アカウント名:
パスワード:
IPv6で構築する非技術的な初期コストもでかいです。一般的なユーザ企業の場合、IPv4の場合には一般にファイアウォール内側はプライベートアドレス、外側のバリアセグメントはISPからもらった少数のグローバルアドレス、という設計をすることが多いと思いますが、IPv6の場合にはプライベートアドレスというものはないため、ファイアウォール内側もグローバルなIPアドレスをつけざるを得ません。しかしこれらの社内網をISPから割り当てを受けるアドレスで構築してしまうと、そのISPにロックインされてしまい、ISPの移行が容易ならざるものになってしまいます。よってRIRから独自にグローバルアドレスブロックの割り当てを受け、それを使って社内ネットワークを構築、またISPにその所有するグローバルアドレスの経路広告をしてもらう必要が出てきます。ルーティング設計やRIRへの申請など、基本的にはISP側に業務代行を依頼することになるのでしょうけれど、IPv4インターネットでは全く関知しなくてよかった部分についても関知・決定していく必要があるでしょう。
#と、ココまで書いて調べ直したがひょっとしてRFC4193の「一意なローカルアドレス」で解決できる…のか?#でも組織間接続やるときに問題になりそうだな…
ULAは一応ランダム割り当てなどでかぶる可能性が最小になるよう配慮されていますが、ULAを使うくらいなら、IPv6 PIアドレスを割り当ててもらったほうがいいでしょう。IPv4でもクラスAやBが気前よくばらまかれていた時代にはみんなやってたことです。
IPv6対応するコスト>v4アドレスを購入するコストである以上、企業としては買う方に回るでしょうね。
市場に出回るv4が枯渇してきて、値段が上がった時がv6移行のタイミングでしょうね…。
なに、ISPがIPv6対応しちゃえば企業としてはデュアルスタックにしたほうが楽だと思いますよ。徐々に社内システムを変えていけばいいし。
組織自体で、対外接続にIPv6を入れると、運用方法自体を見直さないといけないから、大変だと思うんですよ。例えば、事前に連絡のあったアドレスだけ外部と通信出来るようにFirewallに登録する、とかやってる組織だと、EUI64+DADだけでも大変なのに、Privacy Address Extensionとか考えはじめると、ポリシーの変更は小手先では無理ではないかなぁ、と。
EUI64+DADだけでも大変なのに
ここがどうして大変なのかさっぱりわからない。IPv6にを追加すると何かを変える必要があることは否定しないが、簡単に乗っ取れる以上「IPアドレスでアクセス制御」ての自体が悪い設計だよ。
そうだね。IPv6に移行すればこの世から設計の腐ったネットワークもそれを押し付けてくる上司も1つ残らずきれいさっぱり消えてなくなるよね。# IPv6死んじゃってこの期に及んでもまだ現実見ないんだね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
コスト的に (スコア:1, 興味深い)
である以上、企業としては買う方に回るでしょうね。
市場に出回るv4が枯渇してきて、値段が上がった時が
v6移行のタイミングでしょうね…。
Re:コスト的に (スコア:1, 興味深い)
IPv6で構築する非技術的な初期コストもでかいです。
一般的なユーザ企業の場合、IPv4の場合には一般にファイアウォール内側はプライベートアドレス、
外側のバリアセグメントはISPからもらった少数のグローバルアドレス、
という設計をすることが多いと思いますが、
IPv6の場合にはプライベートアドレスというものはないため、
ファイアウォール内側もグローバルなIPアドレスをつけざるを得ません。
しかしこれらの社内網をISPから割り当てを受けるアドレスで構築してしまうと、
そのISPにロックインされてしまい、ISPの移行が容易ならざるものになってしまいます。
よってRIRから独自にグローバルアドレスブロックの割り当てを受け、それを使って社内ネットワークを構築、
またISPにその所有するグローバルアドレスの経路広告をしてもらう必要が出てきます。
ルーティング設計やRIRへの申請など、基本的にはISP側に業務代行を依頼することになるのでしょうけれど、
IPv4インターネットでは全く関知しなくてよかった部分についても関知・決定していく必要があるでしょう。
#と、ココまで書いて調べ直したがひょっとしてRFC4193の「一意なローカルアドレス」で解決できる…のか?
#でも組織間接続やるときに問題になりそうだな…
Re: (スコア:0)
ULAは一応ランダム割り当てなどでかぶる可能性が最小になるよう配慮されていますが、ULAを使うくらいなら、IPv6 PIアドレスを割り当ててもらったほうがいいでしょう。
IPv4でもクラスAやBが気前よくばらまかれていた時代にはみんなやってたことです。
Re: (スコア:0)
Re: (スコア:0)
IPv6対応するコスト>v4アドレスを購入するコスト
である以上、企業としては買う方に回るでしょうね。
市場に出回るv4が枯渇してきて、値段が上がった時が
v6移行のタイミングでしょうね…。
なに、ISPがIPv6対応しちゃえば企業としては
デュアルスタックにしたほうが楽だと思いますよ。
徐々に社内システムを変えていけばいいし。
Re:コスト的に (スコア:2, 興味深い)
組織自体で、対外接続にIPv6を入れると、運用方法自体を見直さないといけないから、大変だと思うんですよ。
例えば、事前に連絡のあったアドレスだけ外部と通信出来るようにFirewallに登録する、とかやってる組織だと、EUI64+DADだけでも大変なのに、Privacy Address Extensionとか考えはじめると、ポリシーの変更は小手先では無理ではないかなぁ、と。
Re:コスト的に (スコア:1)
ここがどうして大変なのかさっぱりわからない。IPv6にを追加すると何かを変える必要があることは否定しないが、簡単に乗っ取れる以上「IPアドレスでアクセス制御」ての自体が悪い設計だよ。
Re: (スコア:0)
そうだね。IPv6に移行すればこの世から設計の腐ったネットワークもそれを押し付けてくる上司も1つ残らずきれいさっぱり消えてなくなるよね。
# IPv6死んじゃってこの期に及んでもまだ現実見ないんだね。
Re: (スコア:0)
機器認証したければ、arpやIPMP/ICMPv6を阻害して、認証済みMACアドレス以外通信できなくするアプリケーションもある。
特定の方法にこだわり過ぎだと思う。