近年、NURO光やフレッツ光クロスをはじめとする高速インターネット回線では、「IPoE接続」が一般的になっています。
IPoE接続を利用する環境では、従来のIPv4だけでなく、IPv6も同時に利用されるケースが多く、パソコンやサーバーにはIPv4アドレスとIPv6アドレスの両方が割り当てられます。
このような構成を「デュアルスタック環境」と呼びます。
ささ「デュアルスタック環境」では、IPv6対応によって通信速度や接続性が向上する一方で、運用管理の複雑化や設定漏れによるセキュリティリスクなど、新たな課題も生まれてしまいます。
今までの慣れから、「IPv4しか意識していなかった」というケースも少なくありません。
これが家庭のネットワークであれば、まだ「忘れてた!」ですみますが、企業ではそういう訳にはいきません。
本記事では、実際のIPoE環境の画面やネットワーク構成図を交えながら、デュアルスタック環境の仕組みと、運用時に注意すべきポイントについて解説します。
デュアルスタック環境とは?
IPv4アドレス枯渇問題とIPv6の登場
インターネットで長年利用されてきたIPv4アドレスは、約43億個しか存在せず、世界的なインターネット利用者増加によってIPアドレス枯渇問題が発生しました。
15年前の2011年には、IANAからの新規IPv4グローバルアドレスの割り当ては終了しています。
JPNIC 「IPv4アドレスの在庫枯渇に関して」
そこで登場したのが「IPv6」です。
IPv6では、ほぼ無限とも言える膨大なアドレス空間を利用できるため、今後のインターネット基盤として、現在進行形で、普及が進められています。
IPv6アドレスの詳細説明については、以前、自宅のNURO光環境を利用してご紹介させていただきました。是非ご参照いただけると幸いです。
しかし、すべてのWebサイトやサービスが、IPv6に完全移行したわけではありません。
その為、現在はIPv4からIPv6への移行期間となり、「IPv4ネットワーク」「IPv6ネットワーク」が別々に存在する状態になっています。
IPoE回線利用環境ではIPv4とIPv6が共存する
現在のNURO光や多くのIPoE回線では、IPv6ネイティブ通信を利用しながら、IPv4通信も並行して利用しする事が出来るようになっており、利用者は特別な設定を意識しなくても、PCやスマートフォンが自動的にIPv4とIPv6の両方を利用出来る状態になります。
これは、IPv6アドレスのみ利用出来るIPoE回線環境で、IPv4アドレスも利用できるようにする、
「IPv4 over IPv6」の技術が使用されている為です。
関越インターネット IPv6
利用者から見ると「普通にインターネットが使えている」ように見えますが、内部では色々な仕組みが利用されて、インターネットアクセスが実現されています。
PCにはIPv4アドレスとIPv6アドレスの両方が割り当てられる
自宅は「NURO光回線」ですので、デュアルスタック環境です。
試しに、WindowsPCで「ipconfig /all」を実行すると、以下のようにIPv4とIPv6が同時に表示されます。
- IPv6アドレス :240d:1a:2c8:b200:f862:7033:XXXX:XXX9
- 一時ipv6アドレス:240d:1a:2c8:b200:841b:e65f:XXXX:XXXc
- IPv4アドレス :192.168.1.183
この状態こそがデュアルスタック環境です。
IPv6アドレスが2つある理由は、セキュリティを確保する目的です。詳細については、以前記事にしてますので、以下、是非ご覧いただけると幸いです。
NURO光環境を確認してみた
自宅のネットワーク環境を簡単ですが、構成図として記載してみました。
ネットワーク構成図
機器を中心に構成図を書いてみると、以下のようになります。
また、「IPv6通信」、「IPv4通信」を、それぞれの視点で見てみると以下のようになります。
一見シンプルな構成ですが、実際にはIPv4通信とIPv6通信が別々の仕組みで処理されています。
デュアルスタック環境で発生しやすい運用上の問題
デュアルスタック環境で、発生し易い問題について書いていきたいと思います。
1. IPv4だけ設定してIPv6を忘れるケース
管理者が、ルーターやファイアウォールのアクセス制御(ACL)を設定する際、IPv4だけを対象に設定してしまうケースがあります。
例えば、
・IPv4 ACLのみ作成
・IPv6 ACL未作成
・結果IPv6通信は許可状態
といった状況が発生すると、本来制限したい通信がIPv6経由で通過してしまう可能性があります。
2. DNS設定の不整合
DNSには、IPアドレス毎に、以下2種類のレコードがあります。
・Aレコード(IPv4)
・AAAAレコード(IPv6)
自前でDNSサーバーを運用している環境では、IPv4だけを意識して設定すると、
Aレコードあり
AAAAレコードなし
という状態になり、利用環境によって通信不良が発生することがあります。
また、デュアルスタック環境では、IPv4で取得するDNSサーバーアドレスと、IPv6で取得するDNSサーバーアドレスは異なります。以下参照ください。
どちらかの「DNSサーバーにアクセスできない」「返すアドレス情報が異なる」など、IPv4、IPv4それぞれで動作が異なる場合が考えられ、トラブルの原因になる可能性があります。
3. IPv4とIPv6で異なる通信経路になる
企業ネットワークでは、セキュリティの観点から、全ての拠点のインターネットアクセスを「本社経由」にするケースがあります。
これを、「センター出しインターネット構成」と呼びます。
このような場合、拠点ルーターのデフォルトルートは、全て拠点⇔本社間VPNにする必要があります。
この構成を行える「IPv4」のみですので、
- IPv4 → VPN経由
- IPv6→ 直接インターネット
となります。
この場合、IPv6通信が、想定していたセキュリティポリシーを迂回してしまう可能性があります。
デュアルスタック環境のセキュリティリスク
デュアルスタック環境では、セキュリティリスクを招く可能性があります。
それはどういうケースか?考えられるケースを以下に記載します。
1. IPv6通信がファイアウォールを迂回するケース
IPv4側では厳密なアクセス制御を実施していても、IPv6側の設定が未実施であれば、IPv6通信だけが許可される可能性があります。
ファイアウォールであれば、IPv6ポリシーを設定しなければ、IPv6通信はブロックされるので気づくから良いのですが、ルーターの場合は、IPv6フィルターを設定し忘れると、全ての通信が許可されてしまいますので注意が必要です!
管理者がIPv6の存在を認識していない場合、非常に発見しづらい問題です。
2. IPv4のみ監視していてIPv6通信を見落とす
ログ監視や通信監視が、IPv4中心になっている環境も少なくありません。
その場合、IPv6経由の通信や不正アクセスの検知が遅れる可能性があります。
3. 意図しない外部公開につながる可能性
IPv6ではグローバルアドレスが端末に直接割り当てられるケースがあります。
無いとは思いますが、万が一、設定を誤ると、社内端末やサーバーが意図せず外部から到達可能になる恐れがある点は注意が必要です。
トラブルシューティングが複雑になる理由
また、デュアルスタック環境は、トラブル発生時の「トラブルシューティング」もかなり複雑になります。
1. IPv4では通信できるがIPv6では通信できない
同じWebサイトにアクセスしているように見えても、実際にはIPv4とIPv6で別の通信が行われています。
どちらで通信しているか確認しなければ原因究明が難しくなります。
2. 名前解決結果によって通信先が変わる
DNS応答によってIPv4通信になる場合もあれば、IPv6通信になる場合もあります。
環境によって再現条件が変わるため、障害調査が複雑になります。
3. PingやTracerouteの結果が異なる
IPv4とIPv6では経路が異なるため、
- Pingコマンド
- Tracertコマンド
の結果も変わります。
現時点での暫定対策
今までご紹介したように、IPv6、IPv4の「デュアルスタック環境」は、構成や運用に大きなリスクがあります。
リスクを極力回避する為には、どうすればよいか?
今の段階で出来る対策としては、
「LAN内では、IPv6アドレスを使用しない」
というのが、手っ取り早く実現可能な暫定対策になります。
いずれ、LAN内でもIPv6アドレスの使用はスタンダードとなってくると思いますが、今の段階では、ルーターのLAN側でIPv6をカットする、PCのインターフェイスでIPv6をOFFするなどの対応が必要となります。
まとめ
NURO光やIPoE回線では、IPv4とIPv6を同時利用するデュアルスタック環境が一般的になっています。
高速通信を実現できる一方で、設定漏れや運用ミスによるセキュリティリスク、トラブルシューティングの複雑化といった課題も存在します。
特に「IPv4だけ見ている運用」は、今後ますます危険になるでしょう。
デュアルスタック環境では、IPv4とIPv6の両方を意識した設計・運用・監視を行うことが、安全で安定したネットワーク運用に今後必要となります。
コメント