IPv6と向き合う楽天
■はじめに
楽天株式会社でネットワークエンジニアをしております、黒河内と申します。主に楽天市場やInfoseekのネットワークの設計、構築、運用を担当しております。今回はIPv6に対して楽天、というか自分がどう考えているのかを記します。
■導入
世の中では、IPv6への対応をどうするべきかについて議論になっております。
弊社がIPv6とどう向き合う(べき)かに関して、個人的な意見を述べさせていただきます。
いま、ISP、CATV、キャリアは“IPv6<=>IPv4”“CGN,LGN,DS-Lite,A+P”など大きく動いております。
わたしは、アプリケーションを提供する会社もこの動向を見ていく必要があると思います。他のアプリケーション会社の関係者の皆さまからお話を聞かせていただくと、さまざまなご意見がございまして、ネットワーク担当者としてはとても面白い時代を実感しています。トラフィックを運ぶのがキャリア/ISPと呼ばれる会社の役目であるため、アプリケーション屋さんがコストを払ってIPv6対応するのはおかしいという議論もありました。
しかしわたしは違います。
そう考える理由として、今回は主にCGN,LGNのNAT機能の部分について記載したいと思います。
■楽天はどうするか?
楽天という会社は、コンテンツをお客さまに見ていただかないと成り立たない会社です。そのために我々は100%稼動を目標としているインフラを構築し、運用しております。
そもそも、インターネットはメッシュ型に網が張られております。特にIPv4とのReachを残すということで“CGN,LGN”などが提案されております。しかし、わたしは“本当に世界中のすべてのアクセス元がIPv6=>IPv4に変換してくれるのか?”という疑問は持たざるをえません。
国内では議論が盛んなため心配はしておりませんが、楽天の事業もグローバル化が進んでいるので、個人的には海外キャリアの動向は非常に気になります。そのため受け取るだけでなく、IPv6の経路を取りに行く努力も必要だと思っております。
楽天がIPv4でサービスを続けることで、「ある日気がついたらTrafficが少しずつ減っていて……、IPv6のアクセスがライバル会社に奪われていた」となっては会社の存続にかかわる問題ですから。
■NATの場合は攻撃が恐い
IPv4の場合は比較的家庭内でNATしているケースが多いため、仮に特定IPから攻撃が発生した場合、IPベースで防御しても被害が少ないケースが多いです。
ただ、設定内容にもよるがCGN/LGNなどの場合は、網の上位側でNATされるケースになると予測されるため、1IP辺りの利用者が多くなります。そのため、そのIPアドレスをアクセス停止した際のインパクトは大きいでしょう。“Address Plus Port”が標準化された場合は、そのインパクトはさらに大きくなるでしょう。
SourcePortは動的に動くだろうし、恐らくネットワークレイヤーで停止することのリスクは高くなると思われます。
IPv6ネイティブで受けていれば、IPアドレスは特定できるため、IPレイヤーでの停止を実施してもリスクは低いと思われます。
■“見えない”がないようにするため
IPv6への移行にあたり、何がボトルネックになってようが、お客様にとっては「見えない」ことには変わりないと思います。
正直、CGN/LGNからアクセスを受けることはリスクが高いと思っております。上記に記載した攻撃だけでなく、コンテンツもリッチ化しているため、プロトコルの捻じ曲げはお客さまに何かしらの弊害をもたらすリスクがあると感じます。
やはりIPv6のアクセスはIPv6で受けたい、というのがわたしの所感です。
弊社のようなサービス提供事業者が、IPv6への対応を考える時には、社内のアプリケーション屋とインフラ側が「IPv6 に対応することで、サービスがより良くなる」という価値感を共に持ちつつサービスを作る必要があると思っております。