第 4 章 IPv6 ネットワークの計画 (手順)

新しいネットワークまたは既存のネットワークに IPv6 を配備するには、大規模な計画を立案する必要があります。この章では、IPv6 を自分のサイトに構成する前に行う必要がある計画作業について説明します。既存のネットワークへの IPv6 の配備は、ゆっくりと着実に行う必要があります。この章では、IPv4 専用ネットワークに IPv6 を段階的に導入する方法を説明します。

この章の内容は次のとおりです。

• 「IPv6 の計画 (作業マップ)」

• 「IPv6 ネットワークトポロジのシナリオ」

• 「IPv6 をサポートするための既存のネットワークの準備」

• 「IPv6 アドレス指定計画の準備」

IPv6 の概念については、第 3 章IPv6 の紹介(概要)を参照してください。IPv6 の詳細については、第 11 章IPv6 の詳細 (リファレンス)を参照してください。

IPv6 の計画 (作業マップ)

次の作業マップに、IPv6 の配備に必要な計画作業を達成するための作業を順番に示します。

次の表に、IPv6 ネットワークを構成するための各種作業の一覧を示します。表では、各作業で実行する内容について説明し、作業の具体的な実行手順が詳しく説明されている現在のマニュアル内の節を示しています。

作業	説明	説明
1. IPv6 をサポートするようにハードウェアを準備します。	IPv6 をサポートできるようにハードウェアをアップグレードします。	「IPv6 をサポートするためのネットワークトポロジの準備」
2. IPv6 をサポートする ISP を取得します。	現在利用している ISP が IPv6 をサポートしていることを確認します。サポートしていない場合は、IPv6 をサポートできる ISP を探してください。IPv6 での通信用に 1 つ、IPv4 通信用に 1 つと、2 つの ISP を利用してもかまいません。
3. アプリケーションが IPv6 をサポートすることを確認します。	使用するアプリケーションが IPv6 環境で動作できることを確認します。	「IPv6 をサポートするためにネットワークサービスを準備する方法」
4. サイト接頭辞を取得します。	ISP または最も近い RIR から、当該サイト用の 48 ビットのサイト接頭辞を取得します。	「サイト接頭辞の取得」
5. サブネットのアドレス指定を計画します。	IPv6 をネットワーク上のさまざまなノードに構成する前に、全体的な IPv6 ネットワークトポロジとアドレス指定スキームを計画する必要があります。	「サブネット用の番号付けスキームの作成」
6. トンネルの使用について計画します。	ほかのサブネットまたは外部ネットワークへのトンネルを実行するルーターを判断します。	「ネットワークトポロジにおけるトンネルの計画」
7. ネットワーク上のエンティティーへのアドレス指定を計画します。	IPv6 を構成する前に、サーバー、ルーター、およびホストへのアドレス指定スキームを計画する必要があります。	「ノードの IPv6 アドレス指定計画の立案」
8. IPv6 セキュリティーポリシーを開発します。	IPv6 セキュリティーポリシーを開発すると同時に、IP Filter、IP セキュリティーアーキテクチャー (IPsec)、Internet Key Exchange (IKE) などの Oracle Solaris セキュリティー機能を調査します。	パート IV「IP セキュリティー」
9. (任意) DMZ を設定します。	IPv6 を構成する前に、セキュリティーのため、DMZ およびそのエンティティーへのアドレス指定を計画する必要があります。	「IPv6 実装のセキュリティーについて」
10. IPv6 をサポートするようにノードを有効にします。	すべてのルーターおよびホスト上で IPv6 を構成します。	「IPv6 ルーターの構成 (作業マップ)」
11. ネットワークサービスを起動します。	既存のサーバーが IPv6 をサポートできることを確認します。	「主な TCP/IP 管理作業 (作業マップ)」
12. IPv6 をサポートするようにネームサーバーを更新します。	新しい IPv6 アドレスをサポートするように、DNS、NIS、および LDAP サーバーが更新されていることを確認します。	「ネームサービスの IPv6 サポート用の構成」

IPv6 ネットワークトポロジのシナリオ

この章では、典型的な企業ネットワークで IPv6 サービスを計画する方法について説明します。次の図に、この章の説明で使用するネットワークを示します。実際に計画しようとしている IPv6 ネットワークには、この図で示されるネットワークリンクのすべてが含まれるとは限りません。

図 4–1 IPv6 ネットワークトポロジのシナリオ

この企業ネットワークシナリオでは、既存の IPv4 アドレスを持つサブネットが 5 つあります。ネットワークのリンクは管理サブネットに直接対応します。4 つの内部ネットワークは、RFC 1918 スタイルの IPv4 専用アドレスで表されています。このアドレスは、IPv4 アドレスの不足に対応するための一般的な解決方法です。このような内部ネットワークのアドレス指定スキームは次のとおりです。

• Subnet 1 は内部ネットワークバックボーン 192.168.1 です。

• Subnet 2 は内部ネットワーク 192.168.2 であり、LDAP、sendmail、および DNS サーバーが含まれます。

• Subnet 3 は内部ネットワーク 192.168.3 であり、企業の NFS サーバーが含まれます。

• Subnet 4 は内部ネットワーク 192.168.4 であり、企業の従業員用のホストが含まれます。

外部の公開ネットワーク 172.16.85 は、企業の DMZ として機能します。このネットワークには、Web サーバーや匿名 FTP サーバーなど、企業が外部に提供するリソースが含まれます。Router 2 はファイアウォールを実行して、公開ネットワーク 172.16.85 を内部バックボーンから分離します。DMZ のもう一方の終端では、Router 1 がファイアウォールを実行して、企業の境界サーバーとして機能します。

図 4–1 では、公開 DMZ は RFC 1918 専用アドレス 172.16.85 を持っています。実際には、公開 DMZ は登録済み IPv4 アドレスを持っている必要があります。ほとんどの IPv4 サイトは、公開アドレスと RFC 1918 専用アドレスの組み合わせを使用します。しかし、IPv6 を導入すると、公開アドレスと専用アドレスの概念が変わります。 IPv6 は巨大なアドレス空間を持つため、専用ネットワークにも、公開ネットワークにも、IPv6 公開アドレスを使用します。

IPv6 をサポートするための既存のネットワークの準備

---

注 –

Oracle Solaris デュアルプロトコルスタックは、IPv4 と IPv6 の並行動作をサポートします。IPv6 をネットワークに配備している間も、そのあとでも、IPv4 関連の操作は正常に実行できます。

---

IPv6 は、既存のネットワークに新しい機能を追加します。したがって、IPv6 を初めて配備するときには、IPv4 関連の操作が中断されないことを確認する必要があります。この節では、IPv6 を着実に既存のネットワークに導入する方法について説明します。

IPv6 をサポートするためのネットワークトポロジの準備

IPv6 配備の最初の手順では、ネットワーク上の既存のエンティティーが IPv6 をサポートできるかどうかを判断することです。ほとんどの場合、ネットワークトポロジ、つまり、ワイヤー、ルーター、およびホストは、IPv6 の実装時に変更する必要はありません。ただし、既存のハードウェアおよびアプリケーションについては、実際に IPv6 アドレスをネットワークインタフェースに構成する前に、IPv6 をサポートするための準備を行う必要がある場合があります。

ネットワーク上のどのハードウェアを IPv6 向けにアップグレードできるかを確認します。たとえば、次のクラスのハードウェアについては、メーカーのマニュアルで IPv6 対応状況を調べてください。

• ルーター

• ファイアウォール

• サーバー

• スイッチ

---

注 –

このパートで説明するすべての手順では、すべての装置 (特に、ルーター) が IPv6 向けにアップグレードできると仮定します。

---

IPv6 向けにアップグレードできないルーターモデルもあります。詳細と回避方法については、「IPv4 ルーターを IPv6 用にアップグレードできない」を参照してください。

IPv6 をサポートするためのネットワークサービスの準備

現在の Oracle Solaris リリースにおいて、次の典型的な IPv4 ネットワークサービスは IPv6 をサポートできます。

• sendmail

• NFS

• HTTP (Apache 2.x または Orion)

• DNS

• LDAP

IMAP メールサービスは IPv4 専用です。

IPv6 向けに構成されたノードでも IPv4 サービスは実行できます。IPv6 を有効にしても、必ずしもすべてのサービスが IPv6 接続を受け入れるわけではありません。IPv6 向けに移植されたサービスだけが IPv6 接続を受け入れます。IPv6 向けに移植されていないサービスは、プロトコルスタックの IPv4 部分を使用して機能し続けることができます。

IPv6 向けにアップグレードしたあとで、いくつかの問題が発生する可能性があります。詳細については、「サービスを IPv6 用にアップグレードしたあとの問題」を参照してください。

IPv6 をサポートするためのサーバーの準備

サーバーは IPv6 ホストであると考えられるため、デフォルトでは、IPv6 アドレスは自動的に近傍検索プロトコルによって構成されます。しかし、多くのサーバーは複数の NIC (Network Interface Card) を持っており、保守のために、そのいくつかを交換したい場合もあります。ある NIC を交換すると、近傍検索プロトコルは自動的に、その NIC に新しいインタフェース ID を生成します。サーバーによっては、この動作を受け入れることができない場合があります。

このような場合は、サーバーのインタフェースごとに、IPv6 アドレスのインタフェース ID 部分を手動で構成する方法を考えてください。手順については、「ユーザー指定の IPv6 トークンを構成する方法」を参照してください。そのあとで既存の NIC を交換する必要がある場合、その NIC には以前構成した IPv6 アドレスが適用されます。

IPv6 をサポートするためにネットワークサービスを準備する方法

1. IPv6 をサポートするには、次のネットワークサービスを更新します。

   • メールサーバー

   • NIS サーバー

   • NFS

     ---

     注 –

     LDAP は IPv6 をサポートします。IPv6 固有な構成作業は必要ありません。

     ---

2. ファイアウォールハードウェアが IPv6 をサポートできるかどうかを確認します。

   この手順については、ファイアウォール関連の適切なマニュアルを参照してください。

3. ネットワーク上のほかのサービスが IPv6 向けに移植されているかどうかを確認します。

   詳細については、ソフトウェアに付属するマニュアルや関連するマニュアルを参照してください。

4. 次のサービスを配備しているサイトでは、これらのサービスを適切に評価しているかどうかを確認します。

   • ファイアウォール

     IPv6 をサポートするために、IPv4 向けに作成したポリシーを強化することを考えてください。セキュリティーの詳しい考慮事項については、「IPv6 実装のセキュリティーについて」を参照してください。

   • 郵便

     DNS の MX レコードにおいて、メールサーバーの IPv6 アドレスを追加することを考えてください。

   • DNS

     DNS 固有の問題点については、「IPv6 をサポートするために DNS を準備する方法」を参照してください。

   • IPQoS

     ホストで IPv4 向けに使用していたのと同じ Diffserv ポリシーを使用します。詳細については、「クラシファイアモジュール」を参照してください。

5. ノードを IPv6 向けに変更する前に、そのノードが提供するネットワークサービスを評価します。

IPv6 をサポートするために DNS を準備する方法

現在の Oracle Solaris のリリースは、クライアント側とサーバー側の両方において、DNS による名前解決をサポートします。IPv6 をサポートするために DNS サービスを準備するには、次の手順を行います。

IPv6 のDNS サポートに関連する詳細については、『Solaris のシステム管理 (ネーミングとディレクトリサービス : DNS、NIS、LDAP 編)』を参照してください。

1. 再帰的な名前解決を実行する DNS サーバーがデュアルスタックであるか (つまり、IPv4 と IPv6 両用であるか)、あるいは、IPv4 専用であるかを判断します。

2. DNS サーバーでは、関連する IPv6 データベース AAAA レコードを前進ゾーンで使用して、DNS データベースを作成します。

   ---

   注 –

   複数の基幹系のサービスを実行しているサーバーには、特に注意する必要があります。ネットワークが適切に機能していることを確認します。また、すべての基幹系のサービスが IPv6 向けに移植されていることを確認します。次に、そのサーバーの IPv6 アドレスを DNS データベースに追加します。

   ---

3. AAAA レコードの関連する PTR レコードを逆進ゾーンに追加します。

4. IPv4 専用データまたは IPv6 と IPv4 両用データを、ゾーンを記述する NS レコードに追加します。

ネットワークトポロジにおけるトンネルの計画

IPv6 実装は、IPv4 と IPv6 が混在するネットワークへの移行機構として、多数のトンネル構成をサポートします。トンネルを使用すると、孤立した IPv6 ネットワークどうしが通信できるようになります。ほとんどのインターネットは IPv4 で動作しているため、自分のサイト (IPv6 ネットワーク) から宛先のサイト (IPv6 ネットワーク) に IPv6 パケットを送信するためには、インターネットにトンネルを開けて、そこを通す必要があります。

次に、IPv6 ネットワークトポロジにおいてトンネルを使用するいくつかのシナリオを示します。

• ISP から IPv6 サービスを購入すると、自分のサイトの境界ルーターから ISP ネットワークにトンネルを作成できます。 図 4–1 に、このようなトンネルを示します。このようなシナリオの場合は、手動の IPv6 over IPv4 トンネルを実行します。

• 大規模な分散ネットワークを IPv4 接続で管理している場合。IPv6 を使用する分散サイトに接続するには、各サブネットの境界ルーターから自動 6to4 トンネルを実行します。

• 自分のインフラストラクチャー内のルーターを IPv6 向けにアップグレードできないこともあります。このような場合には、2 つの IPv6 ルーターをエンドポイントとして、IPv4 ルーターに手動トンネルを作成できます。

トンネルを構成する手順については、「IPv6 サポート用にトンネルを構成するための作業 (作業マップ)」を参照してください。トンネルに関する概念の情報については、「IPv6 トンネル」を参照してください。

IPv6 実装のセキュリティーについて

IPv6 を既存のネットワークに導入するとき、サイトのセキュリティーを損なわないように注意する必要があります。IPv6 を導入するときには、次のセキュリティーの問題点に注意してください。

• IPv6 パケットと IPv4 パケットには、両方とも、同じ量のフィルタリンクが必要です。

• IPv6 パケットは頻繁にファイアウォールにトンネルを開けます。したがって、次のシナリオのどちらかを実装する必要があります。

  • ファイアウォールでトンネル内部のコンテンツを検査すること。

  • トンネルの反対側にあるエンドポイントでも、同じような規則の IPv6 ファイアウォールを設置すること。

• IPv6 over UDP over IPv4 トンネルを使用するような移行機構もあります。しかし、このような機構はファイアウォールを通らないため、危険であることが証明されています。

• IPv6 ノードは企業ネットワークの外からグローバルに到達できます。セキュリティーポリシーで公開アクセスを禁止する場合、ファイアウォールに対して、より厳しい規則を確立する必要があります。たとえば、ステートフルなファイアウォールを考えてください。

このマニュアルでは、IPv6 実装で使用できるセキュリティーについても説明しています。

• IP セキュリティーアーキテクチャー (IPsec) 機能を使用すると、IPv6 パケットを暗号化で保護できます。詳細については、第 19 章IP セキュリティーアーキテクチャー (概要)を参照してください。

• Internet Key Exchange (IKE) 機能を使用すると、IPv6 パケットに公開鍵認証を使用できます。詳細については、第 22 章インターネットキー交換 (概要)を参照してください。

IPv6 アドレス指定計画の準備

IPv4 から IPv6 への移行の大部分は、アドレス指定計画の立案です。この作業には、次の前準備が必要です。

• 「サイト接頭辞の取得」

• 「IPv6 番号付けスキームの作成」

サイト接頭辞の取得

IPv6 を構成する前に、サイト接頭辞を取得する必要があります。サイト接頭辞は、自分の IPv6 実装におけるすべてのノードの IPv6 アドレスを抽出するときに使用します。サイト接頭辞の概要については、「IPv6 の接頭辞」を参照してください。

IPv6 をサポートする ISP は、48 ビットの IPv6 サイト接頭辞を提供できます。現在の ISP が IPv4 しかサポートしない場合、現在の ISP を IPv4 サポート用に残したまま、別の ISP を IPv6 サポート用に使用できます。このような場合の回避方法は複数あります。詳細については、「現在の ISP が IPv6 をサポートしない」を参照してください。

企業自身が ISP である場合、顧客のサイト接頭辞は適切なインターネットレジストリから取得します。詳細については、Internet Assigned Numbers Authority (IANA) を参照してください。

IPv6 番号付けスキームの作成

IPv6 ネットワークがまったく新しいものでない限り、既存の IPv4 トポロジを IPv6 番号付けスキームとして使用します。

サブネット用の番号付けスキームの作成

番号付けスキームを開始するには、まず、既存の IPv4 サブネットを等価な IPv6 サブネットにマッピングします。たとえば、図 4–1 で示したサブネットを考えてください。サブネット 1 からサブネット 4 までは、RFC 1918 の IPv4 専用アドレス指定を使用して、アドレスの最初の 16 ビットを指定し、さらに、1 から 4 までの数字を使用して、サブネットを指定しています。この例では、IPv6 接頭辞 2001:db8:3c4d/48 がサイトに割り当てられていると仮定します。

次の表に、専用アドレスの IPv4 接頭辞から IPv6 接頭辞にマッピングする方法を示します。

IPv4 サブネット接頭辞	等価な IPv6 サブネット接頭辞
192.168.1.0/24	2001:db8:3c4d:1::/64
192.168.2.0/24	2001:db8:3c4d:2::/64
192.168.3.0/24	2001:db8:3c4d:3::/64
192.168.4.0/24	2001:db8:3c4d:4::/64

ノードの IPv6 アドレス指定計画の立案

ほとんどのホストにおいて、インタフェースに IPv6 アドレスを構成するのに適切で時間がかからない戦略は、ステートレス自動構成です。ホストが最も近いルーターからサイト接頭辞を受信したとき、近傍検索プロトコルは自動的に、ホストの各インタフェースに IPv6 アドレスを生成します。

サーバーは安定した IPv6 アドレスを持つ必要があります。サーバーの IPv6 アドレスを手動で構成しない場合、サーバーの NIC カードを交換したときには、新しい IPv6 アドレスが自動構成されます。サーバーのアドレスを作成するときには、次のことを覚えておいてください。

• サーバーには意味のある安定したインタフェース ID を指定してください。インタフェース ID の番号付けスキームを使用するときには、1 つの戦略だけを使用します。たとえば、図 4–1 の LDAP サーバーの内部インタフェースは 2001:db8:3c4d:2::2 になります。

• あるいは、IPv4 ネットワークの番号を定期的に変更しない場合、ルーターおよびサーバーの既存の IPv4 アドレスをそのインタフェース ID として使用することを考えてください。図 4–1 では、Router 1 の DMZ へのインタフェースは IPv4 アドレス 123.456.789.111 を持っていると仮定します。この IPv4 アドレスを 16 進数に変換すると、その結果をインタフェース ID として使用できます。つまり、新しいインタフェース ID は ::7bc8:156F になります。

  この方法は、ISP から IPv4 アドレスを取得したのではなく、登録済み IPv4 アドレスを所有しているときだけに使用するようにしてください。ISP から取得した IPv4 アドレスを使用している場合、依存関係が発生し、ISP を変更する場合に問題が発生します。

IPv4 アドレスの数には制限があるため、ネットワーク設計者は、既に登録済みのグローバルアドレスや RFC 1918 専用アドレスをどのように使用するかを考える必要がありました。しかし、IPv4 のグローバルアドレスや専用アドレスの表記は IPv6 アドレスには適用されません。サイト接頭辞を含むグローバルユニキャストは、ネットワークのすべてのリンクで使用できます (公開 DMZ を含む)。