フレッツ・光ネクスト ネイティブ方式のIPv6

従来のIPv4の方式

従来のIPv4では、一般的にプロバイダからグローバルIPアドレスを1つだけ提供され、インターネットに接続していました。インターネットに接続するには、このグローバルIPアドレスが必要にあるので、このままでは複数のPCが同時に接続することができません。かといって全ユーザの1台1台にグローバルIPアドレスを割り当てるだけのIPv4アドレスが残っていません。そこでIPv4では、ルータでプライベートネットワークを作成し、グローバルIPアドレスとプライベートIPアドレスを変換するNATやNAPT(IP マスカレード)を使用していました。

しかし、この方法には欠点があります。NATやNAPTを利用すると、外部ネットワークからプライベートネットワークにアクセスできないという問題がありました。セキュリティ面では、外部からの攻撃を低減できるので若干有利ですが、自宅にアクセスしてデータにアクセスすることは容易にできませんでした。外部からアクセスするには、VPNなどを利用してトンネルを作成する必要がありました。

IPv6の方式

IPv6は、128ビットの膨大なアドレス空間を持っています。この量というのは、落ちている石ころ一つに割り当てても余るくらいの量だそうです。

IPv6では、プロバイダはグローバルIPv6アドレスをネットワーク単位(プレフィックス)で提供します。IPv6は、1つのネットワークに64ビットのホストアドレスを持つと決められています。つまり、2の64乗 = 18,446,744,073,709,551,616個のIPv6アドレスを設定できます。

全てグローバルIPv6アドレスなので、NATやNAPTを使用せずに接続できます。また、外部からのアクセスも、VPNを必要とせずに接続できます。

ネイティブ方式

ネイティブ方式は、前述したとおりIPv6をダイレクトに割り当てる方式です。この方式では、自宅にブロードバンドルータを必要としません。ルータは、フレッツ網が提供しています。そのルータからプロバイダが指定したIPv6アドレスを割り当てます。

ルータを必要としないと言うことなので、ONUに直接PCを接続し、ブラウザでWebページを表示したところ、IPv6に対応したサイトであれば、表示することができました。

ネットワークの割り当て

光ネクストの規定によると、半固定の64ビットもしくは48ビットのプレフィクスを提供するように決められています。ここで言う「半固定」とは、引っ越しなどの物理移動や品目変更などが無い限り変わることがないと言うことです。

2012年5月7日追記: 半固定に関して
何もしていないのにIPv6プレフィクスが変わりました。どうやらNTT側で工事がされるとプレフィクスが変更されるようです。

2種類のプレフィクスが用意されており、ひかり電話ありは48ビット、なしは64ビットになります。ひかり電話ありでは、64 - 48 = 16ビット分のネットワークがもらえることになります。実際は、ひかり電話の端末が必要になり、そこで52ビットのネットワークプレフィクスになるので、64 - 52 = 12ビット分になります。それでも、2の12乗 = 4096個のネットワークがもらえます(ひかり電話用に1つ消費するので実際は、4095個です)。一方、ひかり電話なしでは、1つのネットワークしかもらえません。

アドレスの割り当て

IPv6には、ルータからのアドバタイズ(RA)によってアドレスを割り当てる機能があります。光ネクストでは、ひかり電話無しの場合にRAによるアドレス割り当てが有効になっています。ひかり電話ありの場合は、DHCPv6-PDによる割り当てになっています。

RAだけではDNSサーバなどの情報がありません。そのため、光ネクスト ネイティブ方式ではDHCPv6を利用し、DNSサーバとSNTPサーバのアドレスを提供しています。

もちろん手動で固定IPv6アドレスを割り当てることもできます。Windowsの場合は、固定IPv6を設定してもRAによるIPv6アドレス割り当てが有効のままなので、RAの構成+固定IPv6アドレスのアドレスが割り当てられます。Linuxの場合は、RAの構成か固定IPv6アドレスのどちらかだけになります。手動で割り当てる時は、RAのプレフィクスしたがって割り当てる必要があります。それ以外のプレフィクスは使用できません。

ネイティブ方式の問題点

一見便利そうですが、不便な点がいくつかあります。

ローカルDNSサーバの設置

DNSサーバは、NTTが提供する物を使用することになります。インターネット上にあるサーバに接続する時は問題ありませんが、ローカルにDNSサーバが存在し、ローカルサーバに接続する場合は問題になります。

IPv6が有効になっていると、優先的にIPv6のDNSサーバを利用するようになっており、IPv4のDNSサーバを設定していてもアクセスしません。そのため、ローカルのDNSサーバのレコードは参照できずに、ローカルサーバにアクセスできなくなります。

DHCPv6の設置

上記の問題ですが、DHCPを利用してDNSサーバを通知することで改善できます。

光ネクストが使用しているRAパケットの設定で、ひかり電話なしの場合は、DHCPサーバを使用することができます。ローカルのDHCPサーバで、ステートレスモードにして運用すれば、DNSサーバを通知できます。しかし、複数のDHCPの返答が返って来ることになり、正しく動作しないときがあります。

セキュリティ: 外部からの不正アクセス

これが一番の問題かと思います。

全ての端末に、グローバルアドレスが割り当てられるので、外部からアクセスし放題です。各端末にパーソナルファイアウォールをインストールし、適切に構成する必要があります。この時、IPv4はプライベート、IPv6はグローバルと混在していまい設定が面倒です。さらに、それを全ての端末に設定する必要があります。

ルータの設置

光ネクストのネイティブ方式は、ルータを必要としません。また、ルータを設置する場合は、IPv6パススルーモードやIPv6ブリッジモードを使用しなければなりません。また、光ネクストのひかり電話なしでは、ネットワークが1つしかないためルータでネットワークを分割することができません。ただし、ひかり電話ありでは、52ビットのプレフィクスのネットワークなので、4096個のネットワークを使用でき、ルータで分割できます。

ルータはネットワーク分割以外にも、パケットフィルタリングを利用できるメリットがあります。パケットフィルタリングを使用すれば、先ほど述べたパーソナルファイアウォールの手間を省くことができます。

ちなみに、ひかり電話無しでも抜け道があり、RAをリレーする機能(RAプロキシ機能)を搭載したルータや、ネットワーク部が65ビット以上に対応したルータであれば使用可能です。

現在、IPv6のルータの挙動を調査中です。

おわりに

光ネクスト ネイティブ方式の利点と問題点をまとめました。全ての端末にグローバルIPアドレスを割り当てることができ、外部からのアクセスが可能となることを紹介しました。しかし、トレードオフがあり、セキュリティ面で不安があることも紹介しました。

次回は、NEC IX2015のL2パケットフィルタ機能を試したいと思います。