IPv6導入構想
前記事に書いたIPv6対応の話、具体的に検討しました。
以下が従来のIPv4のみ対応ネットワークの構成です。
外向けルータがPPPoE接続でISPまでトンネリング、あわせてNTT東日本のNGN(v4)にもPPPoEで接続。
DMZは/29(8IP)の固定アドレスを振ったネットワークで、外向けの公開サーバが置かれています。
イントラネットはプライベートアドレス(192.168.100.0/24)ネットワークで、NATの内向けルータで公開DMZネットワークに接続されています。
もちろん外向けルータも内向けルータも適切にフィルタリング(ファイやウォール)設定がしてあります。
各クライアントはIPv4/IPv6ダブルスタックで動くという想定で、従来ネットワークにIPv6通信機能を追加することを考えます。
まず現状のIPv6公衆網の接続環境ですが、IPv4と同じくPPPoEトンネリング方式とIPoE/Natove方式というVSDLモデムまで直接IPパケットが届く方式があります。
基本的にパフォーマンスはオーバーヘッドが少ないIPoE方式が有利です。いつのまにかフレット光ネクストに移行していたうちの光回線はすでにNGNv6との接続ができる環境になってしました。
これらから、今からIPv6接続環境を構築するならIPoEの方がよいと判断しました。
IPoEで幾と決めたところで、家庭内ネットワークに振り返って検討を続けます。
従来のIPv4の世界ではDMZとイントラで異なるネットワークを構築しルーティングして接続していました。特にイントラネットはNATでプライベートアドレスに変換しています。
しかし、この考え方はIPv6には馴染みません。IPv6の一番のメリットはアドレス変換処理をする必要がないことだからです。
そこでIPv6についてはアドレス変換をせずにイントラネットに至るまですべての危機の公開アドレスを付番することにします。
もちろん直接イントラネットの危機を外部インターネットに接続することはセキュリティー上問題です。そこでファイヤウォールで外部からのTCPセッション要求などの危険なパケットはフィルタリングします。こうすればアドレスは公開アドレスでも外部との通信を制限することができます。
以下が IPv4とIPv6の双方に対応したネットワーク構成です。
IPv4ではルータだった機器をIPv6ではブリッジとして機能するようにします。フィルタリング機能はIPv4とIPv6それぞれで別途節制できるようにします。このような機器をBrouterと呼びます (Bridge+Router)。
従来ネットワークのルータは2つのethernet I/Fを持つLinuxで実現していました。
今回も同様に2つのethernet I/Fを持つLinuxでBruterを実現しようと思います。
ただし一般的なLinuxディストリビューションでは上記のようなブルータの設定は簡単にはできないようです。
※すでにブルータの設定はできていて NGNv6ネットワークで動作確認はできています。
次の記事でブルータの構築・設定について記載したいと思います。