このページの本文へ

IPv6アドレスはもちろんACLやDHCPなど充実のサポート

すでに10年以上!シスコ製品のIPv6対応を突っ込んでみた

2011年06月08日 09時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

IPv4アドレスが枯渇に至ったことで、ネットワークのIPv6移行は本当に待ったなしの状態になった。では、果たしてネットワーク機器の対応はどうなっているのだろうか? ネットワーク最大手のシスコシステムズ(以下、シスコ)のIPv6対応について、担当の知識のおよぶ範囲まで突っ込んで聞いてみた。

10年に渡るIPv6対応の歴史をひもとく

 シスコのIPv6対応の歴史は古く、Cisco IOSでのプロトタイプが完成したのは1999年にまでさかのぼる。もちろんそれ以前のIETFのワーキンググループにおいても、メンバーの中心として標準化を進めていた。日本のIPv6開発の代表例であるKAMEプロジェクトの開始が1998年であることを考えると、IPv6サポートにおいては最古参の部類に入るだろう。当初は「Cisco 7200/3600」などのソフトウェアルーターでIPv6の実装を行ない、その後コアルーターの「Cisco 12000 GSRシリーズ」でサポート。2000年には、すでにエンドツーエンドでIPv6を可能にしたソリューションとして発表している。

シスコシステムズ サービスプロバイダー システムエンジニアリング SPアーキテクチャ シニアコンサルティングシステムエンジニア 土屋師子生氏

 シスコ サービスプロバイダー システムエンジニアリングの土屋師子生氏は「当初は128ビットのIPv6アドレスでRIPのようなルーティングを使えるとか、IPv4のトンネリングができるといったシンプルなものでした。これを2000~2003年くらいまでの間に、EFT(Enduser Field Testing)という形でIPv6を使ってもらいました」(土屋氏)と、初期のIPv6対応をこう振り返る。

 商用版としては2001年リリースのCisco IOS 12.2TではじめてIPv6をサポートしたが、ソフトウェアレベルだとなかなかパフォーマンスが上がらなかったこともあり、ハードウェアによる高速化が推進された。「2003年にはIPv4と同じく、IPv6もCEF(Cisco Express Forwarding)によるスイッチング処理で実現できるようになりました」(土屋氏)ということで、Cisco12000/10000やCRS-1のようなハイエンドルーターなどがハードウェア対応を実施。以降は標準でIPv6のハードウェア処理が可能になっているという。また、機能面ではOSPFやIS-ISなどのような大規模な環境で用いられるルーティングプロトコルのほか、MPLS上にIPv6を流す「6PE」の対応が進められたのも2003年頃だ。2003年といえば、米国国防省(DoD)がIPv6採用を発表し、各社が本格的にIPv6への対応を進めはじめた時期である。

シスコのIPv6への取り組み

 大規模エンタープライズ向けのCatalyst6500やサービスプロバイダー向けのルーターに続き、エンタープライズ向けのCatalystスイッチでもIPv6対応を進めた。L3スイッチの場合、転送処理はASICベースなので、ハードウェアでのIPv6対応が必須になる。「ASICで最初にサポートしたのが2004年のCatalyst 3750で、その後は随時対応機種を増やしました」(土屋氏)とのこと。こうして見てみると、2004年頃には基盤となるルーターやスイッチで、IPv6のハードウェア転送まで可能になっていた訳だ。

 こうしたシスコのIPv6対応でポイントとなるのが、「投資の保護」だという。シスコ テクニカルデベロップメントの水谷雄彦氏は、「2001年以降はハードウェア対応を進めましたが、もちろん既存の機種も数多く実運用されています。こうした場合でもトンネリングを用いれば、既存のIPv4インフラのままでも、ソフトウェアでIPv6を扱えます。そして、次のインフラ更新の際に、ハードウェア対応の機種に買い換えていただければよいわけです」(水谷氏)と、IPv4とIPv6の併存やマイグレーションのしやすさを強調する。ライセンスに関しても、IPv6が標準で利用できるライセンスとなっている製品が多くなっている。

シスコシステムズ テクニカルデベロップメント プロダクトマネジメント プロダクトマネージャ 水谷雄彦氏

マネジメントは?DHCPやACLは?

 管理やセキュリティ、冗長化などのプロトコルもIPv6対応を進めた。「シスコの場合、お客様の環境に影響を与えないようにという発想でIPv6対応を進めていたので、トンネリングとか、6PEのようなニーズの高いものを先に対応し、2005年頃からやSNMP、Syslogへのサポートを進めました」(土屋氏)という優先順位で進めていったという。

 端末へのIPアドレスの配布だが、IPv6の場合、固定で割り当てる方法、DHCPで割り当てる方法のほか、RA(Router Advertise)でアドレスを自動構成してしまう方法もある。また、プロバイダー等から取得したプレフィックス(ネットワーク部)を受け取れるDHCP-PDも用意されている。シスコはすべてサポート済みで、実際の商用サービスでも導入されているという。

 また、機器や経路の冗長化プロトコルとしては、HSRPやGLBP、VRRPなどのプロトコルが早期からIPv6対応している。「RAでデフォルトルートを調べていけばよいので、2001年頃は『冗長化プロトコルは不要』という話もありましたが、実際は必要でした」(土屋氏)とのことで、いち早くサポート。最近ではIPv4/v6のいずれも使える「Universal VRRP」への対応も進んでいるという。

 フィルタリングを行なうACL(Access Control List)も、12.2からIPv6アドレスを記述できる。通常のフィルタリングだと、Implicit Deny(暗黙の拒否)ということでICMPなどはフィルタ対象になる。しかし、IPv6の場合、ICMPv6を用いてアドレス解決や重複などを行なうため、フィルタするとネットワークの利用に支障を来す可能性がある。そのため、シスコではデフォルトではICMPv6を通過させる設定になっているという。メモリ上で高速にフィルタリングするTCAMも利用できるが、「場合によっては長すぎるアドレスの共通部分を圧縮するといった設定も必要になる」(秋山氏)という。ここらへんはハードウェアのサポートなどで異なってくるため、導入時に確認すべき事項だという。

シスコシステムズ サービスプロバイダー システムエンジニアリング SPアーキテクチャ カスタマー ソリューション アーキテクト 秋山 繁氏

 セキュリティに関しては、ルーターやスイッチだけではなく、PIX FirewallなどでもIPv6対応を進めている。「Windows 7やVistaのように標準でIPv6が動いているOSの場合、勝手にトンネルを張りに行くような場合もあります。知らないうちにIPv6のバックドアが開けられてしまう可能性があるので、ポリシーをきちんと考え直さないといけません」(水谷氏)という意見。これに対してはACLを拡張し、最近ではトンネリングまで検知できるFlex Packet Matchingや、フィルタリングやQoSを前提に、プロトコル番号に依存しないアプリケーション識別を実現するNBAR (Network-Based Application Recognition)なども用意されている。

扱い方はIPv4と同じだが……

 現状ではデータセンターやモバイル、ワイヤレス、ブロードバンドなどのIPv6ソリューションを拡充しているほか、UCや個人用アプリケーションのIPv6対応を進めている。上位のレイヤにまでIPv6対応が移ってきているわけだ。また、このような充実したIPv6対応が絵に描いた餅にならないよう、開発部隊やテスティングの部隊が、実ネットワークでの検証を逐一行なっているという。検証したうえでベストプラクティスとなった構成は、「Cisco Validated Design」として公開している。

ハードウェアでのIPv6対応からアプリケーションまで

 歴史が長い分、国内でも導入実績も多く、「すでに多くのサービスプロバイダー様がデュアルスタック、トンネルで運用しています」(水谷氏)とのこと。バックボーン部分ではかなりIPv6化が実現されており、やはり課題は顧客側の機器(CPE)でのIPv6対応になりそうだ。

 認定試験に関してもCCNA、CCNP、CCIEまでIPv6関連項目が含まれている。操作方法は基本的にIPv4と同じで、「IPv4が最優先なので、IPv6は明示する必要がありますが、コマンド体系はACL等含めてほとんど同じです。ただ、128ビットなのでルーティングテーブルの見え方が違うとか、インターフェイスにいくつもアドレスが割り当てられたり、戸惑う部分もあります」(土屋氏)とのこと。エンドユーザーは設定不要というプラグ&プレイはIPv6の特徴でもあるが、「エンジニアは16進法から慣れてもらって、多少なりアドレスを直接扱う必要があるでしょうね」(土屋氏)ということで、128ビットのアドレスはやはり避けられないようだ。

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード