今年のInterop ShowNetで使われているのはRoCEのv2です。 RoCEv1とRoCEv2の大きな違いは、RoCEv1がイーサネットフレーム上に直接RDMAトランスポートを載せるのに対し、RoCEv2はUDP/IP上にカプセル化される点です。 RoCEv1はEtherType0x8915を使用し、同一のイーサネットブロードキャストドメイン内で利用されます。 一方、RoCEv2はUDP/IP上で動作するため、ルータを越えた通信が可能です。

ShowNet 2026のDCエリアに、GPUサーバ群が運用されています。 ShowNetのDCエリア内のGPUサーバと、NTTドコモビジネスが運用しているGPU Over APN Testbed(GoAT)にあるGPUサーバがRoCEv2で繋がっています。 GoATは、札幌、三鷹、横浜、福岡にデータセンターがあり、ShowNetとGoAT間のexternal部分ではIOWNが使われています。 ShowNet内でのバックボーンでは、SRv6を使ってRoCEv2トラフィックが流れるようになっています。

RoCEv2で繋げたGPUサーバ群の上では、OpenShiftのコンテナが稼働しており、そこで分散推論サーバが立てられています。

ShowNetデモとして、RoCEやSRv6のヘッダを持つトラフィックが流れていることを観測することで、RoCE v2によるRDMA通信が行われていることが確認されていました。

ShowNetのDCエリア内部でもRoCEv2でサーバ同士を繋げています。 DCエリア内部では、800Gスイッチで構成されたSpine/Leafネットワーク上で、RDMA通信を行っているとのことでした。

高速なだけではなく多ポートであるというのは去年までは目にしなかったので、去年と比べると「急に出てきた」という感想です。 「あー、これがAIによるトレンドなんだなぁ」という感想でもあります。

1.6T 64ポート

HP QFX5250-64OE-L (D6ラック)

800G 64ポート

nexus 9164E-MS4 (D3ラック)

HP QFX5240-64OD (D3ラック)

華為 xh9320-64EO (D3ラック)

400G 64ポート

1Finity s9321-64E (D3ラック)

バックボーンの中心部は昨年同様に、IS-ISとリンクローカルIPv6アドレスによるIGPとSRv6です。 その他、OSPFv3とリンクローカルIPv6アドレスによるIGPによる運用も行われています。

エッジ側に対してVXLANを使っているのは昨年と同様ですが、去年はVXLANがover IPv4だったのに対して、今年はover IPv6であるという違いがあります。

マネージメント用にIPv4が残ってはいますが、通常運用部分という視点では「バックボーンは全部IPv6」というのはShowNet初です。

RoCE v2

RoCE v2をSRv6の上で通して行うというのも、今年のShowNetでの注目企画のひとつです。 RoCE v2に関しては、別途記事を書きます。

800Gがバックボーンイーサに

今年は「800Gバックボーン」と表現されています。 バックボーンの中央三角形は800GのZR+によって運用されています。

また、ラストワンマイルのアクセス回線に100Gというのも実は去年との大きな違いかも知れません。 今年のアクセススイッチは、アップリンクが100GでダウンリンクがRJ45という機器が多く使われています。 RJ45と言っても、1Gや10Gという能力があるというのが時代ですね。

k8s基盤が真ん中に

去年から、DHCPとDNSのサービスがShowNetバックボーンの中央で運用されるようになりました。 去年はベアメタル3台でひとつのk8sクラスタを構成していましたが、今年は3台のサーバに仮想マシンを2台ずつ作り、3台の仮想マシンずつ合計2セットのk8sクラスタを構成しています。

サービスエリア(トポロジ図的にはsvcエリア)ではなく、中央にDHCPやDNSなどのネットワークサービスを運用するようになった理由としては、k8s上で直接SRv6のトラフィックを受け取り、それを脱カプセル化してコンテナ内のDHCPやDNSサービスに渡すことによる軽量化が可能になるからとのことでした。

ShowNetでは、SRv6はバックボーン部分でのみ対応となっており、svcエリア内部までSRv6が到達しているわけではありません。 ShowNetバックボーンはキャリアのような扱いで、ShowNet内の各エリアはカスタマーエッジのような扱いであり、カスタマーエッジ側ではSRv6対応のない機器もあるという想定です。

出展社向けにネットワークを増減させる度に、SRv6対応していないsvcエリア等に向けてVRFを切り貼りするよりも、SRv6対応している部分にDHCPやDNSなどのサービス提供を持ってきた方が柔軟に対応しやすいということで、去年同様にこの構成になっているようです。

NOCの方々の感想としては「水冷は静か」とか、「水冷の方がOSFPが熱くない」といったものが聞かれました。 静かさの表現としては「スイッチを入れて、本当に起動しているのか不安になるレベル」とのことでした。 空冷のためのファンが回らないので、耳を近づけても、水冷の機器からは音はしてないように感じました(近くにある他の機器のファンの音はしていましたが)。

CDU(Coolant Distribution Unit)

ShowNetのNOCブースD3、D4、D5で水冷に関連する展示が行われています。

ShowNetで運用されているCDU(Coolant Distribution Unit/冷却液分配ユニット)は、NidecとDeltaの2種類です。

D4とD6ラックの一番下に、NidecのCDUが設置されています。 D4ラック側のCDUでは純水が冷却液として使われ、D6ラック側のCDUではPG25が使われています。

Nidec CDUは別途温水を冷却するチラー(chiller)が必要なのですが、チラーはNOCのバックヤードに設置されていました。 温められた水が床下を通って、NOC裏側の壁近くに置いてあるチラーまで送られ、冷却された水が床下を通ってD4とD6ラックに戻っていくという形になっていました。 CDUとチラーの間は純水が冷却液として使われています。

チラーは来場者が観察できる場所には公開されていなかったのですが、せっかくなので許可を取ってチラーの写真も撮影してきました。

D5ラックの一番下に設置されているのがDelta CDUですが、こちらはチラー機能が搭載されている一体型なので、外部のチラーを使っていません。 冷却液はPG25が使われています。

冷却液の配管

D6ラックでは、冷却液の配管でUQDB(Universal Quick Disconnect Blind-Mate)が使われています。 D6ラックの後ろ側の左右に分かれて、冷水が機器に流れ込む部分と、逆に温水が機器から排出する部分としてUQDBのコネクタがあります。

1.6Tスイッチのマウントは、ラックのUQDBコネクタに向かって差し込む形で行われました。 何度かスイッチをラックから抜き差ししたようですが、水漏れはなかったとのことでした。

D4とD5は、CDUと機器間の配管をホースで繋げる形になっています。

Nidec CDU画面

CDUの画面を撮影しました。

D4、D5、D6ラック

D4、D5、D6ラックの内容を紹介します。

D4

D4ラックでは、Nidec CDUがLenovo Neptuneを冷やしています。

D5

PFNによるAIアクセラレータMN-Core2ボードが8枚搭載された機器をDelta CDUが冷やしています。

D6

1.6Tイーサネットのデモが行われています。 HP QFX5250に、1.6TbpsイーサネットのOSFPが搭載されています。 OSFPは水冷対応のRHS(Riding Heat Sink)による冷却方式です。

水が流れる要素を見せる工夫

D4ラックの裏側にある水冷システム側では、水が流れていることをわかりやすくするための「工夫」がされていました。

本来であれば気泡は入れないのですが、今回は気泡を入れることで、あえて水流を視覚的に見せているとのことでした。 実際に見える位置からは少し距離が離れているので分かりにくいかも知れませんが、よーく見ると2箇所に気泡が入っていることが観測可能だと思います。

オーバーレイネットワーク

バックボーンネットワークでは、SRv6のuSIDを使ってオーバーレイネットワークを構成しています。 バックボーンをまたぐ通信は、SRv6のL3 VPNファンクションで運んでいます。

EVPN-VXLAN type 5で出展社に対してネットワークサービスを提供しています。

アンダーレイネットワーク

オーバーレイでネットワークを構成することにより、アンダーレイはシンプルにできています。

まず、図にある青の点線で囲われた1の部分です。 それぞれのcoreルータは、IPv6のリンクローカルアドレスのみ（マネージメント用のアドレス除く）で、IS-ISによるルーティングが行われています。 1の部分では、uSIDによるSRv6も利用されています。

2の部分は、OSPFv2によるIPv4 onlyのネットワークです。 出展社に対するVXLAN Type 5でのネットワーク接続サービスを提供するためのアンダーレイネットワークとしてOSPFv2が利用されています。

DCエリアのうち3の部分は、プライベートAS番号を利用したeBGPでのルーティングが行われています。

DCエリアのうち4の部分は、Juniper Apstraによって自動化されていますが、ルーティングとしてはプライベートAS番号を利用したeBGPが行われています。

ShowNet内部のMedia over IP関連ネットワークでは、OSPFv2によるIPv4 onlyネットワークを利用して、PIM-SMによるマルチキャストルーティングが行われています。

トポロジ図の該当部分を拡大するとこんな感じです。

この箇所は、Leaf spineの構成でファブリックを作っています。 スイッチ間は、400Gと800Gです。

多少分かりにくいかもしれませんが、Leafのスイッチから全て400G FR4で、dc808に繋がっています。 そして、dc808の先が色々なテスターに繋がっています。 このような形で、今回の構成では、テスターで400Gや800GのトラフィックをDCのネットワークスイッチに負荷をかけて試験ができる環境が構築されていました。

そこで、どういう試験をしていたか？ですが、AI向けのネットワークでの用途で注目されているRoCE(RDMA(Remote Direct Memory Access) over Converged Ethernet) v2のDCQCN(Data Center Quantized Congestion Notification)とDLB(Dynamic Load Balancing)がうまく動くかを調べていたとのことでした。

DCQCNは、ECN(Explict Congestion Notification)やPFC(Priority Flow Control)を利用する輻輳制御アルゴリズムです。 AI向けの通信では、輻輳が発生すると、correctiveな通信を行うための再送が発生してしまい、計算した内容を同期する通信がやり直しになることでパフォーマンスが大きく落ちてしまうという課題があります。 そのため、できるだけ再送が発生しないように、ロスレスな通信が求められます。 PFCによるフロー制御技術と、ECNによって輻輳が起きたことを通知する技術は、そういった目的で利用されます。

DLBは、その名の通り、ロードバランシングを行う技術です。 今回の構成では、LeafからSpineに400Gの足が2本出ていますが、DLBによって、その2本に対してフローを分散させています。 CiscoとJuniperの機器が混ざった形でフロー制御を行いましたが、今回の検証によって、問題なく運用できることが確認できたとのことでした。

輻輳制御やフロー制御の動作確認をするためには、それなりの負荷をかける必要があります。 スイッチ間が400Gや800Gで接続されているネットワークで輻輳制御が発生するようなトラフィックを発生させるには、それなりのトラフィックを発生させる必要がありますが、今回の検証では、テスターによってDCQCNとDLBが活かされるような規模でのトラフィックを発生させていました。 そのうえで、それらが正しく動いていることが確認できたのが検証の成果だったとのことでした。

今年の .dc ではUltra Ethernet Transportの相互接続検証も行いました。 Ultra Ethernetは、AIやHPCで求められる膨大なデータを高速かつ効率的にやり取りするために設計された新しいネットワーク技術であり、今回のShowNetでは、UltraEthernet Transportの転送試験や機能試験、RoCEv2 との共存試験などを行い問題なく通信可能であることを確認することができました。

余談

Interop Tokyo 2025とは直接関係ないのですが、Interop Tokyo 2025会期中にUltra EthernetコンソーシアムによってUltra Ethernet仕様1.0が発表されていました。 このことからも、Ultra Ethernetに関連するShowNet 2025での実験は非常にタイムリーなものであると言えそうです。

• Ultra Ethernet Consortium (UEC) Launches Specification 1.0 Transforming Ethernet for AI and HPC at Scale

せっかくなので、スタンプラリーをやってシールをゲットしました。

スタンプラリーでまわるブースは以下の通りです。

• 7F25 神奈川工科大学
• 6A04 BBIX
• 5U20 古河電気工業
• 4G32 情報処理推進機構

最初、地図を持たずに該当ホールに行ってフラフラしてみたのですが、ブースを探すのに少し苦労した箇所もあったので、スタンプラリーでまわるブースにマークをつけたフロアマップを作ってみました。

「ソフトウェアルータの神話」と書いてあるTシャツが飾ってありましたが、これはスタンプラリーの景品ではないようです。

雑談の内容に近いのですが、記事としては「これからの高速化技術について」というお話をうかがいました、という体裁で文章化しています。 昔のBSDマガジンにあった秋葉原の焼肉屋談義の記事みたいな、そんなノリを目指してみました。

Q: 2010年のInterop Tokyoで「世界初の100GbE運用」という記事を書いてたんですが、その後、100ギガはそこまで普及せず、100ギガの普及がゆっくりだったので40Gが出てきたりという印象があります。しかし、数年前に400Gが登場してから、ふと気がつけば800Gが出てきて、今年のinteropでは800Gbps対応の製品も多く展示されています。 さらに、1.6テラの仕様が議論されたりと、ここ数年で急に加速しているように思えます。

400Gまでは、利用や運用について、従来の延長でした。 しかし、800Gは、従来の400Gまでと異なり、単なる高速化技術の新しい更新ではないと感じています。

それは、AIクラスターという新しい市場に対応するためです。従来のインターネットのインフラはユーザーの増加とコンテンツの大容量化に伴っての帯域増に対応するものです。 ビジネス用のクラウドサービスが一般的になりこれはこれで急激にはのびてはいますが、いきなり何倍にはなりません。

しかし、AIクラスターはGPUとGPUつまりコンピュータ間の通信です。GPUの性能に合わせて帯域も増えないと高速化したGPUの性能を殺してしまいます。その為に、800Gを超える製品が要求されているのです。 その為に、Interopでの各社の800G製品のメッセージも単に400Gより高速というのではなくAIクラスターに対応した新たな付加機能等をアピールしていると思われます。

たとえば、RoCEによるロスレス機能であったり、マルチパスの分散などの付加価値機能に着目すると、800Gの価値が理解できると思います。

Q: AIに関連した顧客を対象とした製品があるとのことですが、AI対応をしている通信機器という視点での従来との違いは何ですか？

伝送技術は同じなんです。

しかし、先ほど紹介したような付加機能を取り込んだ、ウルトライーサネットという仕様が注目されています。これにより、各社独自だった付加機能が標準化され、来年のShowNetでのInteroperabilityのテーマになりそうです。

Q: ウルトライーサネットって何ですか？

ウルトライーサネットは、従来のイーサネットにAI対応の付加機能を追加したものです。

UEC(Ultra Ethernet Consortium)で標準化されています。IEEEでも議論されています。

ウルトライーサネットの特徴ですが、イーサネットとフレーム構造は同じ、アドレス体系も同じです。フロー制御とAPIを大きく変更しています。

ウルトライーサネットの話とは、少しずれますが、NVLinkという技術もウルトライーサネットと並行して注目されています。

Infinibandの次世代版とも言えるようなNVLinkというNVIDIA独自のGPU間接続の仕様です。ただ、GPUカードを接続する古い技術にも、同じ「NVLink」というキーワードを使っているため、注意が必要です。NVLink 5.0では、独自のフレーム構造とアドレス体系で、200G bps per laneが実装されています。GPUあたり通常2lane割り当てます。

NVLinkに対抗して、AMD主導のUALinkもあります。

Q: さらに具体的な質問になりますが、800GでのAI対応という視点では、何が違いますか？

トランシーバー屋視点ですが、以下が、AIクラスター用の800Gイーサネットが従来と異なる点です。

• 500m以下の接続であるため、パラレファイバー(SMF MPO-12)に比較的寛容。基本的には、single laneでLC-DUPで配線できるのが理想です。しかし、4 lane MPO-12(4ch)までは許容されているように思う。実際に400G DR4は多く採用されている。同じケーブルを使うなら800G DR4
• 実装密度が高い為消費電力と放熱に対する要求は厳しい
• LANE速度が事実上の独占であるNVIDIA GPUの実装に引きずられる
• パッケージ形状がNVIDIAの独自仕様に引きずられる(OSFP-RHS)
• 8x100G(DR8)の実装は無い。4x200G、2x400Gがありうる
• 遅延を嫌うためコヒーレント等の高度な変調方式を嫌う
• AOCも歓迎される

Q: 8x100Gの実装がない理由はなんですか？

800G DR8になるとMPO-16(8ch)になり、lane速度は400G DR4と同じであり、スイッチ側の容量も変わらない為システム全体での帯域アップになりません。

800G FR4は伝送特性が不利なCWDM4 gridでも500mなら問題ないと思われます。 FR8はlane速度が低くても無理です。LAN WDMはcooled(温度補償)レーザーが必要になるため実装密度と消費電力の点で難しいです。

Q: 1.6Tbpsなど、さらなる高速化の展望はどうでしょう？

純粋なトランシーバだけの視点でありますが。

LPOになれば、実はトランシーバーはLANE速度はあまり関係ありません。400G per laneだっていけるんじゃないか？と思います。

つまり、8x800GbpsまではLPOならいけるかもしれません。8x800ですから、合計で6.4T DR8 LPOは作れるかもと考えています。ただ、50mしか届かないカモ。。。

より現実的な線では、2x800G DR4 OSFPはCY26には登場するのではないかと推測しています。

Q: ありがとうございます！

森川さんのブースは、7S11　WaveSplitter Japanです。

去年(2024年)のShowNetでは、マネージメントセグメントはひとつの巨大なL2セグメントでした。 今年も去年同様に、マネージメント用のセグメントはフラットなL2として構築されていますが、グループごとに接続できるサービスが変わるというマイクロセグメンテーションが行われています。

マネージメントセグメントでのマイクロセグメンテーションは、VXLAN Group Policy Option(draft-smith-vxlan-group-policy-05)を利用した設定が行われています。 マネージメントセグメントに関連する通信機器で、Group Policy IDに応じたフィルタが設定されています。

Group Policy IDに関連する設定は、ShowNetのTTDB(Trouble Ticket Database)で管理されています。 ShowNetのTTDBは、昔はShowNetに関連するトラブル等に関連して、対応を行うスタッフは誰なのかや、どのような対応が行われたのかなどを管理するためのイントラWebシステムでした。 いまでは、ShowNetの構築やサービス提供に必要な多くの情報がまとまったシステムになっています。

TTDBに登録されたGroup Policy IDに関連した情報は、Juniper Mistにコピーされ、ShowNet内の各種機器へと設定が反映されます。 具体的には、固定IPアドレスが設定されたサービス関連機器はIPアドレスによるフィルタ、管理者等が利用する機器はMACアドレスによるフィルタが設定されています。

これにより、マネージメントセグメントは、ひとつの巨大なL2セグメントでありつつも、マイクロセグメンテーションが行われた運用になっています。

1. 1.6Tbpsトランスポンダ(TPND)

総容量が1.6Tbpsのトランスポンダが展示されています。

2. 800G-ZR+

去年は、400Gが展示されていましたが、今年は400Gに加えて800Gも展示されています。

3. 小型ROADM

今年のShowNetでも、複数の波長を多重化するROADM(Reconfigurable Optical Add-Drop Multiplexer)装置が展示されています。 これまで展示されるROADM装置は大きいものが多かったのですが、今年は小型の装置が並んでいます。

みどころ1,2,3の全体像

みどころ1、2、3のそれぞれの関係は、以下の図のようになっています。

局舎やデータセンター内での短距離通信を行うための規格では、100kmや1000kmといった離れた拠点との接続は行えません。 そこで、短距離通信の規格を長距離通信の規格へと変換するのがトランスポンダです。

2の800G-ZR+は、800Gで長距離伝送を行うための規格です。 今回のShowNetで展示されるのは、トランスポンダを必要とせず、ネットワーク機器に直接繋げて利用できる800Gプラガブルオプティクス(800G-ZR+)です。

1のトランスポンダや、2の800Gプラガブルオプティクスを利用して長距離の通信を行うことはできますが、ひとつの光ファイバでひとつの光信号だけで利用するよりも、複数の光信号をひとつの光ファイバを利用した方がコスト削減になります。 ひとつの光ファイバに、複数の光信号を詰めることができるのがWDM(Wavelength Division Multiplexing)です。 ROADMは、WDMの能力に加えて、特定の波長を選択してAddやDropできるというものです。

長距離伝送が行える光信号をROADM装置経由で遠隔地まで伝送することで、ひとつの光ファイバに複数の光信号をたばねることができます。

ShowNet 2025では、トランスポンダからの光信号と、800Gプラガブルオプティクスからの光信号をたばねて、POP同士を接続しています。

NOC 4ラック

小型ROADMは、NOCの4番ラックにまとめられています。

NOC 4ラックは、3キャリアを模したネットワークになっています。 NOC 4ラックの内部は、離れた3カ所で運用されつつリングを構成する接続を提供していることを模して相互に接続されています。 上から、POP #1、POP #2、POP #3とされていますが、それぞれのPOPは別々の場所で運用されているもとして心の目で見てください。

まずは、ShowNetのLLM Chatbotがどのように使えるのかの動画をご覧ください。

このChatbotは、昨年(2024年)のShowNetの機器のconfigと今年の設計資料を検索し参照(RAG/Retrieval Augmented Generation、検索拡張生成)、幕張メッセ内で稼働するShowNetの機器にAIが直接アクセスしてCLIを操作、ShowNetで運用されているTTDB(Trouble Ticket Database)のチケット情報を参照する機能が実装されています。 また、ShowNet 2025におけるバックボーンのルータ間の接続関係をある程度把握しており、必要に応じてその情報を利用できるように設定されています。

ShowNet 2025のLLM Chatbotは、以下の図のような構成です。

ユーザからの入力を受け付けるのがChatbot web serverです。 このChatbot web serverは、chainlitというossソフトウェアが使われています。 Chatbot web serverは、受け付けた質問をAzure OpenAI Serviceへと送信します。 Azure OpenAI Serviceで利用されているLLM ModelはGPT-4.1です。

Azure OpenAI ServiceのVector DBには、今年のShowNetに関する設計資料や、過去の機器configurationが保存してあり、GPT-4.1は必要に応じてVector DBを利用します。 質問の内容によっては、GPT-4.1がShowNet機器の設定や、TTDBに含まれる情報を参照します。

ShowNet内の情報を参照するための機能は、MCP(Model Context Protocol)を利用して行われます。 MCPでは、モデルが何らかの操作や情報取得を行えるような拡張を行うためにToolsと呼ばれる関数を追加できるようになっています。 今回は、ShowNet内の機器に対してCLIを叩くためのToolsと、TTDBから情報を取得するToolsが作られました。 ShowNet内の機器から情報を取得するnetmiko serverは、ossとして公開されています(https://github.com/upa/mcp-netmiko-server)。 mcp-netmiko-serverは、sshでネットワーク機器に対してコマンドを実行できるPythonのnetmikoライブラリを利用しています。

どのようなコマンドをネットワーク機器に対して送るのかに関しては、GPT-4.1が独自に判断しています。 今回、機器ごとにどのようなコマンドが存在しているのかなどの情報を特別にGPT-4.1に渡しているわけではありません。 GPT-4.1が機器に応じて適切なコマンドを判断してMCPで送っている形です。 なお、ShowNet 2025では、ネットワーク機器の設定を変更するようなコマンドは実行できないようにしてあるため、CLIで実行されるコマンドは機器から情報を得るような内容のみにしてあるとのことでした。

この実験では、利用者が役に立ったのかどうかを評価するという仕組みになっています。 LLM Chatbotがネットワーク管理者にとってどのように使えるのかを、実際に作って、使って、評価するという実験です。 この実験の結果は、松江で7月に行われるJANOG56セッションで報告および議論されるそうなので、ご興味のある方は、ぜひJANOGのセッション(LLMでネットワーク構築運用支援実験@Interop Tokyo 2025 ShowNet)もご覧ください。

今回、鈴木教授によって発見＆報告されるまで、第三者によってgo.jpを含む名前空間が不正利用可能な状態で放置されていたようです。

• 総務省の Dangling (宙ぶらりんな) CNAME を保護した話
• (続) 総務省の Dangling (宙ぶらりんな) CNAME を保護した話
• “中央省庁の一部サイト 不正利用のおそれ” 指摘受け修正 | NHK
• 省庁ウェブサイトのドメイン管理不十分 5省庁に 厚労省なども | NHK
• 村上総務相“一部サイトにセキュリティー上の不備”再発防止へ | NHK
• 省庁のドメイン管理不備でガイドライン見直し検討 デジタル相 | NHK
• サービス終了後に残っているDNS設定を利用したサブドメインの乗っ取りについて - JPRS

今回のgo.jp不正利用問題の背景として、ドメイン名の永代供養に関する話題が注目されがちですが、それとは別に、共用DNSサーバが引き起こしている問題でもあるというのが個人的な感想です。 この記事では、そこら辺を含めて解説します。

概要

期間限定の用途でgo.jpのサブドメインを作成したものの、その用途が終わった時点で権威DNSサーバでの設定を削除していなかったことで危険な状態であったことが発見されました。

今回の問題は2種類あります。 ひとつはDNSにおけるゾーンの委任が適切に行われていないlame delegation、もうひとつがCNAMEが無効な参照先を示しているdangling recordsです。

lame delegationによる問題では、各省庁のためのgo.jpドメインのサブドメイン用NSレコードが、ホスティング事業者やクラウド事業者が運用するDNSサーバを指しているものの、参照先のDNSサーバでは該当するゾーン設定が削除されていたために発生しました。

dangling records(CNAME)の問題では、各省庁のためのgo.jpドメインを名前の一部に持つCNAMEレコードが指す先が宙ぶらりんな状態になっていて、その宙ぶらりんな状態となる先を第三者が設定できたというものでした。

これらは、期間限定の用途が行われている最中は、WebサービスやCDNサービスを利用するためにDNSサーバにおいてゾーンの設定が存在していたものと思われます。 各省庁のためのgo.jpドメインのための権威DNSサーバにおける設定が削除されずに放置され、いくつかの条件を満たした場合には、第三者が該当するgo.jpサブドメインを悪用することが可能な状態でした。(実際に悪用され、オンラインカジノサイトになっていた事例もあるようです)

共用DNSサービスの悪用について

今回の問題を発見した鈴木教授は、昔から共用DNSサービスの危険性に関して情報発信をしています。 たとえば、「DNSの浸透待ち」とネット上で公開することで乗っ取りが可能になる場合があるので、不用意にそういった発言を発信することが危険であるとも主張しています。

共用DNSサービスが抱えている様々な問題に関して詳しく知りたい方は、鈴木教授が2019年に公開された以下の資料をご覧ください。

• 黒塗りのDNS (萎縮編) - 共用サービスの闇 -
• 共用DNS権威サーバの脆弱性 黒塗りの DNS -論文編-

以下、鈴木教授の資料に含まれる情報をいくつか紹介します。

TLSサーバ証明書

鈴木教授は、TLSサーバ証明書の不正な取得に関しても指摘しています。

• DNS-01 チャレンジは tinydns (djbdns) が便利

HTTP-01チャレンジが最も使われていると思いますが、DNSを利用したDNS-01チャレンジというものもあります。(参考：Let's EncryptのDNS-01チャレンジ)

DNS-01チャレンジでは、_acme-challenge. という特殊な名前を利用しますが、一定の条件を満たしている場合に、共用DNSを利用して_acme-challengeのためのレコードを設定することで有効なサーバ証明書を取得できてしまいます。

Cookie

go.jpのサブドメインなので、上位ドメインのCookieを取得可能となる場合があることが考えられます。 たとえば、kyufukin.soumu.go.jp というサイトは、soumu.go.jp のサブドメインなので、kyufukin.soumu.go.jp を不正利用することで soumu.go.jp のためのCookieを不正に取得できる可能性が考えられます。

サブドメインはSameSiteと認識されるため、SameSite属性によるCSRF対策を回避可能という問題もあります。

電子メールの横取や偽メールの配送

共用DNSサーバを悪用することによって、電子メールの窃盗が可能になるという例も紹介されています。

クラウドやホスティングサービスでの共用DNSサーバにおいて不正な設定を行うことによって、そのクラウドやホスティングサービス内部でのメール配送時に、正規に委任されたツリーを辿らずに共用DNSサーバに設定されている情報を参照してしまう場合があるようです。

• 鈴木常彦先生の「共用レンタルサーバにおけるメールの窃盗」の話を聴講した - 徳丸浩の日記

今回の問題における2つの論点

この問題には、大きく分けて2つの論点があるというのが個人的な感想です。

• lame delegation、dangling CNAMEを放置した状態の問題
• 第三者が容易に不正使用が可能な環境が存在する状態

lame delegation、dangling CNAMEを放置した状態の問題

まず、省庁等の政府機関が運用するgo.jpドメインで、特定の用途でサブドメインを作っていた理由を推測してみます。 最初に話題となったkyufukin.soumu.go.jp.は、「新型コロナウイルス感染症緊急経済対策」の特別定額給付金(10万円給付)のためのサイトでした。

www.soumu.go.jp内部にコンテンツを置かず、別のサイトとして作った理由としては、たとえば、以下のような理由が考えられそうです(実際のところは知りません)。

• www.soumu.go.jpを運用する事業者と、10万円給付金のための一時的なサイトを作成および運用する事業者が異なった
• アクセス過多になる可能性があり、CDNを利用するためにサブドメインを作成した

たとえば、soumu.go.jpのゾーンを管理する事業者と、kyufukin.soumu.go.jpのサイトを運用する事業者が異なるとき、kyufukin.soumu.go.jpに関連するリソースレコードが放置されるような状況になりがちなのかも知れません。 このとき、soumu.go.jpのゾーンを管理する事業者、kyufukin.soumu.go.jpのサイト運用者、総務省担当者という3者が関わりますが、soumu.go.jpのゾーンを管理者は、kyufukin.soumu.go.jpに関して感知していないので、kyufukin.soumu.go.jpに関連するリソースレコードの追加や削除は、総務省担当者かkyufukin.soumu.go.jp運用者のどちらかからの依頼がないと行わないと思われます。

その一方で、kyufukin.soumu.go.jp運用者は、運用期間終了後には、自分が直接運用している事柄だけをクロージングしてしまい、soumu.go.jpゾーンの管理者に連絡しない可能性があります。 さらに、総務省担当者は、細かい技術的な話を把握しておらず、soumu.go.jpのゾーンに、不要なリソースレコードが放置されていることを知らない可能性が考えられます。 そういう状況だと、使命を終えた不要なリソースレコードが多数発生してしまうのではないかと妄想しました。

この他、たとえば総務省であれば総務省内の個別案件の担当者は、数年おきに異動するため、DNSに登録された個別のリソースレコードに関して異動時に引き継ぎから漏れると、そのまま残ってしまうという話もありそうだと思いました。

なお、これらの話は、単なる個人的な邪推および妄想なので、特に根拠はありません。ご注意ください。

第三者によるサブドメイン不正使用が可能な共用DNSが存在する状態

今回の問題は、共用DNS、クラウド、ホスティングなどのサービスを悪用すると不正利用が可能となる場合があるというのも、要素のひとつだというのが個人的な感想です。

まず、dangling CNAMEの問題ですが、CNAMEが指す先の名前に対応するものを第三者が横から取得すると不正利用が可能です。 方法としては、2種類の方法が考えられそうです。

ひとつめがCNAMEが指す先の名前と同じ名前が指定されたサーバを契約するという方法です。 今回、給付金のサイトは kyufukin.sakura.ne.jp でしたが、レンタルサーバなどのサービスを契約するときにホスト名として kyufukin という文字列を指定して kyufukin.sakura.ne.jp が割り当てられたのであれば、DNSを使わずに不正利用ができたのではないかと推測しています。

もうひとつが、今回の主題である共用DNSを利用する方法です。 共用DNSサービスは、さまざまなクラウドやホスティングのサービスで提供されています。

しかし、サービスによっては、自分が登録していないドメイン名も権威DNSサーバに追加できる場合があります。 逆の視点で説明すると、第三者がまったく無関係のドメイン名を登録し、その内容が共用DNSサーバから世界向けて配信されます。

なお、DNSサーバから、自分が登録したわけではない、まったく無関係のドメイン名に関連するリソースレコードを配信することそのものは、特に珍しい話でもありません。 自前でDNSサーバを運用したとしましょう。 そこで任意のドメイン名に関連するリソースレコードを配信することは誰でも可能です。 ただ、そのような場合では、ルートDNSからの委任のツリーから辿れるDNSサーバではないので、誰もそのDNSサーバを見てくれません。

共用DNSサーバの場合は、ルートDNSからの委任ツリーから辿れる正規の権威DNSサーバが共用DNSサーバになっている場合があるのがポイントです。 正規のNSレコードが、正規の権威DNSサーバとして共用DNSサーバを示しているわけです。 そして、その正規の権威DNSサーバに対して、第三者が横から不正なリソースレコードを突っ込めてしまいます。

正規の権威DNSサーバから、共用DNSに対してNSレコードが向けられているときに、その権威DNSサーバに対して何らかのリソースレコードが第三者から追加されてしまうことがあるわけです。

今回は、go.jpを含むサブドメインのNSレコードが、共用DNSサーバに向けられた状態でしたが、NSが指す先の共用DNSサーバ側ではゾーン設定が削除されていました。 共用DNSサーバで、正規の登録者によるゾーンに関連する設定が存在している場合は、それを第三者が上書きすることまでは基本的にはできないのですが、設定が存在しない場合は誰でもゾーンに関連する設定を行えるサービスもあることから、今回のように不正利用が可能な状態が発生します。(ただし、共用DNSサーバにおいて親子同居の場合は、正規の登録者によるゾーンに関連する設定が存在していたとしても、第三者が上書きすることができる場合があるので注意)

このようなことから、今回のような状況を発生させないためには、不要となったサブドメインのためのNSレコードを速やかに削除する必要があります。 また、共用DNS側では、ゾーンに関連する設定を削除するタイミングを考慮した方が良い場合もありそうです。 共用DNSサーバを指すNSレコードが削除されていない状態では共用DNS側での設定を残したり、NSレコードを削除した直後はNSレコードがキャッシュに残る可能性があるTTLを待ってから削除した方が良いかも知れません。

今後の対策？

今後は、使われなくなったにも関わらず権威DNSサーバに放置されてしまっているリソースレコードをの掃除をどうするかであったり、個々のリソースレコードがいつまで有効にすべきなのかを省庁内での担当者変更に対応できるように運用するガイドライン等の構築などが議論されていくのだろうと推測しています。

現時点において、政府機関等におけるドメイン管理に関連する内容を含むガイドラインがいくつかあります。 これらのガイドラインではlame delegationやdangling recordsのことが考慮されていないので、今回の件を受けて、これらの資料が更新されるのかも知れません。

• Webサイト等の整備及び廃止に係るドメイン管理ガイドライン(2018年)
• ドメイン管理ガイド(2.0版)
• 政府機関の情報セキュリティ対策のための統一基準(第 4 版)解説書

note: 2024年8月に行われたデジタル庁の「技術検討会議（第20回）」では「「Webサイト等の整備及び廃止に係るドメイン管理ガイドライン」の改定について」という議題があり、改訂案が示されています。ただし、2025年1月現在、まだ正式な改訂版は公開されていません。

最後に

今回の問題とは少し異なる話ですが、私も数年前に、https://www.(サービス名).jp/ といった大手企業が行っている一般向けサービスにおいて、wwwを含まない名前である https://(サービス名).jp/ が第三者に不正利用され、オンラインカジノサイトになっているのを発見して報告したことがあります。 そのときは、大手クラウドサービスが利用されていましたが、WebブラウザではHTTPSで利用される証明書は大手クラウドサービスをRoot CAとするものでした。 そのため、オンラインカジノサイトを表示してもキッチリと鍵マークが表示される状態でした。

報告後に、その状態は人知れず対処されたのですが、もしかしたら、類似する事例は意外と多いのかも知れません。 私が発見した事例はオンラインカジノサイトだったので、見れば誰でも怪しいサイトだとわかると思うのですが、本サービスと全く同じコンテンツでログイン情報やクレジットカード情報のみを抜き取ることを目指したフィッシングサイトだったら、もっと危険度が高かったように思います。

本来であれば、ある特定の組織もしくは個人が独占的に利用できるように登録管理されている名前(ドメイン)なのですが、クラウドサービス、ホスティングサービス等の仕組みによっては、第三者が容易に不正利用できる状況が発生しています。

もちろん、どんな名前でも不正利用できるというわけではありません。 また、昔と比べると、共用DNSサービスを運用する事業者によって対策が徐々に行われている部分もあります。 その一方で、特定の条件を満たす名前に関しては、驚くほど容易に不正利用可能な場合もあります。 この記事では、そういった環境が各所で存在し続けているという点に関して、誰がどう悪いというような議論はしませんが、そういった環境が多くの方々が思っているようも珍しい話ではないのかも知れません。

関連しそうな過去記事

• ドメイン名の永代供養(2013年の記事です)
• そのドメイン名、使い終わった後も面倒を見続ける覚悟がありますか？(2013年の記事です)

世界中で多く利用されているIPv4のプライベートIPアドレスですが、2024年現在時点において、IPv4のプライベートIPアドレスと全く同じ用途のIPv6アドレスは存在しません。

IPv6には、ULA(Unique Local Address)というアドレスがあります。 「ULAってプライベートIPアドレスのIPv6版でしょ？」という感想の人に、割と良く出会います。 ULAは、IPv4のプラベートIPアドレスであると考えられがちですが、現時点においてIETFで推奨される用途は、プライベートIPアドレスと異なります。 ULAをプライベートIPアドレスのようにNATと組み合わせて使うことは、IETFでの文書では推奨されていません。

ここで、「現時点において」と「IETFで推奨される用途」という表現を文章に含んでいる点が個人的なポイントです。 そこら辺の話は、この記事の後半に向かうにつれて紹介していきます。

IPv4のプライベートIPアドレスと全く同じものではないし、公式な用途とされている利用方法としてはNATを使うものではない、というIPv6アドレスがULAです。 その一方で、IPv4のプライベートIPアドレスと全く同じように使いたいと主張する人もいるし、実際に既に使っている人もいる、という実情もあります。 「結局、ULAはプライベートIPアドレスと同じものでしょ？」という感想を持っている方々も多そうです。 この記事では、そんな微妙な位置付けのULAについて紹介します。

なお、この記事は私の独断と偏見による個人的視点での現状観測および現状認識です。 あくまで現状を構成している要素を紹介するという考え方で書いており、IPv6がどうあるべきかを論じるものではないのでご注意ください。

この記事では、「IPv6にもプライベートIPアドレスが必要だ」とか、「IPv6でNATは避けるべきだ」とか、「IPv6でもNATを使うべきだ」とか、「ULAの用途はこうあるべきだ」とか、「ULAは事実上のプライベートIPアドレスである」とか主張するつもりはありません。 今後、世の中でどのように使われ、何がdefactoになるのかを見守っていきたいと考えています。 念のため。

以下、この記事の目次です。

• kubernetes、AWS、GCPにおけるULAの利用
• ULA(Unique Local Address)
• IETFで推奨されているULAの用途
• サイトローカルアドレスの廃止
• IPv6 NATに対するIETF/IABの見解
• NPTv6とNAPTv6
• IPv6 CEルータの要求仕様
• IETFで議論中のRFC 6724に対する変更案
• DHCPv6-PD(Prefix Delegation)

kubernetes、AWS、GCPにおけるULAの利用

私の個人的な印象としては、家庭内ネットワークや企業LAN等でのULA利用は多くなさそうですが、仮想化やクラウドといった場面でULAの利用が広がっているように思えます。

たとえば、kubernetesのkubeadmやNodeLocal DNSCacheのドキュメントにULAが登場しています。 このことからも、kubernetesでIPv6を利用する際にULAを使うことがあることがわかります。 kubernetesに関連する設定方法や事例を紹介しているブログ等でもULAを使っていることが読み取れるものがあります。

Google CloudでULAを使うことを紹介している公式ブログ記事がありますし、AWSの公式ドキュメントにもULAが記述されています。

これらの他に、たとえば、仮想化ソフトがVMに対して提供する仮想ネットワークでULAが初期設定になっている場合もあります。

仮想化やクラウドをIPv4とIPv6のデュアルスタックで扱うような場合には、IPv6のULAを目にする機会は徐々に増えているのではないでしょうか？

ULA(Unique Local Address)

次は、ULAの紹介です。 ULAは、RFC 4193で定義されています。

ULAはグローバルスコープのIPアドレスです。 ULAのユニキャストIPv6アドレスの128ビットのうち、先頭7ビットがプレフィックスで、fc00::/7です。

8ビット目は、ローカルであるかどうかを示すLビットで、1の場合がローカル、0の場合は未定義となっています。 このようにRFCに記載されたプロトコルには「将来定義される」として未定義になっているフィールドが多くあるのですが、いつまでも定義されずにそのままになっていることも少なくありません。 2024年時点では、ULAとして利用されるIPv6アドレスは、事実上は、Lビットが1となるfd00::/8のみとなります。

ULAのフォーマット

ULAの非常に大きな特徴として、IPv6アドレスにおけるサブネットプレフィックスにランダムな値が含まれるという点があげられます。

この図で「グローバルID」となっている40ビットが、疑似的なランダム値となります。 このフィールドでは、既知の数値などを利用して一意性を確保することは禁止されています。 RFC 4086に基づくランダムな値を生成して利用することが求められています。

この部分がランダムであることから、ULAに関連する経路、DNSに関連する情報、あるいはパケットが外に漏れたとしても、他のアドレスとの競合が発生しにくいとRFC 4193に書かれています。 また、たとえば、複数のULAによるネットワーク同士を直接繋ぐようなときにも便利であるとされています。

たとえば、192.168.0.0/24という同じアドレス空間で運用されている異なる2つのネットワークが存在していたとします。 企業の合併等で、この2つの異なるネットワーク同士を直接イントラネット内で繋ぐような状況になったときに、そのままではアドレスがバッティングしてしまうので、何らかの対策が必要になります。 ULAであれば、全く同じアドレス空間を利用してしまう可能性が著しく低いため、同様の問題は起きにくいです。

ランダムな40ビットのグローバルIDの後ろには、16ビットのサブネットIDフィールドが続きます。 この16ビットを活用して、サブネットを構成できます。

IPv6アドレスの128ビットのうちの残りの64ビットがインターフェース識別子です。

IETFで推奨されているULAの用途

ULAを使ったIPv6でのNATの話の前に、IPv4 NATを利用したインターネットとの通信という視点ではなく、 プライベートIPv4アドレスでのイントラネット内部での通信という視点があります。 プライベートIPv4アドレス空間でのLAN内に閉じた通信での利用という視点でみた時に、IPv6で類似することをどのようにするのかですが、IPv6ではULAを限定された範囲での通信として使えます。

では、ULAを使った環境で、イントラネット内部だけではなく、IPv6インターネットとの通信を行いたい場合はどうするのか、という話があります。 IPv6でULAを使いつつ、IPv6インターネットとの通信も行いたい場合には、どういう方法がIETFで推奨されているのかですが、IPv6イントラネットでのULAとグローバルアドレスによるマルチアドレスの活用がRFC 4193に書かれています。

ULAは、ローカルな通信だけで利用し、インターネットとの通信にはGUA(Global Unicast Address)を使え、というものです。 IPv6は、ひとつのネットワークインターフェースに複数のIPv6アドレスを設定する前提の設計になっているので、それを活用するというものです。 ULAとGUAの両方が設定され、必要に応じてそれらを使い分けるという方法です。

具体的には、こんな感じです。 LAN内にある機器で、内部のみとの通信を行う機器には、ULAのIPv6アドレスしか設定されていません。 この例では、プリンタがULAのみで運用されます。 内部にあるパソコンには、GUAとULAの両方のIPv6アドレスが設定されており、プリンタとの通信にはULAが利用され、IPv6インターネットとの通信にはGUAが使われます。 プリンタには、GUAが設定されていないので、外部から直接プリンタとの通信を行うことはできません。

内部同士での通信でULAを利用

外部との通信にはGUAを利用

さて、この環境では、GUAが設定されているので外部から直接パソコンへと攻撃が可能になってしまうじゃないか！という感想を持つ人もいると思います。 そこで登場するのがファイアウォールです。 ファイアウォールで、外部から内部への通信を制限するような設定を行うことで、そのまま直接外部から内部に対して通信を開始する難易度を上昇させることができます。 ここら辺の話は、後ほどもう少し詳しく紹介します。

さらに、IPv6とIPv4で違うのが、サブネットの大きさです。 IPv6のサブネット空間は広大なので、アドレススキャンを行う難易度がIPv4と比べて、非常に高くなります。 そこら辺の話は、以前書いた記事(IPv6アドレススキャン攻撃)をご覧ください。

サイトローカルアドレスの廃止

IPv6のサイトローカルアドレスも、今回の話題に関連する要素です。 なぜULAのアドレスにランダムな値が入っているのかと、なぜグローバルスコープなのか？ IPv6アドレス体系におけるユニキャストのスコープがグローバルとリンクローカルの2種類のみになった理由などが、サイトローカルアドレス廃止の議論に詰まっています。

IPv6におけるプライベートIPアドレスに類するものとして、fec0::/10のサイトローカルアドレス(Site local IPv6 address)というものが、かつてありました。 サイトローカルアドレスは、2004年に発行されたRFC 3879によって廃止されました。 サイトローカルアドレスが抱える欠点を改善したものとして作られたのがULAです。 このような経緯から、ULAは、廃止されたサイトローカルアドレスとは違うものとして作られており、IPv6版のプライベートIPアドレスではないという位置付けと解釈可能です。

サイトローカルアドレスが廃止された理由として、RFC 3879では、RFC 1918で定義されているプライベートIPアドレスと同様の欠点があることや、「サイト」という概念で表される範囲が曖昧だったこと、スコープ識別子を扱う必要があったことなどがあげられています。

IPv6アドレスアーキテクチャを定義しているRFCの最新版は、2006年に発行されているRFC 4291ですが、その2.4章では、ユニキャストのIPv6アドレスの種類はリンクローカルユニキャストとグローバルユニキャストの2つだけとなっています。 RFC 4291が上書き廃止しているRFC 3513(2003年)では、ユニキャストのIPv6アドレスの種類は、サイトローカルユニキャストを含めた3種類だったものが、2種類に減っています。

Address type	Binary prefix	IPv6 notation
Unspecified	00...0 (128 bits)	::/128
Loopback	00...1 (128 bits)	::1/128
Multicast	11111111	FF00::/8
Link-Local unicast	1111111010	FE80::/10
Global Unicast	(everything else)

RFC 4291では、Unspecified、ループバック、マルチキャスト、リンクローカルユニキャストの4種類を除く全てのIPv6アドレスをグローバルユニキャストと定義しています。 この表からも、fc00::/7は、グローバルユニキャストの一部であることがわかります。

さて、話をサイトローカルアドレスに戻しましょう。

IPv6アドレスには、IPv6アドレスのスコープとゾーンという概念があります(RFC 4007参照)。 スコープというのは、概念的な範囲を示す一方で、ゾーンは、より具体的な区分された区域を示しています。 IPv6アドレスのスコープは、その有効範囲において有効であるということは、同一スコープにおいて複数ゾーンで個別に同じIPv6アドレスが存在しても良いということです。 たとえば、世界中の複数の異なるセグメントで、fe80::1というリンクローカルアドレスが存在していても問題ありません。 リンクローカルスコープのIPv6アドレスであるリンクローカルアドレスは、個々のリンクが個別のゾーンを構成しており、別ゾーンで同じIPv6アドレスが存在しても問題がないのです。

この仕組みが、リンクローカルアドレスで、fe80::1%eth0、fe80::1%fxp0、fe80::1%1のように、IPv6アドレスとともに % を使う理由です。 他にも同じIPv6アドレスが使われる可能性があり、有効範囲を明示的に指定するために % を使っているわけです。 %とともに使われる識別子は、ゾーン識別子と定義されています。 ただ、少し厄介というか、初期実装からの歴史的経緯でややこしくなってしまった話があり、socket APIではscope_idという表現になってしまっています。 たとえば、Cでのstruct sockaddr_in6だと、sin6_scope_idです。 変数名はscope_idという名前だけど、実際はzone identifierなんです。

で、話がまた外れてしまったので、サイトローカルアドレスの話に戻すと、ゾーン識別子をどのような表現で扱うのかはホスト内での実装に依存します。 そのため、複数のゾーンが存在可能であるサイトローカルアドレスを使うためには、fec0::1%1であったり、fec0::1%2のように、ゾーン識別子を指定する必要があったわけです。

しかし、ゾーン識別子の表現方法がホスト依存するし、ゾーン識別子の表現の標準が存在しないし、ゾーン識別子はDNS等に掲載するものでもなく、そもそも、どのアドレスとどのゾーンを関連付けるのかをどうやって判別すべきなのか？ サイトローカルアドレスに関しては、そこが曖昧でした。 リンクローカルアドレスに関しては、そのスコープが単一のリンク内に必ず閉じていて、かつ、単一のノード内に閉じた話なので表現可能なのですが、ルータを超える範囲を持つことも可能であるサイトローカルアドレスの場合はゾーン識別子の扱いが曖昧になってしまいます。

そういった問題があり、サイトローカルアドレスは廃止されました。

ULAは、スコープが世界全体となり、ゾーンがひとつしか存在しないグローバルスコープのアドレスです。 そのため、GUAと同様に、というよりGUAの一部として、IPv6アドレスとともに%をつける必要がありません。

IPv6 NATに対するIETF/IABの見解

IETFでは、IPv4と同じようなやり方でIPv6 NATを利用することは「特殊な場合を除き非推奨」としています。 IETFにおけるIPv6 NATへの見解として参照されることが多いのがRFC 5902とRFC 4864の2つです。 NATが抱える問題点をまとめたものとしては、2000年に発行されたRFC 2993もあります。

NATは、内部から外部への通信に応じて動的にフィルタを追加します。 この挙動はSFI(Stateful Filter Implementation)やSPF(Stateful Packet Filtering)と呼ばれます。 SFIは外部から内部への接続を行うための難易度を上昇させるため、簡易なセキュリティとみなされることもあり、「NATが不要なIPv6ではIPv4より攻撃を受けやすくなる」と主張されることもあります。

しかし、NATのSFIはセキュリティを実現する目的で設計されているのではありません。 あくまで、IPv4アドレスの在庫枯渇問題に対する短期的解決策としてIPv4アドレスを効果的に利用するための仕組みの副作用として、外部から内部への接続性が低下しているだけという主張があります。 SFIを実現するためにNATそのものは不要であり、NATを利用せずにIPv6においても「IPv4 NATと同等のセキュリティ」を確保する方法がRFC 4864で提案されています。 適切にフィルタを設定することで、NATを使わなくてもNATと同等のセキュリティが確保できるというものです。 RFC 4864では、ファイアウォールでは内部からの攻撃に対処ができないといった点も指摘されています。

2010年に発行されたRFC 5902は、「IAB Thoughts on IPv6 Network Address Translation(参考訳：IPv6 NATに関するIABの考え)」というタイトルです。 そこでは、「NATとファイアウォールを混同すべきではない(one should not confuse NAT boxes with firewalls)」、「IPv6 NATは好ましくない(we do not consider IPv6 NATs to be desirable)」といった記述があります。 IPv6でグローバルユニキャストアドレス(GUA)での運用を行っていたとしても、適切にフィルタを設定すれば問題はないという考え方です。 その理由としてRFC 5902で書かれているのが、NATによって「end-to-end transparancy」「end-to-end reachability」が阻害されることを指摘しています。 IETFにおいて大事とされている「end-to-end principle(end-to-endの原則)」に基づく考え方です。

その一方で、RFC 5902では、マルチホーム環境やリナンバリングといった用途ではIPv6 NATの有用性を認めています。

NPTv6とNAPTv6

IPv6 NATには、大きく分けて2種類あります。 IPv4 NATと同じ仕組みのものと、違う仕組みのものです。

RFC 1631にあるように、IPv4にもポート変換(IP masquerade)を行わないNATというものも過去に存在しましたが、昨今ではIPv4 NATといえばポート番号の変化を行うNAPTを含むことが大半です。 かつて、雑誌記事、ブログ、書籍等において「NAT」と書くと、「NATとNAPTは違うものだ」というツッコミを入れる人が沸いていました。 1バイトを8ビットであることを明示せずに前提とするとツッコミを入れたがる人が沸いたのと似たような感じです。 しかし、いまではIPv4 NATに関して、「（NAPT)」と断りを記述しなかったとしても、あまり文句を言われるようなことは減りました。 それぐらい、NATといえばポート変換を含むことが当たり前とも言えるようになりました。

さて、話がIPv6に戻りますが、IPv6には、IPv4 NAT(NAPT)と同様にポート変換を含むNAPTv6と、アドレス変換のみが行われるNPTv6の2種類があります。 どちらも世の中に実装があります。 ポート変換を含むNAPTv6はRFCになっていませんが、NPTv6はRFC 6296として2011年にRFC化されています。 ポート変換を含むNAPTv6は、IPv4 NATと同じようなものであると考えていただければ良いと思うので今回は紹介を割愛します。 (IPv4 NATについて知りたい方は、拙著「徹底解説v6プラス」もしくは「プロフェッショナルIPv6」のPDFが無料公開されているのでそちらをご覧ください。もちろん、有料版をご購入頂けると嬉しいです)

ということで、ここではNPTv6について紹介します。 NPTv6のRFC 6296はExperimentalという位置付けです。

RFC 6296には「IETF does not recommend the use of Network Address Translation technology for IPv6(参考訳：IETFはIPv6でNATを利用することを推奨しない)」と書かれており、ここからもIPv6におけるNATがIETFで非推奨であることがわかります。

NPTv6の特徴ですが、IPv4 NATとNAPTv6はステートフルなNATですが、NPTv6はステートレスなNATです。 IPv4 NATでは、WAN側(外側)IPアドレスが1つ(またはCGNだと複数)に対してLAN側(内側)が複数であるのに対して、NPTv6では1対1になります。 それにより、IPv4 NATのようにEnd-to-End reachabilityが毀損されません。 また、1つのWAN側IPアドレスを複数のLAN側ノードで共同利用することもないため、トランスポート層プロトコルでのポート番号を変換する必要がありません。 この変換が不要であるため、ステートレスな仕組みになっています。

チェックサムニュートラル(checksum-neutral)であることもNPTv6の特徴です。 LAN側のIPv6アドレスがWAN側IPv6アドレスに変換されるときに、IPv6ヘッダから計算されるチェックサムの値が同じになるようにIPv6アドレスの変換が行われます。 これにより、TCPやUDPなどのヘッダでのチェックサムを再計算する必要がなくなるため、IPv4 NATよりもルータにかかる負荷が軽減されます。

2024年に、ExperimentalなRFCであるNPTv6のRFC 6296をStandards Trackへと更新しようというInternet draftが提案されていました(draft-bctb-6man-rfc6296-bis)。 このdraftには業界の重鎮も含まれていましたが、2024年7月にExpireしました。 2024年時点におけるNPTv6の実装状況なども書かれており、面白い内容なので興味のある方は是非ご覧ください。

IPv6 CEルータの要求仕様

RFC 7084は「Basic Requirements for IPv6 Customer Edge Routers」というタイトルです。 日本語に訳すと「IPv6 CE(Customer Edge)ルータの要求される基本仕様」という感じです。 CEルータは、SOHOルータや家庭用ルータと読み替えても良いと思います。

RFC 7084にはULAに関する言及もあります。

RFC 7084では、ULAのアドレスを利用したトラフィックがWAN側のインターフェースから外に出ないようにすること、 ULAに含まれるランダム部分を生成したルータが再起動してもULAプレフィックスが記憶されることなど、 IPv6 CEルータがULAをどのように扱うべきなのかが紹介されています。

RFC 7084では、IPv6 CEルータがWAN側でのIPv6接続性を有せず、扱っているIPv6プレフィックスがULAのみの場合には、自分自身をdefault routerとして広告することを禁止しています。 具体的には、RAのrouter lifetimeとして、0よりも大きい値を設定することを禁止しています。

さて、ULAと家庭用IPv6ルータという話題では、IPv6 NATに関する言及が気になるところですが、 RFC 7084には、IPv6 NATであるNPTv6やNAPTv6を禁止していると読める文言がなさそうです。 たとえば、WAN側にIPv6インターネットとの接続性がある状態で、LAN側ではULAのみを広告しつつ、default routerとして自身を広告するようなことは明示的に禁止されていないと思われます。

IETFで議論中のRFC 6724に対する変更案

2024年12月現在、IETFにおいてdraft-ietf-6man-rfc6724-updateの議論が行われています。 このdraftは、IPv6のためのポリシーテーブルについて規定しているRFC 6724に対する更新を目指したdraftです。

順を追って説明します。

IPv6には、アドレス選択で利用されるポリシーテーブルという仕組みがあります。 ポリシーテーブルを利用して、IPv6アドレスのプレフィックスに対して、ルーティングテーブルのようなロンゲストマッチが行われます。 ポリシーテーブルには、Precedence(優先順位)とLabel(ラベル)という要素があり、それらが宛先選択と送信元選択で利用されます。

どのような形で優先されるかの例ですが、getaddrinfo()は複数の結果がある場合には、それらがリストになって返ってきますが、ポリシーテーブルにおいて優先順位が高いものから順番にリストが並びます。

draft-ietf-6man-rfc6724-updateが着目しているのは、ULAとIPv4の優先順位です。 RFC 6724の10.6では、以下のような例を示しており、ULAの優先順位がIPv4アドレスよりも低いものとなっています。

Prefix	Precedence	Label
::1/128	50	0
fd11:1111:1111::/48	45	14
::/0	40	1
::ffff:0:0/96	35	4
2002::/16	30	2
2001::/32	5	5
fc00::/7	3	13
::/96	1	3
fec0::/10	1	11
3ffe::/16	1	12

上記の例では、IPv4を意味する::ffff:0:0/96 よりも ULAのfc00::/7が低い優先順位(Precedence)になっています。

多くの実装は、RFC 6724(旧3484)に規定されたポリシーテーブルが初期値として設定されています。 このため、多くの環境において、IPv4によるプライベートIPアドレスと、IPv6によるULAで運用されている環境では、ULAよりもプライベートIPアドレスが優先されます。

これによって何が起きる可能性があるかですが、たとえば、IPv6はULAのみで、IPv4はプライベートIPアドレスのみというネットワークがあったとします。 そのネットワークでは、IPv4とIPv6の両方でNATが行われることで、インターネットとの通信を行うようになっていたとします。 そのような環境に接続したホストが、IPv6とIPv4の両方のアドレスを持つサーバとの接続を行う際に、ホストに設定されているIPv6アドレスがULAのみであるために、IPv4を利用した通信が優先される可能性が高くなってしまいます。

draft-ietf-6man-rfc6724-updateは、「IPv4よりもIPv6を優先する」という精神のもと、「Lビットを1とするfd00::/8のULAをIPv4よりも優先度を高くしよう」と提案しているわけです。 他にも2点の提案をしており、以下の3点がdraft-ietf-6man-rfc6724-updateに書かれています。

• update the default policy table (参考訳：ポリシーテーブルのデフォルト値を更新する)
• change Rule 5.5 on prefering addresses in a prefix advertised by the next-hop to a MUST(参考訳：ルール5.5にある、next-hopによって広告されたプレフィックスを優先することをMUSTに変更する)
• require that nodes MUST insert observed known-local ULA prefixes into their policy table(参考訳：ノードが観測したknown-localなULAプレフィックスをポリシーテーブルに追加することをMUSTとする)

このdraftは、2024年12月現在、まだ議論が継続している状態でRFCに至っていません。 しかし、このdraftがRFCになった場合、もしかしたら、IPv6においてNATを使いやすくなる可能性はあるかも知れないということで、一部界隈において注目されています。 なぜならば、いまはプライベートIPアドレスがULAよりも優先順位が高いため、ULAとプライベートIPアドレスで運用されているホストにおいて、IPv6が使われにくくなっているためです。 ULA+IPv6 NATという環境があったとしても、IPv4 NATを経由する通信方法の優先順位の方が高くなる可能性があります。

だたし、このdraft(ver15段階)は、以下のように書かれており、draftそのものがIPv6におけるNATであったり、ULAの用途を論じているわけではありません。

However, this document makes no comment or recommendation on how ULAs are used, or on the use of NAT in an IPv6 network.

もしかしたら、そういった意図を頭の片隅(?or中心)に持った方々がdraftを進めている可能性はありますが、このdraftは、あくまでIPv6をIPv4よりも優先するという記述になっています。

なお、draft-ietf-6man-rfc6724-updateにも書かれているように、Happy Eyeballs(RFC 6555, RFC 8305)も大きな要素です。 ここら辺の、マルチプレフィックス/マルチアドレスまわりの話は、実装依存する部分も多く、割と面倒なのです。

DHCPv6-PD(Prefix Delegation)

IPv6には、プレフィックス単位でアドレスを配るDHCPv6-PDという仕組みがあります(RFC 8415のPrefix Delegation関連項目参照)。

IPv4のように、ISP等から提供されるIPアドレスがひとつだけの場合には、そのIPアドレスの裏側に複数の機器を接続するためにNATが必要になってしまいます。 しかし、IPv6の場合は状況が異なります。 ルータからRAが降ってくるパターンの場合は、そのルータと直接接続している形になっている複数の機器が個別のIPv6アドレスを設定します。 DHCPv6-PDによってプレフィックスが提供される場合、そのプレフィックスを使ってサブネットを運用することができます。

エンタープライズネットワークや巨大Wi-Fiネットワーク等においてDHCPv6-PDを活用することに関して情報をまとめたInformationalなRFCであるRFC 9663が2024年10月に発行されています。 RFC 9663では、DHCPv6-PDを利用して個々のデバイスに対してIPv6アドレスをひとつだけ割り当てるのではなく、IPv6プレフィックスを割り当てることを提案しています。

今後、RFC 9663に書かれているような用途が増えるかどうかは現時点では不明ですが、個々のデバイスに対してIPv6アドレスひとつを割り当てるのではなくプレフィックス単位での割り当てが行われるようになれば、そのデバイス内でVMを運用するときにULAを利用しないという選択肢も出てきます。

エンドユーザに対するIPv6アドレスの割り当てをどうするのか？という視点では、DHCPv6-PDも今後の議論において重要な要素のひとつであると考えています。

最後に

「IPv6の勉強をするために簡単なネットワークを構築してみたい」という要求に対して、実験環境で利用すべきIPv6アドレスをどうすべきか？が、2024年現在は、そこまで明確ではないと私は個人的に考えています。 IPv6アドレスがISPから降ってくる環境であれば、エンドユーザとしてIPv6を試すことは可能ですが、たとえば、自分が管理権限を一切持たないような既存のマンションインターネットなどでは、色々と難しくなってしまいます。

そして、IPv6がISPから提供されている環境であったとしても、RAによって/64の割り当てが行われるだけの環境では、L3的なルーティングを伴う複数セグメントを運用することに対して多くの制約が伴います。

そこでIPv6のULAを使うという選択肢も出てくるのですが、IPv6でULA＋NATという運用はIETF等では推奨されていないということになっており、IPv4のプライベートIPアドレスと同じ感覚でULAを使うことは、推奨されないという意見もあります。 その一方で、「いやいや、同じように使いたいし」という意見も根強くあり、今も綱引きが続いています。

「じゃあ、どうすれば良いの？」という話なのですが、私は、現時点では明確に「こうすべき」という解決方法を提示できません。 どうすれば良いんですかね？

Google「IPv6の国別採用状況」より(as of 2024年11月)

IPv6の利用は増えている

IPv6の利用は、世界中で確実に増えています。 Googleの「IPv6の採用状況」によると、2024年11月19日は41.51％です。

Google「IPv6の採用状況」より(as of 2024年11月)

個人的な感想としては、かなりの勢いで普及しつつあると感じます。

IPv6の普及は、仕様が策定された当初は、なかなか進みませんでした。 IPv6の最初の仕様であるRFC 1883は1995年に発行されています。 もう30年近く前です。

IPv4アドレス在庫枯渇問題に対する長期的解決策としてIPv6仕様が策定されたものの、IPv6普及は進まず、短期的解決策として同時期に作られたプライベートIPv4アドレスとNAT(NAPT)が急激に普及しました。 昔は、「石油とIPv4アドレスは枯渇しない」といった意見も非常に多く(参考：2007年IW記事)、IPv6が生まれた前提となるIPv4アドレス在庫枯渇そのものも疑われていたという背景もありました。

IPv6普及が進み始めたのは、実際にIPv4アドレス在庫が枯渇してからです。

2011年2月3日に、IANA(Internet Assigned Numbers Authority)によるIPv4アドレスの中央在庫が枯渇しました。 1990年代から懸念されていたIPv4アドレス在庫枯渇ですが、NATによるIPv4アドレス利用効率化が非常に強力だったので、2011年まで保ったとも言えそうだと個人的に考えています。

IPv4アドレス中央在庫が枯渇した時点での、Googleの「IPv6の採用状況」によると、2011年2月2日時点における世界全体でのIPv6採用状況は0.18％です。 インターネットトラフィック全体から見ると、2011年時点でのIPv6トラフィックは非常に少ないものでした。

その後、時間をかけて少しずつIPv6の普及が進んでいきました。 IPv4とIPv6の間には直接的な互換性はないので、それまでIPv4によって世界中に拡大していったインターネットという世界規模のネットワークに対して新たにIPv6という仕様での通信を行えるような環境を整える、または追加するには、やはり時間と労力がかかる作業なのだと思います。

国別採用状況50％超え

2024年11月現在、Googleが公表する国別採用状況が50％超えとなっているのは、以下の通りです。

フランス	76.89％
ドイツ	75.52％
インド	70.55％
マレーシア	68.57％
ギリシア	61.78％
サウジアラビア	61.69％
ベルギー	61.52％
ベトナム	56.07％
グアテマラ	55.24％
台湾	54.76％
ハンガリー	53.62％
ウルグアイ	53.04％
ロシア	51.2％
プエルトリコ	51.08％
日本	50.7％
メキシコ	50.46％
ブラジル	50.4％

サーバ側のIPv6対応が行われているのかどうかによって、ユーザの行う通信がIPv4で行われるのか、それともIPv6で行われるのかが変わるため、Googleが公表するデータのみを参考にしつつ、該当する国内においてIPv6でのトラフィックの方が多いとは必ずしも言い切れません。

しかし、たとえば、いまどきはGoogleとの通信を一切行わないユーザは多くないと推測すると、Googleとの通信の約77％がIPv6によるものであるフランスでは、77％のユーザはIPv6での通信が可能となる環境でインターネット接続を行っていると推測できそうです。 そういった環境で、WebサーバをIPv6対応すれば、もしかしたらIPv4よりもIPv6でのアクセスの方が多くなるのかも知れません。

「IPv6とIPv4を比べると、IPv4の方がトラフィックが少ない」という環境が、これから増えていく可能性を感じます。

2018年と2024年の違い

2018年に行った講演資料で、当時のIPv6採用状況について紹介していました。 過去の自分の発表資料を見ると、IPv6普及が徐々に進んでいることを実感します。

Google「IPv6の採用状況」より(as of 2018年8月)

Google「IPv6の国別採用状況」より(as of 2018年8月)

IPv6の勉強をしよう！

TCP/IPやネットワークと関わる方々で、まだIPv6に関して知らない方は、IPv6の勉強しましょう！ 拙著「プロフェッショナルIPv6」(第2版2刷は492ページ）の無料版PDFは、有料版と全く同じ内容でご覧いただけます。

何か目的が欲しいという方には、IPv6基礎検定というのもあるので、もしご興味があればご覧ください。

しかし、今回、私としては初となる英訳版を上梓することができました。 2022年に出版した「ピアリング戦記 - 日本のインターネットを繋ぐ技術者たち」ですが、これを日本語だけにしておくのはもったいないという声を内外でいただき、それを受けて英訳を行うプロジェクトが去年動き始めました。

「ピアリング戦記」は、もともと業界有志で構成される発起人の方々による企画提案から開始しています。 今回の英語化プロジェクトも発起人の方々を中心とした企画提案でした。

2023年3月ごろから、発起人の方々、日本語版スポンサーの方々、出版社、著者によって構成される関係者で相談して、何らかの形で英語版を出版できないかという検討会議が複数回行われました。 様々な案が出つつも、紙版であれ電子書籍であれ有償の本を海外で出版にするのには掛ける手間やコストが見合わないであろうということになり、ボランティアベースで訳したものを無料で配布するということになりました（英語版は著者への印税もゼロです）。

今回、翻訳作業にご尽力いただいたのは

• 川村聖一さん
• Yuanxiang Miaoさん
• 小野真由美さん

です。

今回翻訳を行なったのが業界のボランティアであり、プロの翻訳者というわけではないので、英訳には多少粗い部分もありますが、関係者内で推敲を重ね、できる限りニュアンスが伝わるような翻訳となっていると考えています。 日本語の文章を英語訳するときに、どうしても非日本語圏では意図が伝わりにくいのではないかと判断した部分などもありました。そういった部分には手を入れつつ、まずは書籍というまとまったコンテンツとして英語化することを優先しました。 本書に関しては、表現の調整や、間違いの修正などを今後行なっていくかも知れません。

英語版「ピアリング戦記」である「Peering Chronicles of Japan」のEPUBは、以下のURLからダウンロード可能です。

https://peering-chronicles.lambdanote.com/

これまで、私の書いた文章が海外の方々に届くことは、あまりありませんでしたが、この本が私にとっての初の試みとなるのがうれしく感じています！

参考：「ピアリング戦記 - 日本のインターネットを繋ぐ技術者たち」を書きました！(2022年7月13日)

IPv4アドレス価格推移

IPv4アドレス価格は、2021年に急激に上昇しました。その後、2023年ごろに2022年ごろのピーク価格より安くなっています。しかし、2024年現在は2022年ごろのピーク時よりは低いものの、2020年よりは高い価格で推移しています。

https://auctions.ipv4.global/prior-sales より作成

IPv4アドレス移転元および移転先組織ランキング

IPv4アドレス移転に関する情報は、AFRINIC、ARIN、APNIC、LACNINC、RIPE NCCの5つのRIRにて、それぞれJSON形式で公開されています。 2024年7月27日に取得したJSONデータを元に、移転回数が多い組織トップ100のランキングを作ってみました。

JSONデータが公開されているURL

• https://ftp.afrinic.net/pub/stats/afrinic/transfers/transfers_latest.json
• https://ftp.arin.net/pub/stats/arin/transfers/transfers_latest.json
• https://ftp.apnic.net/stats/apnic/transfers/transfers_latest.json
• https://ftp.lacnic.net/pub/stats/lacnic/transfers/transfers_latest.json
• https://ftp.ripe.net/ripe/stats/transfers/transfers_latest.json

5つのRIRが公開している情報を単純に合計した結果(RIRを跨いだ移転による重複を無視)、移転先組織数 19816、移転元組織数 22935と、移転によってIPv4アドレスを手放す組織の方が多くなっています。 移転先(IPv4アドレスを受け取っている組織)としては、移転回数およびアドレス数においてAmazonが圧倒的な1位でした。

移転先ランキング100

	組織名	移転回数	アドレス数
1	Amazon.com, Inc.	1403	73347584
2	EarthLink	912	493824
3	Windstream Communications LLC	890	11258624
4	Amazon Technologies Inc.	480	89669888
5	HP Inc.	475	10341120
6	iNet Ltd	464	176896
7	HEWLETT PACKARD ENTERPRISE COMPANY	448	30515712
8	CenturyLink Communications, LLC	438	30409728
9	Legaco Networks B.V.	349	409856
10	Level 3 Parent, LLC	331	48142848
11	AT&T Corp.	310	89547264
12	BroadbandONE, LLC	301	186112
13	AVATEL TELECOM, SA	281	298496
14	JSC "ER-Telecom Holding"	257	1499904
15	TerraTransit AG	246	486144
16	Enterprise Services Latin America Corporation	245	11200768
17	OOO "Network of data-centers "Selectel"	241	384512
18	Charter Communications Inc	239	37005056
19	NETPROTECT SRL	234	82688
20	Microsoft Limited	233	23891968
21	China Internet Network Information Center/DXTNET	224	296960
22	MCI Communications Services, Inc. d/b/a Verizon Business	221	64870400
23	Iran Telecommunication Company PJS	214	1346816
24	Eurofiber France SAS	214	215296
25	HostRoyale Technologies Pvt Ltd	211	156160
26	RapidSeedbox Ltd	186	131840
27	Oracle Corporation	175	5068288
28	Next Limited	174	94720
29	XT GLOBAL NETWORKS LTD.	173	273152
30	G-Core Labs S.A.	166	144640
31	TPx Communications	164	69888
32	IPX - FZCO	160	109056
33	Shared Services Canada	159	2902528
34	China Internet Network Information Center/Xiaoniaoyun	158	161792
35	Rogers Communications Canada Inc.	152	5908736
36	GTT Communications Inc.	151	1283840
37	Asociatia Interlan	144	82944
38	LVNET LTD	143	144128
39	Verizon Business	142	7352832
40	LIR LLC	137	129792
41	FreeNet L.L.C-FZ	137	103680
42	Unitas Global	131	910592
43	L3Harris Technologies, Inc.	130	1091328
44	truview LLC	127	117248
45	Auction LLC	126	127232
46	Neterra Ltd.	124	183808
47	NIXI/APSFL	123	126464
48	Societe Francaise Du Radiotelephone - SFR SA	123	16322816
49	Saudi Telecom Company JSC	122	4222976
50	PJSC MegaFon	122	1255424
51	Charter Communications	118	8394752
52	Invitech ISt Services Kft.	118	304384
53	Leaseweb USA, Inc.	117	1267968
54	M247 Europe SRL	115	71936
55	GTT	113	3851776
56	Panq B.V.	113	288000
57	Orange Espagne SA	113	679936
58	Consolidated Communications, Inc.	112	1140480
59	Van Veen Beheer B.V.	110	48896
60	Proper Support LLP	109	54528
61	Invermae Solutions SL	109	107520
62	xTom GmbH	109	92928
63	velia.net Internetdienste GmbH	108	127232
64	Open Fiber S.P.A.	108	78004
65	MTS PJSC	107	464382
66	Bulgarian Telecommunications Company Plc.	106	178432
67	CloudRoute, LLC	102	68864
68	zColo	102	178944
69	Moldtelecom SA	102	332032
70	TierPoint, LLC	100	520960
71	Mouk, LLC	100	47104
72	RCS Technologies FZE LLC	97	33792
73	Prager Connect GmbH	96	87808
74	PJSC Rostelecom	95	287488
75	SC ITNS.NET SRL	95	73728
76	GeoLinks	94	58112
77	AIRE NETWORKS DEL MEDITERRANEO SL UNIPERSONAL	94	371456
78	cleardocks LLC	94	100864
79	Network Management Ltd	93	97792
80	Cyber Assets FZCO	93	679936
81	LIR Limited	93	72448
82	North State Telephone, LLC	92	49152
83	WHG Hosting Services Ltd	92	76800
84	Vodafone Limited	92	4510976
85	KPN B.V.	91	1590528
86	DoD Network Information Center	91	415232
87	Comcast Cable Communications, LLC	89	58677760
88	China Internet Network Information Center/ofidc	87	122880
89	Hydra Communications Ltd	87	69120
90	Microsoft Corporation	86	43469568
91	Kar-Tel LLC	86	360960
92	NIXI/NICSIDC	84	86016
93	SWAN, a.s.	84	649216
94	trafficforce, UAB	82	37120
95	Beyond Tomorrow Ltd	82	67072
96	IBM	81	580864
97	Community Fibre Limited	80	100096
98	StackPath, LLC.	79	183808
99	Vem Solutions, LLC	78	60160
100	Cluster Logic Inc	77	296448

え？Googleは？という方々のために、Google関連組織が移転先になっている部分を抜き出しました。ベスト100には入っていませんでした。

順位	組織名	移転回数	アドレス数
201	Google LLC	45	14760704
1908	Google Inc.	6	4195328
2406	Google One Services	5	54272
3748	Google Access LLC	3	8704
8598	Google Fiber Inc.	1	2097152
9316	Google, Inc.	1	16384
11270	Google, LLC	1	16384
13884	Google Switzerland GmbH	1	2048

移転元ランキング100

	組織名	移転回数	アドレス数
1	Jump Management SRL	1494	1744640
2	IPv4 Management SRL	1393	1084416
3	Windstream Communications LLC	1098	2679808
4	Hewlett-Packard Company	876	40186368
5	EarthLink	425	416768
6	HEWLETT PACKARD ENTERPRISE COMPANY	413	22211328
7	AT&T Internet Services	316	58615552
8	SunGard Availability Services LP	286	193792
9	Level 3 Communications, Inc.	262	45328640
10	Nextweb, Inc	254	98304
11	Earthlink, Inc.	253	4633856
12	Savvis	253	8949760
13	Neterra Ltd.	249	173056
14	XT GLOBAL NETWORKS LTD.	239	268032
15	Aptum Technologies	236	530176
16	Time Warner Cable Internet LLC	232	36919296
17	WestNet, Inc.	221	582144
18	Massachusetts Institute of Technology	206	16384000
19	Sungard Availability Network Solutions, Inc.	198	150016
20	Jump Internet Services SRL	188	322048
21	Marcel Edler trading as Optimate-Server	170	213248
22	Nobis Technology Group, LLC	162	1507328
23	Northeast Technology Solutions, LLC	162	359936
24	Host Europe GmbH	162	245376
25	United States Postal Service.	160	10485760
26	Eurofiber France SAS	156	159232
27	E.I. du Pont de Nemours and Co., Inc.	155	21435392
28	Broadvox, LLC	151	84992
29	PaeTec Communications, Inc.	144	2922496
30	Unitas Global	144	156672
31	SkyVision Global Networks Ltd	138	53760
32	Invitech Megoldasok Zrt.	137	527104
33	LIR LLC	137	113152
34	United Networks Ltd.	135	77824
35	Styrelsen for it og laering	131	731904
36	Msen, Inc.	129	53248
37	Internap Holding LLC	125	892160
38	RF Engineering	124	131328
39	Auction LLC	124	110592
40	DXC US Latin America Corporation	121	7550208
41	Carolina Internet, Ltd.	116	45056
42	Petersburg Internet Network ltd.	114	259584
43	LLC"RELCOM"	114	55296
44	KCOM GROUP LIMITED	105	408320
45	IBM	103	2336256
46	VegasNAP, LLC	101	104960
47	Net By Net Holding LLC	97	1226240
48	Digital Cable Systems S.A.	95	157440
49	Missouri Network Alliance, LLC	94	37632
50	American United Life Insurance Company	93	38144
51	NETWORK TRANSIT HOLDINGS LLC	92	46592
52	RiverCity Internet Group, L.L.C.	92	44800
53	LUMOS Networks, Inc.	92	49152
54	Navy Network Information Center (NNIC)	91	415232
55	Earthnet, Inc.	89	95744
56	vXchnge Operating, LLC	87	100608
57	TerraTransit AG	87	104960
58	Asiatech Data Transfer Inc PLC	87	455168
59	Virtual Citadel Inc.	86	50688
60	Versaweb, LLC	86	72704
61	Asociatia Interlan	85	39168
62	Istanbuldc Veri Merkezi Ltd Sti	85	48384
63	SFR SA	84	15515904
64	Mouk, LLC	82	42752
65	XO Communications	81	6631936
66	JSC Caravan Telecom	81	30720
67	Eli Lilly and Company	80	10125312
68	Neda Gostar Saba Data Transfer Company Private Joint Stock	80	263168
69	Coretel America, Inc.	79	60928
70	NAV COMMUNICATIONS SRL	78	31488
71	Qwest Communications Company, LLC	77	15199744
72	LeaderTelecom B.V.	77	44288
73	BandCon	75	32768
74	Mailbox Internet Ltd	75	119808
75	Amazon.com, Inc.	74	2573568
76	Oak Point Partners	74	140032
77	Jahan Ruye Khat	74	46848
78	CloudRoute, LLC	73	54016
79	Ashton Systems Corporation	72	129024
80	WideOpenWest Finance LLC	72	471296
81	Transit Telecom LLC	72	239104
82	NTX Technologies s.r.o.	72	81408
83	Merck and Co., Inc.	70	13303808
84	HonorHealth	70	31232
85	Vem Solutions, LLC	70	47616
86	IPACCT Ltd.	69	108800
87	O1.com	68	61952
88	Concurrent Technologies Corporation	67	65536
89	UPC Romania S.A.	67	606976
90	Oak Point Partners Inc	66	709376
91	Micfo, LLC.	66	359424
92	DIS Research, Ltd.	65	66560
93	DUPONT NUTRITION BIOSCIENCES ApS	65	25088
94	IC2NET	64	35840
95	KPN B.V.	64	737536
96	Autonomous Nonprofit Organisation "Russian Scientific-Research Institute for Public Networks"	64	89088
97	Net3 Inc.	63	36864
98	Daisy Communications Ltd	63	702720
99	The Timken Company	62	30208
100	PremierDC Veri Merkezi Anonim Sirketi	61	34560

• TEST-NET-1: 192.0.2.0/24
• TEST-NET-2: 198.51.100.0/24
• TEST-NET-3: 203.0.113.0/24

IPv6では、2001:db8::/32 がRFC 3849で定義されています。

これまで、IPv4には例示用IPアドレスが3種類あり、IPv6には1種類だけでした。 IPv6は例示アドレスが1種類しかないので、記事や本を書くときに凄くわかりにくくなってしまいます。 (参考：IPv6例示アドレスがわかりにく過ぎる/10年前の文章です)

IPv6のための新しい例示用IPv6アドレスに関しては、IETFで数年前から議論が続いていましたが、2024年7月23日にIANAに3fff::/20という新しいIPv6アドレスブロックが追加されました(IANA IPv6 Special-Purpose Address Registry)。 3fff::/20 に対応するRFCになるであろう文書は、まだinternet draftの段階なので、この文章を書いている時点ではIANAのページにはinternet draftが参照されています。

今後は、この3fff::/20 を使って文章を書くことになると思います。

例示用IPv6アドレスとしては、2001:db8::/32だけだとわかりにくいので、RFC 3701によって廃止された旧6boneのアドレス 3ffe::/16 を使うという事例が散見されました。 プロフェッショナルIPv6でも3ffe::/16を使っているので更新しないとですね！

• SRv6のマイクロSID(Compressed SID)を利用
• 出展社収容をEVPN-VXLANで
• SRv6＋衛星回線

ShowNetトポロジ図での上記3つの取り組み箇所は、次の図のようになっています。

SRv6のマイクロSID利用は、中央のバックボーン部分で行われていました。

出展社収容でEVPN-VXLANを利用している部分は、トポロジ図の中央の下側です。 出展社収容に関しては、例年、トポロジ図で下側を薄く広く覆うような配置で出展社収容を行う機器が描かれます。 昨年は、出展社収容機器がL2的な役割を果たしていたので緑色でしたが、今年はL3的なデフォルトルータとしての役割を果たしているので赤で示されているのが去年との大きな違いを表しています。

SRv6と衛星回線の組み合わせはトポロジ図中央の下に描かれています。

SRv6のマイクロSIDを利用

ShowNetでは、2018年からSegment Routingを扱っています。

2018年: 相互接続性検証

2019年: SRv6 Data PlaneでService Chaining

2020年: (新型コロナ禍のためInterop Tokyo幕張実施中止)

2021年: SR-MPLSメイン+SRv6 L3VPN相互接続

2022年,2023年: SRv6 L3VPNシングルスタック

参考：Interop 2023のShowNetバックボーン詳解、 SRv6を活用し、リンクローカルIPv6アドレスだけでバックボーンのルーティング - Interop ShowNet 2022

このように、ShowNetでは、2021年以降Segment RoutingとしてバックボーンでSRv6が活用されています。 ここ数年は毎年のようにSRv6が使われていますが、同じSRv6であっても毎年チャレンジ内容が違います。

そこで今年のSRv6は何が違うのかですが、今年のSRv6活用方法の新しいチャレンジとしては、マイクロSID(以後、uSID)を利用していことがあげられます。 uSIDとは何かですが、SRv6に対応したノードは"Segment"と呼ばれる「順序のある命令リスト("ordered list of instructions"/RFC 8402より)」に応じてパケットを処理します。 この"Segment"の識別子がSID(Segment Identifier)です。

uSIDというのは、従来の128ビットのSIDだと、複数のSID列を含むためのオーバーヘットが大きくなり過ぎてしまうという問題を軽減するために、SIDを圧縮する仕組みです。 この記事ではuSIDという表現を使っていますが、Compressed SIDと表現される場合もあります。

uSIDのフォーマットにはいくつか種類がありますが、ShowNet 2024では、スタンダートとなりりつ つあるF3216という方式が採用されています。

なお、ShowNet 2024では、SRv6 over 衛星回線や、EVPN-VPWSなどではFull lengthのSIDも併用されていました。

EVPN-VXLAN

ShowNetではInterop Tokyoの出展社ブースに対してネットワークのサービスを提供しています。 その出展社へのサービスを収容している部分をEVPN-VXLANで行っているのもShowNet 2024におけるL2L3的な着目ポイントのひとつです。

これまでのShowNetでもEVPN-VXLANを利用していましたが、今回は出展社収容を行うためのBGP EVPNのルートタイプとして、過去に行われたShowNetではType 2を使ったことはあったのですが、今回はType 5(RFC 9136)を使ったという違いです。 BGP EVPNのType 2ルートはMACアドレスの到達性を扱いますが、Type 5ルートはIPプレフィックスの到達性を扱います。 Type 2ルートを使う場合にはL2的な同一セグメントを延伸する形になりますが、Type 5ルートを使うとL3VPNを組むこともできます。 Type 5ルートを使うことで、各出展社の個別のL2セグメントを特定のVTEP配下に収めることができ、スケーラブルになるというメリットがあります。

BGP EVPNのType 5ルートそのものは、新しい仕組みというわけでもありません。 しかし、これまでInterop TokyoでType 5ルートが今年初めて出展社収容のために使われた理由としては、エンタープライズ向け製品でのType 5ルートの対応が増えている背景があります。 EVPNは、もともとはデータセンターやキャリアを強く意識して仕様や製品が作られてきたプロトコルということもあり、そういった用途を想定した製品での対応がメインでした。 しかし、最近になってキャンパスネットワーク等での利用を想定した製品でも対応が進んだのが、今回のShowNetで出展者収容がEVPN-VXLANによるL3VPNで組まれた要因です。

最終的に、今回のShowNetでは3ベンダー7機種によるEVPN-VXLANのType 5ルートの相互接続が行われました。

ShowNet 2024では、EVPN-VXLAN Type 5ルートを使って良かったこととして「アンダーレイの構成は引き続きL3」という点とともに、それについて以下の説明が行われていました。

• MC-LAGや筐体を論理的に統合する機能が不要で冗長を取るのが楽
• 全体の規模が大きくなっても設定が必要なのはVTEPとBGPのみ
• Routingで経路制御可能

PCEP相互接続検証

PCEP(Path Computation Element Communication Protocol, RFC 5440)を利用して、Stateful PCE(Path Computation Element)とPCC(Path Computation Client)によるSRv6-TE(uSID)の管理と可視化デモも行われていました。 Stateful PCEがSRv6 Policyの発行と管理を行い、PCCがSRv6 Policyに則したトラフィックエンジニアリングを行いました。

相互接続検証では、2種のPCEと、5種のPCCが用いられました。

SRv6 L3VPN over 衛星回線

ShowNet 2024では、SRv6 L3VPN over 衛星回線という企画も行われていました。 衛星回線経由のIPv6を使ってSRv6を通すというものです。

衛星回線は幕張メッセのHall 3で展示されている衛星車から衛星へと通信を行い、衛星から幕張メッセ外にある国内地上局と繋がっているという構成です。

2023年(昨年)内容

2023年の取り組みも面白いので、ご興味がある方はぜひご覧ください。

参考：Interop 2023のShowNetバックボーン詳解

「ローカル5Gはエンタープライズ向けの技術なので、ぜひ来場者の方々にも触ってもらいたい」という想いによって実現した企画だったとのことでした。

ShowNetウォーキングツアーでの利用

ShowNet 2024では、ShowNetウォーキングツアー(以下、ウォーキングツアー)をローカル5Gを使って会場内で配信していました。 ウォーキングツアーは、1回20人から30人ぐらいの参加者がいますが、会場内を歩き回りながらラック前に立ち止まってツアー担当のNOCメンバーが説明を行います。 このとき、ラックの前に数十人のウォーキングツアー参加者が集まる状況になりますが、説明が行われている間にラックの中にある機材を見ることができるのは先頭の人々だけで、後方の参加者の方は説明中にラック内を観察できないことが課題でした。

ShowNet 2024では、ウォーキングツアー参加者にローカル5Gを利用できる端末を貸し出し、ブラウザで映像を見られるようにしてありました。 各ウォーキングツアーに撮影スタッフが同行し、撮影カメラ一台によるウィーキングツアーのライブ中継が行われました。 撮影された映像はSRTプロトコルによってローカル5G網を通って，ShowNetのMoIPネットワークに設置されたデコーダを経由してスイッチャに入り、スイッチャで発表スライドを入れる編集もリアルタイムで行われたため、ウォーキングツアー参加者は、ツアー中に説明されているラックの様子だけではなく、関連する内容を紹介するためのスライドも同時に見ることができました。 スイッチャで編集後、参加者端末への映像配信は低遅延ライブ配信プラットフォームであるSmart vLive (NTTコミュニケーションズ) を用いて行われていました。

ShowNetで、Wi-Fiを利用して同様のことを行うのは困難ですが「ローカル5Gであれば低遅延かつラインセンスバンドの良さを生かしたギャランティの環境を作れる」というのが強みとして紹介されていました。

動画品質の測定

ローカル5Gを使ったShowNetウォーキングツアーの映像品質を評価するために、中継映像を受信しているスマホ画面をHDMIで出力し、ユーザ体感を推定するMOS値(Mean Opinion Score/平均オピニオン評点)を評価するデモも行われていました。 MOS値は、Spirentの機材で計測されていました。

ネットワーク

ShowNet 2024のネットワークトポロジの左下にローカル5G企画を構成するネットワークが描かれています。 ShowNet 2024のローカル5G企画は、3つの免許(3種類の周波数帯)で行われているため、ネットワーク図としてもローカル5G部分は3本の縦線状になっています。

3つの免許とSub6基地局

ShowNet 2024では、コントリビュータが免許を取得してローカル5Gのデモが行われています。 取得された免許は実用局が2局と実験試験局が1局の、計3局の免許です。 2023年に行われたデモは、実験試験局によるものだったので、実用局によるローカル5GデモはShowNet初でした。

実験試験局と実用局には様々な違いがありますが、ShowNetでの運用上の違いとしては実験試験局の場合は基地局だけではなく、そこに繋がる端末も申請が必要という点があげられます。 実験試験局での運用を行う場合、ローカル5Gの基地局を利用する端末側となる個々のスマホやタブレットにラベルを貼って管理する必要があります。 このため、申請を行っていない私物のスマホを繋げたりするのはNGです。

一方で、実用局であれば、端末ひとつひとつの申請は不要です。 このように、実験試験局と実用局の免許は出来ることに差があるようです。

さて、ShowNet 2024で行われたローカル5Gシステムですが、免許を受けたシステム単位で、NTT-A、NEC、NTT-Bという名称をつけていました。 NTT-AとNECが実用局で端末へのツアー映像配信と一部出展社のローカル5G端末収容をになっていました。NTT-Bが実験試験局で、ツアーでのカメラ映像のアップロード用リンクとして活用されていました。

無線エリアのイメージ

無線エリアのイメージとしては、次の図のようになっています。4ホールと5ホール向けに、4箇所の基地局が4ホールに設置されていました。

漏洩の有無などを確認するための電波状況のモニタリングは、ローカル5G企画が行われた一昨年および昨年に続き、今年も行われています。

ShowNetとは別に、出展社が免許を取得しローカル5Gでデモを行う場合もあり、双方の電波干渉有無を把握するためにもモニタリングが必要だったとのことでした。

NEC

ローカル5Gシステム「NEC」では、オールオンプレ構成のローカル5GパックをShowNetで構築するというものでした。 基地局、オンプレ5Gコア、コントローラの機器3種によるスピード構築が行われたことが展示されていました。

NTT-A

ローカル5Gシステム「NTT-A」では、Celonaという日本初展示のモバイルメーカーの機器を利用してローカル5GをShowNetに構築していました。

NTT-B

ローカル5Gシステム「NTT-B」は、自称「世界一複雑なローカル5G」とのことでした。 UPFとCore、クラウド、の三位一体で、それが全部別ベンダーによって構成されるというものです。 docomoで使っているコアネットワークのアプリと同じものを使っているとのことでした。 さらに、APN(All Photonics Network)の要素技術としてFDN、オンプレの資産の上でAWS k8sと同じことができるAWSサービスのEKS-Anywareなど、様々な要素が詰まっているようです。

ShowNet 2024ローカル5G企画のNTT-Bラインに関して詳しく記事を書こうとすると、その部分だけで凄い文章量になってしまいそうなので、動画取材という形にしました。

PTP

ローカル5Gの運用には、精度の高い時刻同期が求められます。 精度の高い時刻同期のために、GPSに代表されるGNSSを利用した時刻同期が行われますが、ShowNet 2024でホール内にある全ての基地局にGNSSアンテナをつけるのは難しいので、PTPが使われています(PTPに関しては2022年と2023年のローカル5G解説記事もご覧ください)。

GNSSアンテナの冗長構成も大切なポイントのひとつです。 たとえば雷がGNSSアンテナに落ちてしまうなどの問題が発生すると、そのアンテナや、そこと接続している機器に問題が発生してしまうことが考えられます。 そのような問題が発生してPTPによる時刻同期が提供されなくなると、イベント全体に影響を与えてしまいます。 そのため、GNSSアンテナの冗長化もShowNet 2024で行われていました。

さらに、ShowNet 2024では、PTPのGMに接続するためのGNSSアンテナからのケーブルでも面白い機器が使われていました。 同軸と光のメディアコンバータです。 同軸ケーブルに流れる信号を光に変換する機器が使われ、GNSSアンテナと接続するケーブルの途中が光ファイバになっていました。 光による信号は分光器を使って複数の機器とへ届けられていました。

光による信号は、メディアコンバータを利用して、再度同軸に変換されてから分配されていました。 分配後の同軸のひとつに時刻測定器を挿して時刻同期の確認も行なわれていました。

なお、ShowNet 2024でPTPを利用していたのは、ローカル5Gだけではありません。 Media over IP企画でも重要な役割を果たしています。

特殊なSIM

特殊なSIMに関するデモも行われていました。 SIMカードにJavaアプレットが含まれており、SIMカードがサーバとの通信を行って、SIMカードが入れ替えられたときに検知ができるというものです。

2022年と2023年のローカル5G企画の概要としては、以下のようになっていました。

2022年

• 多種多様(7系統)のローカル5G実現方式をシールドテント内で動態展示
• 端末/RAN/コアの相互接続

2023年

• 実験試験局による3つのSub6バンドを使ったサービス運用・提供

以下、それぞれを紹介します。

2022年のローカル5G企画

もともと、2020年がローカル5Gの免許交付開始で、その年にローカル5G企画の準備をすすめていたようですが、残念ながら2020年は新型コロナによる非常事態宣言がInterop Tokyo開催前に発令されてしまい、Interop Tokyoの幕張メッセ開催が中止（※オンライン開催のみ）になってしまいました。

その後、Interop Tokyoで最初のローカル5G企画が実現したのが2022年でした。 募集をかけたところ多くのコントリビューションが集まり、7系統のローカル5Gデモが行われたとのことでした。

2022年のローカル5G企画では、免許を取得せず、電波をシールドすることができるシールドテントの中でローカル5Gの機器を使っていました。 シールドテントの中で、基地局と端末が設置されてのデモや相互接続実験などが行われました。

2022年は、スペアナによるシールドテント内外での電波測定も行われていました。 シールドテント内の電波が外に漏洩していないことを確認するために、テント外での測定が常時実施されていました。

また、シールドテント内で運用されている基地局と端末の電波が干渉していないなどを確認するために、シールドテント内でも測定が行われていました。

PTP(Precision Time Protocol)

2022年から、ローカル5GとMedia over IPの企画でPTP(Precision Time Protocol)の需要が発生したため、PTPによる時刻同期サービスがShowNetで行われています。

なぜPTPがローカル5Gで必要か？ですが、5Gでは、同一の周波数帯でアップリンクとダウンリンクを行うTDD(Time Division Duplex/時分割複信)という方法で通信が行われます。 5Gの無線機機同士が同期したタイミングでの送受信を行うことを求めており、許容される時間の誤差は1.5マイクロ秒です。

このため、精度の高い時刻同期が求められるのですが、GPS/GNSSの時刻情報を利用して時刻同期を行えるPTPが利用されます。

2023年のローカル5G企画

2023年は、シールドテントを使わず、Sub6実験試験局の免許をNEC、シスコシステムズ、NTTコミュニケーションズの3社が取得して、幕張メッセのホール内に電波を飛ばしてローカル5Gの運用が行われました。

ローカル5GとMECを使ったデモとして行われたのが、NOC機材置き場の監視カメラです。 MEC統合型UPFに、扉解放検知AIが含まれており、機材置き場の扉が開きっぱなしになっているのを検知できるようになっていました。

可搬型の映像中継システムとローカル5Gを組み合わせ、その映像をMedia over IP企画で使うというデモも2023年に行われていました。

2023年は、幕張メッセのホール内でローカル5Gを運用していましたが、幕張メッセ周辺に電波が漏れていないことを確認するために、会期中は定期的に幕張メッセ周辺で電波の観測を行っていたとのことでした。

2024年

2024年のローカル5Gの取り組みに関しては別途記事を書いたので、こちらをご覧ください。

• 攻撃者視点の対策
• 俯瞰的視点での対策
• オペレータ視点での対策
• 回線利用者視点での対策

これらを実現するために、以下の内容が行われていました。

• 様々なEASM(External Attack Surface Management)サービス群による攻撃対象領域管理
• 俯瞰的視点によるセキュリティ統合監視
• SASE(Secure Access Service Edge)を活用したセキュアな管理ネットワーク

毎年行われているShowNetセキュリティ対策

ShowNet 2024で行われたセキュリティ関連の取り組みを紹介する前に、まずは、最近毎年行われているShowNetでのセキュリティの取り組みについて紹介します。

ShowNetでは、例年、バックボーンを流れるトラフィックをタップによって複製したうえで集約し様々なセキュリティアプライアンスへ供給するパケットブローカーが運用されています。 パケットブローカーから複製されたパケットを受け取ったセキュリティアプライアンスは、リアルトラフィックを分析しています。 また、希望する出展社に対しては外からの攻撃を防ぐためのファイアウォールのサービスを提供したりしています。

それに加えて、最近開始した取り組みとしては、出展社ブースからの悪性通信を検知し、悪性通信と判断された通信を自動的に遮断するサービスを出展社が選べるようにしてあります。 外からの攻撃を防ぐだけではなく、中から外へ向けられる悪性通信も防ごうという取り組みです。 想定する脅威としては、たとえば、出展社が持ち込む機器が既にマルウェアに感染しており、その機器をShowNetに接続した瞬間にそこから感染が広がってしまうといったケースが考えられます。 ShowNetにマルウェアが持ち込まれることも過去にはあるようで、WannaCryというランサムウェアが流行り始めた頃に、内部でWannaCryによるスキャンが行われたこともあったようです。

この機能を実現するためには、ShowNetのバックボーンとの連携が必要であり、L2やL3を担当するチームとセキュリティチームの連携が必要になるとのことでした。 毎年新しいチャレンジに挑戦しているShowNetバックボーンなので、セキュリティに対する要件を実現するのも大変だそうです。

新型コロナ以降に開始した取り組みとしては、リモートアクセスにより遠隔でShowNetの管理ができるようにする環境の設計があげられます。 新型コロナ禍よりも前は、全員が幕張に来て機器の設定を行っていたのですが、全員で現地に集まることが難しくなってしまったため、遠隔からの設定を行える環境を整えるようになったとのことでした。 機器の設定を行なうコントリビュータが自宅もしくは職場からShowNetの管理ネットワークにアクセスしたうえでコンフィグが行えるサービスを提供するようになったそうです。 そういったリモートアクセスをセキュアに行えるように、2要素認証、デバイスポスチャ、SASEの機能で接続する前に様々なコンポーネントを取ってクリーンな通信だと判断したもののみを接続するといったサービスを提供しているとのことでした。

ShowNetにおけるセキュリティ対策は、ShowNetの運用そのものとも密接に関わっているため、基本的な部分で必要な内容は毎年用意されています。 そのうえで、これまで行われてきたセキュリティ関連の取り組みに加えて2024年は何が行われているのか、取り組みの枠組みは同じであったとしても利用される機器の新しい機能としてどのようなものが加わっているのか、などがShowNetで行われているセキュリティ関連の展示の見どころのひとつではないかと思います。

ShowNet 2024セキュリティ全体像

ShowNet 2024で行われたセキュリティ関連デモは次の図のようになっています。

上記図に掲載されている要素は次の通りです。

• 出展社向けセキュリティサービス
• 外部攻撃対象領域管理(EASM)
• Deception
• 脅威検出
• アラート分析・自動化
• 被疑端末特定支援
• マネジメントネットワークセキュリティ
• リモートアクセスサービス
• 統合認証
• 認証情報管理

ShowNet 2024は「3DアプローチでShowNetを守るセキュリティ」というテーマで行われましたが、そのための複数の視点である「攻撃者視点の対策」「俯瞰的視点での対策」「オペレータ視点での対策」「回線利用者視点での対策」と上記要素の対応付は次のようになっています。

• 攻撃者視点の対策
  外部攻撃対象領域管理(EASM)、Deception
• 俯瞰的視点での対策
  アラート分析・自動化、脅威検出
• オペレータ視点での対策
  マネジメントネットワークセキュリティ、リモートアクセスサービス、統合認証、被疑端末特定支援、認証情報管理
• 回線利用者視点での対策
  出展社向けセキュリティサービス

以下、全体像に含まれる個々の要素を紹介していきます。

出展社向けセキュリティサービス

ShowNetでは、希望する出展社に対してファイアウォールのサービスを提供しています。 希望する出展社のトラフィックは、バックボーンに設置されたファイアウォールを経由するようにルーティングが行われます。

希望する出展社のトラフィックのみがセキュリティアプライアンスを通るようにするための仕組みは、ファイアウォールとルータ間のBGPによる経路制御で実現しています。 出展社向けセキュリティサービスについては、バックボーンの解説記事でも紹介します。

EASM

ShowNet 2024では、どういった攻撃ポイントが外部から見えているのかを把握しつつ、それらを管理するという考え方のEASM(External Attack Surface Management)をうたう製品が展示されていました。 攻撃者側から見て、ShowNetがどのように見えているのかを推測するような仕組みです。 EASMの製品がShowNetで活用されるのは初めてというわけではなく、数年前からですが、今年もShowNetが提供するセキュリティ機能のひとつとして運用されていました。

ShowNetで展示されていたのは、ペネトレーションテストに近いものを試行して弱点を検出するものや、シャドーITを発見するような機能を持つものなど、5種類でした。

Deception

ShowNet 2024では、攻撃者が攻撃を行いやすい攻撃の囮(おとり)となるデコイ(decoy)が10種類用意されていました。 デコイに対して行われる攻撃を検知・監視することで、攻撃者の存在を知ることや、その攻撃者からのトラフィックをファイアウォールで除外するような設定を行えるような仕組みがShowNet 2024で実現されていました。

脅威検出、アラート分析・自動化

「3DアプローチでShowNetを守るセキュリティ」のうちの「俯瞰的視点」として紹介されているのが、脅威検出、アラート分析・自動化です。

これらを行うために、ShowNetバックボーン各所に光TAPを配置し、トラフィックをコピーして、各種機器へ分配するパケットブローカーが運用されています。 パケットブローカーからバックボーントラフィックを受け取ったアプライアンスが脅威を検知するとアラートが発生します。 ShowNetでは、様々なアプライアンスから発せられる膨大な数の検知アラートを集約し、そのなかから要対処インシデントを検出することが行われています。

被疑端末特定支援

ShowNet 2024では、被疑端末特定支援として、NAT変換テーブルからインシデント被疑端末を推定しやすくするデモも行われていました。

IPv4 NATが行われている環境で、プライベートIPv4アドレス空間からグローバルIPv4アドレス空間に対して悪性通信が行われた時に、グローバルIPv4アドレス側から観測できるIPv4アドレスは、NATルータが変換を行った後のIPv4アドレスです。 そのため、IPv4アドレス空間のどの端末から悪性通信が発生したのかを知るためには、その悪性通信が利用したポート番号とともにNAT変換テーブルを突き合わせて検証する必要があります。

ShowNet 2024では、Wi-Fiサービスで運用されるNAT変換テーブルをNetFlowを使って分析装置へ転送し、時刻/IPv4アドレス/ポート番号の情報から被疑端末を特定できるというデモが行われていました。

マネジメントネットワークセキュリティ

ShowNet 2024で「オペレータ視点」として紹介されているのがマネジメントネットワークのセキュリティです。

ShowNet 2024では、管理ネットワークからインターネットへの接続も行えるようになっていました。 マネジメントネットワークからインターネットへのアクセスは、SASEを用いて行われています。 SASEによって提供されるセキュリティコンポーネントが、悪性通信を検出します。

ただし、全ての機器が自由にマネジメントネットワークからインターネットへアクセスできるわけではありません。 許可されたものだけがインターネットにアクセスできる仕組みでした。 インターネットへのアクセスを許可したい機器が発生したときに、そのための各所への設定を行う必要がありますが、それらを行うための設定が必要箇所に行う部分は自動化されていました。

自動化はTTDBに登録を行うことで実現されていました。 ShowNetでは、発生した問題などに対処するためのデータベースを管理するトラブルチケットシステムを以前から利用していますが、そのトラブルチケットシステムで各種データをTTDBとして管理しています。 ShowNet 2024では、外部との接続を行っても良い機器を管理するデータベースもTTDBに含まれており、TTDBに新たな設定内容が登録されると、それが自動的に機器に反映されるような自動化が実現されていました。

リモートアクセス、統合認証、認証情報管理

ShowNet 2024では、マネジメントネットワークに対するリモートアクセスを行う方法として5種類のサービスを運用していました。 リモートアクセスの手法としては、SASE、ZTNA、VPNaaS、リモートデスクトップがありました。

セキュリティ機能やネットワーク機能をクラウドとして提供するSASEを利用する場合、ユーザは接続地点となるSASE POP(Point of Presence)へとIPsecで接続します。 クラウド内でセキュリティコンポーネントが用意され、各種セキュリティチェックが適用されたうえで、ShowNetのマネージメントネットワークへと接続する場合にはゲートウェイを通じてIPsecで、インターネットとの通信を行う場合にはゲートウェイからインターネットとの通信が行えます。

ShowNet内にある機器に対して直接IPsecでの接続を行う手法として、ZTNAとVPNaaSな手法が用意されました。

一度VPN接続が確立すると以後の個別セッションが信頼できるものとして行われるのではなく、全てのセッションを無条件で信用しないという考え方のZTNA(Zero Trust Network Access)な手段でShowNet内にある機器とのIPsecでの接続も用意されていました。 ひとつひとつのHTTPSセッションごとにポスチャチェットと認可が実施されます。

クラウドにVPNのための接続地点を用意するVPNaaS(VPN as a Service)な仕組みでは、ShowNet内にある機器とのトンネル接続時にポスチャチェックと認可が実施されます。

ShowNet外部からのブラウザやCLIで接続し、そこからShowNet内部に対してさまざまなプロトコルで接続できるRemote Desktop Gatewayも用意されていました。 ShowNet 2024では、このRemote Desktop Gatewayを全てのShowNetオペレータが利用できるようにアカウントが出されていました。

PQC相互接続実験

ShowNet 2024では、PQC(Post-Quantum Cryptography/耐量子計算暗号)を実装したIPsec VPN(RFC 8784)の相互接続デモも展示してありました。

放送局とのコラボレーション

2024年のMedia over IP分科会では、Media over IP特別企画としてNHK、日本テレビ、テレビ北海道、テレビ朝日の4局とのコラボレーションが行われました。 NHK、日本テレビ、テレビ北海道はインターネット経由でShowNetと接続し、SMPTE ST 2110によるマルチキャストでの映像トラフィックを相互に送るデモが行われています。 テレビ朝日はShowNetにおいてST2110機材の相互接続試験を実施する目的で、機材の持ち込みやシステムカメラによるShowNet Stageセッションのライブ中継デモに取り組んでいました。

2024のMedia over IP企画では、幕張メッセで撮影した映像を素材としてマルチキャストでテレビ局まで送信し、テレビ局側が受け取った幕張メッセからの映像にテレビ局側での合成を追加したうえで、別のマルチキャストストリームとして幕張メッセに返しています。

幕張メッセで撮影された映像と、放送局で合成されて帰ってきた映像は、MOCブースで展示されていました。

2022年はインターネットを通じた映像伝送を行うためにSMPTE ST 2110のマルチキャストトラフィックをNATでユニキャストに変換して送信していましたが、今年は全てマルチキャストで行っています。 放送局とInterop Tokyo会場の幕張メッセの間は、L2VPNで接続されていました。

使われた映像品質としては、1080インターレース、日本テレビとの映像やりとりはST 2110-22(JPEG-XS)による圧縮あり、NHKとテレビ北海道との映像やりとりはST 2110-20による非圧縮でした。

MOC(Media Operation Center)

今年は、NOC(Network Operation Center)ブースだけではなく、MOC(Media Operation Center)ブースも用意されていました。

参考：ShowNet公式YouTubeより→https://www.youtube.com/shorts/b969CKwQ6ZY

Media over IPのトラフィックがバックボーンを経由

2024年のMedia over IP企画の特徴として、Media over IP企画に関連する箇所がShowNet内に複数あるため、マルチキャストによる映像トラフィックがバックボーンネットワークを通過するという点があげられます。

Media over IP企画の2023年ShowNetと2024年ShowNetのトポロジ図を比べてみると、2023年は左端のみであることに対して、2024年は複数箇所が関連していることがわかります。

2023年のMedia over IP企画

2024年のMedia over IP企画

2024年ShowNetでは、NOC StageとMOCの間は、SRv6でL2VPNを通しています。 そのうえで、OSPFとPIM-SMによる経路制御が行われています。

放送局との通信は、放送局までのL2VPNを通じて行われます。

このネットワークのうえをマルチキャストによる映像トラフィックが流れます。

マネジメントセグメントを放送局まで延伸

今年のShowNetでは、Media over IP企画のために、L3VPNを使ってマネジメント用のセグメントを各放送局まで伸ばしています。

放送局まで伸ばしたマネジメント用セグメントを通じて、各放送局側にある映像機器を制御可能になっています。 リモートオペレーション、リモートプロダクションと言われているようなことを幕張メッセからできるような構成です。

ブロードバンドが普及し始めた2000年ごろから「放送と通信の融合」というキーワードが各所で謳われてきましたが、これまでの取り組みでは放送コンテンツとインターネットといった視点の議論が多かったのではないでしょうか。 SMPTE ST 2110規格の登場などにより、映像の制作現場にもIP化の波が押し寄せつつあります。 ShowNetのMedia over IP企画は、そういった背景のなか、映像の制作現場で使う映像素際のIP伝送の形を模索するような企画です。

日本国内では、放送機器の展示会であるInter BEEが11月に行われていますが、このInter BEEで行われた企画のひとつである「IPパビリオン」のアドバイザーを行っていたShowNet NOCが行っていた繋がりから、ShowNetでも映像制作現場のIP化を扱うMedia over IP企画を開始しています。 Inter BEEで行われる企画のひとつであるIPパビリオンで得られた知見などをShowNet的な視点の企画にしたような感じでしょうか。 放送局的視点で行われるInter BEEと、通信ネットワーク的視点で行われるInteropは、毎年半期ずれて行われることもあり、お互いに関連しそうなテーマでは協力関係があるようで、そういった背景もMedia over IP企画にはあるようです。

Media over IPは、2022年、2023年と2年続けて行われ、今年は3年目です。 これまで2回行われてきたMedia over IP企画を知ることで、2024年のMedia over IP企画を理解しやすくなると思います。

Media over IPは、放送局などの映像制作現場での利用を想定した、IPを利用した映像転送ネットワークを提案する企画です。 放送局で利用するための映像機器のIP化は、いままさに転換期とも言えるような時期であり、そのような用途を目指した最新機器が毎年登場しています。 ShowNetのMedia over IP企画は、そういった背景のもと、ネットワーク屋が最新機器を使って構築した放送局レベルの映像転送用IPサービスを構築することを目指しているとのことでした。

SMTPE ST 2110

ShowNetのMedia over IP企画の背景にあるのがSMTPE ST 2110です。 SMTPE ST 2110は「ST 2110 Suite of Standards」であり、複数の規格を示すものです。 SMTPE ST 2110は、放送業界で標準的に使われ続けているSDI(Serial Digital Interface)をIP(Internet Protocol)ベースで行うための仕様群です。 ST 2110のうち、最も古いのは2017年に規格が発効されたST 2110-21:2017です。 最も新しいのは、2022年に規格が発効されたST 2110-22:2022です(2024年6月現在)。

SMTPE ST 2110は、マルチキャストの利用、映像や音声の伝送にRTP(Real-time Trasfer Protocol)、セッション情報の告知等にSDP(Session Description Protocol)、時刻同期にマイクロ秒以下の精度を実現可能なPTP(Precision Time Protocol/IEEE 1588)を使うという特徴があります。

マルチキャストによってIP網をハブのように扱い、必要な映像を必要とする機器へと届けるという規格です。 ShowNetのMedia over IP企画では、この「マルチキャストである」という部分が非常に大きなポイントになりました。

2022年の取り組み

まずは、Media over IP企画が行われた最初の年である2022年の内容から紹介します。

Media over IP企画が行われた最初の年である2022年は、Media over IP企画用のマルチキャストトラフィックは、マルチキャストとして直接ShowNetバックボーンを経由したわけではなく、複数の「出島」のようになっている複数拠点が繋がるような形でした。

ここでは、2022年のMedia over IP企画の特徴として、以下の点に着目し、それぞれを紹介します。

• L2ファブリックで複数の拠点を接続
• インターネット経由で遠隔地への配信

参考：2022年のShowNet資料

• ShowNetの歩き方2022(PDF)
• ShowNet 2022年 トポロジ図(PDF)

中継車

2022年のShowNetでは、SONYの中継車も「拠点のひとつ」という形でMedia over IP企画で扱われていました。 SONYの中継車は、その内部がL2ファブリックのようになっており、コントローラによって管理されたSDN(Software Defined Network)が中継車内に作られています。 そのネットワーク内では、必要とする映像ストリームの経路が必要に応じて必要な機器へと誘導されます。

インターネット経由で遠隔地への配信

SMTPE ST 2110の全てのプロトコルの名称は「Professional Media Over Managed IP Networks」から始まっていることからも、SMTPE ST 2110が基本的に閉域網での利用を想定していることがわかります。

2022年のShowNetでは、他のトラフィックが流れているIP網を経由しつつも、SMTPE ST 2110を利用する機器同士で映像の送受信が行えるというデモも行われていました。

このデモを行うために、特殊なNATが利用されています。 SMPTE ST 2110のトラフィックはマルチキャストで送受信されますが、ASを超えるマルチキャストルーティングは、現時点のインターネットでは現実的ではありません。 そこで、マルチキャストパケットとユニキャストパケットの変換を行える装置によって、ASを超えて映像の伝送を行えるように工夫しています。

マルチキャストとユニキャストの変換は、Media over IPのためのファブリックを構成するCiscoのNexus 93180YC-FX3に含まれるIPヘッダのNATで実現しています。 マルチキャストパケットを受信するためには、マルチキャストグループへのJOINも必要なので、JOINメッセージを送信してグループに参加したうえでNATを行うといった処理も行ったうえでのIPヘッダ変換が行われました。

ユニキャストに変換された映像ストリームは、SRv6を利用して制御されたうえで、DIX-IEを通じて大阪の堂島に転送され、そこから折り返して幕張に返ってくるというデモが行われていました。

ネットワークに直接繋がる映像機器

ネットワークに直接繋がる映像機器も2022年ShowNetのMedia over IP企画で使われていました。

SFPモジュール型のST2110エンコーダ・デコーダは、通常のネットワーク機器にSDIインターフェースがついているような状態になるので、なかなか面白かったです。

参考：SFP型のSDI入出力で4K映像をShowNetにIPマルチキャスト配信 - Interop ShowNet 2022

ST2110の送受信が可能なカメラも展示されていました。

これらの機器は、遠隔からの設定や操作を行える機能が含まれる場合もあるというのもIP化による恩恵のように思えました。

ファブリックで複数の拠点を接続

2022年のShowNetには、複数のベンダによって、ベンダごとのファブリックが使われていました。 ファブリックは、各社が独自の手法で実現していることが多く、たとえばコントローラなどが異なるため、2022年のShowNetではベンダごとに異なるファブリックを構成していました。

複数のファブリックが運用された2022年のShowNetでは、中継車の内部ネットワークもファブリックのひとつとして運用されていました。 ファブリック同士をそのまま一緒に運用するのは難しいため、中継車内部ネットワークのファブリックは、ShowNet内の他のファブリックのリーフから外部ネットワークとして別のファブリックに接続するという構成になっていました。

ファブリックに求められる機能のひとつとして、巨大なマルチキャストトラフィックによる輻輳を可能な限り避けるというものがありました。 マルチキャストは、JOIN要求を出した受信者がいる場所に向かってトラフィックが流れますが、複数のトラフィックによって帯域が輻輳しないようにマルチキャストトラフィックが流れる経路を構成していました。

2023年の取り組み

次は、2023年ShowNetのMedia over IP企画です。

ここでは、2023年のMedia over IP企画の特徴として、以下の点に着目し、それぞれを紹介します。

• SMPTE 2022-7
• PTPによる時刻同期

上記の他、2022年と同様となるステージからの映像だけではなく、固定カメラを用意したり、Local 5G越しに映像を見ることができたり、といった違いもありました。

ShowNet 2023のトポロジ図などは公式ドキュメントをご覧ください。

• ShowNetの歩き方2023(PDF)
• ShowNet 2023年トポロジ図(PDF)

SMPTE 2022-7

SMPTE ST 2022という規格もあります。MPEG-2やSDIのIPでのカプセル化や同期、誤り訂正符号化(Forward Error Correction)、冗長化とヒットレス(シームレス)切り替えなど7つの規格がSMPTE ST 2022で定義されています。

ShowNet 2023のネットワーク構成を理解するうえで大きなポイントだったのが、SMPTE 2022のうちのSMPTE 2022-7です。 SMPTE 2022-7は、Amber(アンバー/琥珀という意味)とBlue(ブルー/青)、もしくは、PrimaryとSecondaryと呼ばれる2系統のネットワークを用意する規格です。

SMPTE ST 2110では、AmberとBlueの両方に同じ信号をRTPで流しつつ、受信側も両方を受け取ります。 Amber側に何か問題が発生しても、瞬時にBlue側に切り替えれば、映像が問題なく継続して利用できるというものです。

2023年のShowNetでは、AmberとBlueのために2つの異なる経路を用意していました。 ShowNet 2023のトポロジ図全体を見ると、左側にMedia over IP企画によるエリアがありますが、この部分を拡大してみると、ネットワークが2系統になっているのがわかります。

多少マニアックな視点になってしまうかも知れませんが、SMPTE 2022-7の条件を満たすために、直接まじわらない2系統のネットワークを作られているというのがShowNet 2022のトポロジ図から読み取れます。

PTPによる時刻同期

PTP(Precision Time Protocol)は、マイクロ秒以下の精度での時刻同期を実現できるプロトコルです。 PTPの最初のバージョンは2002年に規定されたIEEE 1588-2002です。 2008年にIEEE 1588-2008がPTPバージョン2として規定されています。

PTPは、GPS/GNSS信号を受信し、精度の高い時刻情報をネットワーク内にマルチキャストで配信できます。 ネットワーク等による遅延を推定するという仕組みはNTPと似ている部分がありますが、OSの上で動くことを前提としているNTPとは異なり、PTPでは、より精度を高めるためにハードウェアやドライバ等での制御が行われます。

2023年のShowNetでは、PTPによる時刻同期をShowNetが提供しています。 以下が、2023年のPTPトポロジ図です。

Media over IP企画の機器は、PTPの信号を受け取って同期をする必要があり、ShowNet 2023では、PTPの運用も行われていました。

2024年企画に関しては後日

以上が、2022年と2023年のMedia over IP企画概要です。

2022年、2023年を通じてMedia over IP企画で伝えられ続けているテーマのひとつに、「他のインターネットトラフィックが流れているところでの映像制作で使われる品質の映像を扱う」という点があげられます。 こういった技術を突き詰めていくと、テレビ局の局社内のネットワークを組む自由度が上がるのではないかといった考えもあるようです。

過去2年の取り組みをさらに発展させたものが今年のMedia over IP企画になるようです。 この記事を執筆している段階では、今年のInterop Tokyo会期前なのでShowNetが完成しておらず、まだ今年の内容がどのようなものになるのか聞いていませんが、Interop Tokyo 2024が始まったら今年のMedia over IP企画を取材したいと考えています。

通常の伝送網であれば、伝送装置は同じベンダーのもので揃えることが多いのですが、ShowNetでは、伝送網で可能な箇所に関してはマルチベンダーの製品を相互接続するような構成をとることを意識しているとのことです。 異なるベンダーの製品同士を相互接続している箇所と、そうではない箇所を見て回るのも、ShowNetの楽しみ方のひとつかも知れません。

2021年

NOCラックからHall 4,5,6の間の回線に伝送装置を利用していました。

ShowNet 2021では、バックボーンの一部にWDM装置を利用してバックボーンに「リング型のShowNet伝送網」を組み、リングのうちの1箇所のファイバ断線したとしても、冗長で残した波長とバックボーンの冗長性によって、ShowNetのネットワークサービスを継続できる構成にしたとのことでした。 この年のShowNet内に、ひとつの大きなファイバリングを作り、それぞれのユーザ収容用の伝送装置をつないでいました。

参考：2022年のShowNet資料

• ShowNet 2021年 トポロジ図(PDF)

2022年

2021年はバックボーンの一部で伝送装置が使われるのみでしたが、2022年は、バックボーンのすべての回線で伝送装置が使われていました。 コアルータやエクスターナルルータなど、すべてのバックボーンルータ同士の接続は、ShowNet伝送装置を通して接続していました。

もうひとつの特徴として、バックボーンネットワークを中心に2つのリングで構成して、片方のリングが完全に止まっても、もう片方のリングで通信が継続できる冗長構成でした。 2系統のリングの構成は、次の図のようになっています。

伝送速度としては、10Gから800Gまでの様々な速度の光伝送で、多数の接続を束ねていたことも大きなチャレンジでした。

参考：2022年のShowNet資料

• ShowNetの歩き方2022(PDF)
• ShowNet 2022年 トポロジ図(PDF)

2023年

2023年のShowNetでは、バックボーンだけではなく、出展社向けの回線でも伝送装置を利用していました。

さらに、2022年と比べて、それぞれのテーマを持った伝送網が4つに増えています。 それぞれの伝送網で利用する技術が異なり、2022年同様に様々な伝送速度や、異なる多重方法でShowNet伝送網を実現していました。

また、電源が不要で特定の波長を選択して右・左と振り分けることもできるパッシブな光伝送部材を使用して、光伝送を実現するデモも行われていました。

参考：2023年のShowNet資料

• ShowNetの歩き方2023(PDF)
• ShowNet 2023年トポロジ図(PDF)

2024年の内容は？

2024年の取り組みに関しては、今年のInterop開催後に記事を書きたいと考えていますので、ご期待ください。

Interop 2023のShowNetバックボーン

2023年のInterop Tokyo ShowNetにおいて、ルーティングという観点からの見どころはおおきく2つです。

• SRv6によるバックボーンネットワーク
• EVPN-VXLANによるユーザ収容ネットワーク

それぞれの技術の概要と、2023年のShowNetのどこでどう使われているか、ShowNet名物の一つ、トポロジー図から見ていきます。

SRv6によるバックボーンネットワーク

Segment Routingは、ネットワーク上のあらゆる要素、たとえばノードやノード同士の隣接関係、そしてサービス等を、Segment Identifer (SID)と呼ばれる識別子で表現し、転送するパケットに「このパケットはどのSIDを通過すべきか」というSIDのリストを埋め込んで転送するSource Routingの仕組みのひとつです。 Segment Routing over IPv6 (SRv6)は、Segment RoutingのSIDとして128bitのIPv6アドレスを用い、パケットをIPv6でカプセル化して転送する技術として、2010年代後半から標準化、そして実装が進んでいます。

SRv6の主なユースケースのひとつは、キャリア等のバックボーンネットワークにおけるVPN(インターネットVPNではなく、ひとつのネットワーク上に顧客ごとに分離された経路表(VRF)を用いて構築されるマルチテナントな仮想ネットワークのこと、L3VPN、L2VPNとも)を構築する際のデータプレーンとして用いることです。

SRv6によるL3VPNでは、ルータは「自身の持つこのSID宛にきたIPv4 in IPv6のパケットは、カプセル化を解いて、中のIPv4パケットをこのVRFで宛先を検索して転送する」という動作をします(仕様としてはEnd.DT4と呼ばれる動作)。 あとは「この宛先IPv4ネットワークへ転送するときは、このSIDでカプセル化して送信する」という動作を組み合わせれば(仕様としてはH.Encapsと呼ばれる動作)、あるルータから別のルータへ、IPv4パケットをIPv6でカプセル化してルータ間、実際にはそれらのルータの配下にいるノード間で転送することができます。

また、IPv4の経路表はVRFとして分離されているので、単一のIPv6バックボーンネットワーク上に分離された複数のIPv4ネットワークを論理的に構築することができます(当然、IPv6パケットをIPv6でカプセル化する動作もあります)。

このように、パケットをover-IPv6で転送するSRv6ですが、「ある宛先へのパケットをどのSIDへ転送するか」という情報はBGPで経路として交換します。 IPネットワークにおける経路とは「宛先」と「Next-hop」の組み合わせです。 SRv6 L3VPNのBGPで交換する経路は、宛先はVRF内における宛先IPv4またはIPv6ネットワークアドレス、Next-hopはSID (128 bitのIPv6アドレス)、となります。

当然ただのBGPでこのような経路を交換することはできないので、新しい経路広告フォーマット(NLRI)が必要です。 これを規定する仕様がRFC 9252であり、2022年7月に発行されました。 2022年7月といえば、去年(2022年)6月のShowNetでフルSRv6バックボーンの構築が行われた後です。 このようにShowNetでは、標準化が進行中、または完了直後の新しい技術も積極的に取り込んで動かし検証する、まさにRunning Codeを動かす場としての役割も負っています。

今年(2023年)のトポロジー図の話にもどりましょう。 図1は2023年のShowNetバックボーンにおけるSRv6の範囲をピックアップしたものです。 赤い丸のアイコンがLayer-3のルータを表しています。

図1: ShowNet 2023のSRv6バックボーン / https://www.interop.jp/2023/shownet/topology.pdfより

上の3台、mx204、ne8000m4-1、acx7100が対外接続としてTransit ASやPeer ASとBGPピアをはっています。 図1下部の2台、mx10004とne8000m4-2はShowNetのユーザである出展社のセグメントを収容しています。 そして左のfx2とkamueeはデータセンタ相当部分の収容、右のncs57b1とacx7509がサービス用サーバネットワークを収容しています。 各ルータが収容するネットワーク、つまり、対外、ユーザ、左右のサーバ群の間のトラフィッ クは、すべてSRv6で(つまりIPv6で)カプセル化されて転送されました。

SRv6はIPv6ですべてのトラフィックを転送します。 IPv6には、Link Localアドレスという、機器のインターフェースに自動で付与されるアドレスがあります。 この2つが組み合わさると、なんとバックボーンのリンクにIPアドレスを付与する必要がなくなります。 これはSRv6を利用する利点のひとつです。

IPv4ネットワークでは、ルータ間でパケットを転送するためにルータのインターフェースにIPv4アドレスを付与する必要があります。 2台のルータが1本のリンクで直接接続する場合、大抵は/30のアドレスブロックを切り出してリンクに割り当てることでしょう。 ネットワーク全体では/30がルータ間のリンクの数だけ必要なります。

その結果、運用者はたくさんの細かいIPv4ネットワークの割り当てを管理することになります。 SRv6によってバックボーンがIPv6シングルスタックになれば、ルータ間のリンクにはLink Localアドレスだけが自動で付与されればよく、あとはIGP (OSPFやISIS)を使って、BGPをはるためのアドレス(大抵はLoopbackにつけた/128のアドレス)を交換するだけです(実際にShowNetで構築してみて、IPv6 Link Localのみのunderlayは作るのがとても楽でした。 個人的にはSRv6のこの点はとても気に入っています)。

また2023年のSRv6バックボーンでは、VRFを使わないSRv6の活用にもチャレンジしました。 冒頭、SRv6のユースケースのひとつはVPNである、と書きました。 一方ネットワークによってはVPN、VRFを利用してネットワークを仮想的に分離する必要はないが、オーバーレイの利点(バックボーンのシングルスタック化やアドレスフリー、他にもコアルータの経路数の削減、VRFでは動作しない機能の利用など)を享受したい場合もあります。

VPN無しでSRv6を使うには、BGPで交換されるNext-hopがSIDな経路を、VRFではないデフォルトの経路表にインストールする必要があります。 さらに踏み込んで言うと、BGPで交換される経路のSAFIが128から1になります。 2023年のShowNetではインターネットと通信するネットワーク面(VRF内に構築されるCGN配下のプライベートアドレス面と比較して、グローバル面や表(おもて)面とShowNetでは呼ばれます)は、最近実装が進んだこの機能を利用してVRF内のVPNではなくルータのデフォルトの経路表で構築されました。

Looking Glassで確認する

ShowNetのLooking Glass (bgp.interop-tokyo.net、ShowNetが存在する3日間だけ利用できます)を使って、実際にデフォルトの経路表にインストールされた経路を見てみると、宛先がSRv6のSIDになっていることがわかります(ここで表示されている経路は、Looking Glass用にたてたコンテナルータのためNext-hopがunusableになっています)。

inet.0: 917099 destinations, 1834194 routes (916664 active, 838429 holddown, 866 hidden)
130.69.0.0/16 (2 entries, 1 announced)
        State: 
        +BGP    Preference: 170/-151
                Next hop type: Unusable, Next hop index: 0
                Address: 0x5639ce9148dc
                Next-hop reference count: 2202742, key opaque handle: (nil), non-key opaque handle: (nil)
                Source: 2001:3e8::12
                State: 
                Local AS:   290 Peer AS:   290
                Age: 10:51:42 	Metric: 0 
                Validation State: valid 
                Task: BGP_290.2001:3e8::12+48625
                AS path: 2907 2501 I  (Originator)
                Aggregator: 2501 133.11.255.160
                Cluster list:  0.0.0.12
                Originator ID: 45.0.0.3
                Communities: large:290:1000:2 large:290:2023:11 large:290:2023:330 large:290:2023:3301 large:45686:1000:2 large:45686:1001:1
                Accepted MultiNexthop RecvNextHopIgnored
                SRv6 SID: 2001:3e8:fa00:3:4:: Service tlv type: 5 Behavior: 19 BL: 40 NL: 24 FL: 16 AL: 0 TL: 0 TO: 0
                Localpref: 150
                Router ID: 45.0.0.12
                Thread: junos-main 
        -BGP    Preference: 170/-151
                Next hop type: Unusable, Next hop index: 0
                Address: 0x5639ce9148dc
                Next-hop reference count: 2202742, key opaque handle: (nil), non-key opaque handle: (nil)
                Source: 2001:3e8::13
                State: 
                Inactive reason: Not Best in its group - Update source
                Local AS:   290 Peer AS:   290
                Age: 10:51:53 	Metric: 0 
                Validation State: valid 
                Task: BGP_290.2001:3e8::13+55185
                Announcement bits (1): 1-KRT MFS 
                AS path: 2907 2501 I  (Originator)
                Aggregator: 2501 133.11.255.160
                Cluster list:  0.0.0.13
                Originator ID: 45.0.0.3
                Communities: large:290:1000:2 large:290:2023:11 large:290:2023:330 large:290:2023:3301 large:45686:1000:2 large:45686:1001:1
                Accepted MultiNexthop RecvNextHopIgnored
                SRv6 SID: 2001:3e8:fa00:3:4:: Service tlv type: 5 Behavior: 19 BL: 40 NL: 24 FL: 16 AL: 0 TL: 0 TO: 0
                Localpref: 150
                Router ID: 45.0.0.13
                Thread: junos-main 

EVPN-VXLANによるユーザ収容ネットワーク

バックボーンネットワークから今度はアクセスネットワークの方に目を向けてみます。 2023年のShowNetでは、ユーザを収容するアクセスネットワークにEVPN-VXLANを用いています。

SRv6によるバックボーンがキャリア向け技術のデモンストレーションである一方、アクセス網へのEVPN-VXLANの適用はエンタープライズ・キャンパスネットワークのユースケースを想定しています。 エンタープライズ・キャンパスのネットワークを物理的な側面から見ると、例えば建物のフロアごとに多数のUTPを収容できるフロアスイッチを設置し、建物内の縦管を通る光ファイバを使ってフロアスイッチを建物の集約スイッチへ接続、集約スイッチは建物間ファイバ を使ってコアへ接続するような構成が多いのではないでしょうか。

同じ箇所をネットワークの論理的な側面から見ると、ユーザを収容するセグメント(往々にしてVLAN)をどうやってフロアスイッチのユーザポートまで伸ばすか、フロアからコアまでの経路でどうように冗長をとるのか、そしてデフォルトゲートウェイの冗長をどうやって確保するのか、といった点がキモになります。

このようなアクセスネットワークにおいてもっとも一般的な技術はVLANですが、Flood-and-LearnなLayer-2では、ループは許容されず冗長経路を作ることができない(STPはありますが色々つらい点が多い)、広大なL2に大量のMACが流れるのは規模性の観点からも厳しいものがある、ホップバイホップにスイッチにVLANを投入する必要があり設定が手間、デフォルトゲートウェイの冗長もVRRP が必要であくまでActive-Standby、など、実際の運用ではなかなか厳しい点が多々あります。

そこで2023年のShowNetでは、VLANを(正確にはスイッチ間に設定されるVLANを)廃し、ShowNetのユーザである出展社さんのブースへ繋がるUTPを収容するスイッチが、ブースから受信したEthernetフレームをVXLANでカプセル化し、IPネットワークごしに出展社収容ルータへ転送する構成を採りました。 VXLANはRFC 7348で標準化されたカプセル化方式で、Ethernetフレームを、IP、UDP、そしてVXLANヘッダでカプセル化して転送します。図2はShowNetのトポロジー図からEVPN-VXLANによる出展社収容に関わる部分をピックアップして示しています。

ブースへのUTPを収容するのはex4100、s5732h、nexus93108tc、catalyst9300の4機種計8台、これらのスイッチは受信したEthernetフレームはVXLANでカプセル化しルータへ送信、また自身が受信したVXLANでカプセル化されたパケットを解いてEthernetフレームとして転送するVTEP(VXLAN Tunnel End Point)として動作しました。 VTEPがカプセル化したIPパケットは、OSPFで経路制御されるLayer-3ネットワーク越しにユーザセグメントのデフォルトゲートウェイとして動作するmx10004またはne8000m4-2へ転送されます。 mx10004とne8000m4-2は、VLXANカプセル化されたパケットを受信するとそのカプセル化を解き(つまりmx10004とne8000m4-2もVTEPです)、インナーのEthernetフレームが属すセグメント(VXLANヘッダに含まれるVirtual Network Identifierと呼ばれる24 bitの識別子で識別されます)に紐づくLayer-3インターフェースで受信され、当て宛先IPアドレスでVRF内の経路にしたがってルーティングされて、宛先に応じて次はSRv6で転送されていきます。

図2: EVPN-VXLANによる出展社収容ネットワーク / https://www.interop.jp/2023/shownet/topology.pdfより

SRv6で「ある宛先へのパケットをどのSIDへ転送するか」をBGPで交換したように、VXLANでEthernetフレームを転送するためには「あるMAC宛のフレームをどのVTEPへ転送するか」をVTEP間で交換する必要があります。 これを実現するのがEthernet VPN (EVPN)と呼ばれるBGPの拡張です。 EVPNには「あるMAC宛のフレームをどのVTEPへ転送するか」を示すType-2 MAC/IP Advertisement Routeの他にも、BUM(Broadcast、Unknown Unicast、Multicast)パケットをどこに転送すべきかを伝えるType-3 Inclusive Multicast Routeなど、いくつかの経路タイプがあります。 EVPNを利用することで、ひとつのセグメントに対してデフォルトゲートウェイとして動作する複数の機器、2023年のShowNetでいえば mx10004とne8000m4-2は、ひとつのユーザセグメント(VXLANセグメント)に同じIPアドレスと同じMACアドレスを持ち、どちらも同時に動作できるActive-Active構成なデフォルトゲートウェイとして冗長性を確保しました。

EVPN、とくにEVPN-VXLANは、仮想環境における仮想マシンへのLayer-2セグメントの接続や、VLANが4094個しか切れないこと対するソリューションとして登場し、標準化、実装が進みました。 そのため当初(EVPN-VXLANのRFC8365が発行されたのが2018年、元になったドラフトは2013年にsubmitされました)はデータセンター向けの高機能かつ高性能な光多ポートスイッチでの実装が主流でした。 これが近年はデータセンター以外、とくにUTP多ポート+光アップリンクのエンタープライズ向けスイッチへも実装が進んだ結果、Layer-2 VPNはキャリアやデータセンター事業者以外でも手の届く技術になりつつあります。 ShowNetバックボーンはキャリア向けの技術が主であると思われがちではありますが、このようにエンタープライズ向けにも常に新しい技術・構成にチャレンジしています。

関連記事

• SRv6を活用し、リンクローカルIPv6アドレスだけでバックボーンのルーティング - Interop ShowNet 2022(2022年記事)
• Interop Tokyo 2023 ShowNet取材動画(YouTube動画取材という新しい試み, 2023年)