプライバシー・アドレスも付与される.

マルチ・ホームのとき

マルチ・ホームの場合は各接続プロバイダがそれぞれの持つ IPv6 アドレス・ブロックをユーザ・ネットワークにわりあてる. ユーザ・ネットワークにおいてはこれらのアドレスを使いわけることによって,プロバイダごとにことなる品質,セキュリティなどの様々なサービスを利用することができる. この場合には通信先やアプリケーションによって,わりあてられたアドレスを使いわけること,すなわちアドレス選択が必要になる.

現在の日本の IPv4 インターネット接続環境においても複数サービス・プロバイダへの同時接続は比較的ひろくおこなわれている. リモートアクセスに利用される VPN とインターネットとの同時接続もその一形態である. また,NTT の東西地域会社のフレッツ・サービスで提供されているマルチ・セッション環境,すなわち仮想的なリンクを利用して複数のサービス・プロバイダに同時に接続できるような形態も存在する. 実際,フレッツ環境においては,インターネット・サービス・プロバイダへの接続とフレッツ網内のサービス (フレッツ・スクエアなど) との同時接続を,多くのユーザが利用している. IPv4 インターネットにおいてこのような複数プロバイダ接続が実現できるのは,ネットワークの出口の機器 (ブロードバンド・ルータやプロバイダのネットワークに直接接続された PC) に対してパケット送出先に対応したアドレスを付与することができるからである.

これに対して IPv6 のマルチ・ホーム環境では,ネットワーク構成は上記 IPv4 のブロードバンド・ルータを利用した環境と同等になるが,プロバイダからは接続サービス・プロバイダごとに IPv6 アドレス・プレフィクスがわりあてられ,ブロードバンド・ルータがそのアドレス範囲のなかから配下の機器に複数の IPv6 アドレスを自動わりあてすることになる. すなわち,個々の機器にまで複数の IPv6 アドレスが付与され,それらが通信の際に適した IPv6 アドレスを選択する必要がある.

アドレス誤選択によって発生する問題

最近では,アドレス詐称を防ぐなどのセキュリティ上の理由から,自分がわりあてたアドレス以外が始点アドレスとなっている IP パケットを通さないような設定をするプロバイダが増えている. このため,不適切なアドレス選択のために始点アドレスとして他のサービス・プロバイダからわりあてられたアドレスが書きこまれたパケットはフィルタされてしまい,通信が成立しない可能性がある.

IPv6 における複数アドレスの利用

現状では複数アドレスが付与された IPv6 ノードは通常は通信時に送信先と 最長一致するアドレスを選択する. つまり,アドレスを比較して,最左ビットから一致するビット数が一番長いアドレスを選択する. このため,隣接する (直接接続された) サービス・プロバイダのとの通信の際には,多くの場合,そのサービス・プロバイダからわりあてられたアドレスが自動的に選ばれることになる. しかし,インターネット・アクセスのように隣接しない宛先との通信を行う場合や,隣接サービス・プロバイダがユーザ・ネットワークにわりあてたアドレス以外のアドレスを保有する場合 (レジストリにわりあてられたアドレスを使い切り,追加わりあてを受けた場合) などには,始点アドレスの誤選択が発生する可能性がある.

この IPv6 アドレス選択問題は IPv6 ネットワークにおけるマルチ・ホーム問題の一要素として,IETF においてもかなり長い時間をかけて議論されてきた. IETF においては IPv6 のマルチ・ホーム技術である shim6 アーキテクチャを標準化することで解決をはかろうとしているが,2007 年末現在,まだ標準化は完了していない. 標準化されてもさらに IPv6 対応機器が個々に対応することが必要であるため,そこでも困難が予想される.

直近の解決方法としては RFC 3484 においてさだめられた既定のアドレス選択法がある. この機構は Windows XP 以降の Windows 系 OS や各 BSD 系 OS にはすでに搭載されているものであり,通信相手に応じて自分の持つアドレス群の中から選択するアドレスを制御できる.

制御に必要な情報をサービス・プロバイダ等から自動的に配布することができれば,ユーザが気にしなくても複数プレフィクスの制御が実現できる.

マルチ・プレフィクスのその他の課題

複数プレフィクスを利用したサービスを実現する際の課題のうち複数アドレスの選択技術についてのべてきたが,このほかにはつぎのような課題がある.

機器ごとのアドレス・プレフィクス付与
IPv6 のステートレス・アドレス自動構成機構はマルチキャストを利用しており,同一セグメント上の機器がすべて同じプレフィクスをもつのが普通である. 複数プレフィクス・サービスを実現する際には,特定のノードに特定のプレフィクスが付与できることが望ましい. これについては,機器ごと,サービスごとに接続するネットワーク・セグメントを分離する,アドレス付与を制御するなどが試みられている.
サービスを受ける機器の認証
実際にネットワーク・サービスを利用する機器を制限する機能が必要となる. また,複数サービスを同時に享受する機器があった場合に,そのノードが乗っ取られてしまった場合の他サービスへの影響なども懸念される.
アプリケーションごとのアドレス選択 (プレフィクス選択の単位)
RFC 3484 はノードごとのアドレス選択機構を実現する. しかし,アドレス選択をアプリケーションごとにできるようにすべきだという主張もある. サービスや状況に応じたアドレス選択手法が必要になる. しかし,IPv6 の豊富なアドレス空間を利用し,サービスごとにアドレスを使いわけることによって,サービス提供者にとっても,サービス利用者にとっても,より便利で安全なサービスが提供できる可能性がある. IPv6 の利用形態のひとつとして,今後の発展が期待できる.

参考文献

Keywords:

コメントを投稿

Powered by
Movable Type 3.36