The Cable GuyVPN 接続を経由した IPv6 トラフィック
Joseph Davies
イントラネット上でインターネット プロトコル バージョン 6 (IPv6) が果たす役割の評価と、IPv6 の展開計画を開始する前に、IPv6 トラフィックが、Windows の仮想プライベート ネットワーク (VPN) 接続を経由した場合のサポートについて理解する必要があります。VPN 接続を使用すると、ネットワークを拡張して、インターネットなどのパブリック ネットワークにまたがったリンクを
含めることができます。VPN 接続は、接続しているユーザーの資格情報を検証するための強力な認証プロトコル、およびデータの機密性を提供するための暗号化方法によって保護されます。
Windows® XP と Windows Server® 2003 には IPv6 プロトコル スタックが含まれていますが、多くの主要なサービスとネットワーク コンポーネントでは IPv6 がサポートされていません。Windows Vista™ と Windows Server 2008 (以前のコードネーム "Longhorn" から変更) では、IPv6 のすべての機能がサポートされており、既定で IPv6 がインストールおよび有効化されています。さらに、Windows Vista と Windows Server 2008 に含まれているほとんどすべてのネットワーク アプリケーションおよびネットワーク サービスでは、IPv6 がサポートされています。今月は、インターネット プロトコル バージョン 4 (IPv4) インターネットと IPv6 インターネットにまたがって確立された VPN 接続を経由して送信された IPv6 トラフィックに対する、Windows Vista、Windows Server 2008、Windows XP、および Windows Server 2003 のサポートについて説明します。
IPv4 インターネットを経由した VPN 接続
今日のほとんどのイントラネットでは、IPv4 インターネットを経由して VPN 接続が作成されます。図 1 は、この種類の VPN 接続で使用される Windows ベースのコンポーネントを示しています。これらの構成要素に関する説明を次に示します。
図 1** IPv4 インターネットを経由した VPN 接続で使用される Windows ベースのコンポーネント **(画像を拡大するには、ここをクリックします)
VPN クライアント VPN サーバーへのリモート アクセス VPN 接続を開始し、イントラネット リソースと通信するコンピュータです。リモート アクセス VPN 接続を使用すると、VPN クライアントは、イントラネットに直接接続されているかのようにリソースにアクセスすることができます。VPN クライアントでは、Windows のクライアント バージョンまたはサーバー バージョンを実行できます。
VPN サーバー 試行されるリモート VPN 接続をリッスンし、認証を実行して接続要件を適用し、VPN クライアントとイントラネット リソースとの間でパケットをルーティングするコンピュータです。通常、VPN サーバーでは、ルーティングとリモート アクセスのサービスが含まれた Windows のサーバー バージョンが実行されます。
VPN ルーター サイト間で試行される VPN 接続を開始またはリッスンするコンピュータです。サイト間の VPN 接続は、イントラネット内の 2 つの場所を接続します。VPN ルーターでは、Windows のサーバー バージョンと、ルーティングとリモート アクセス サービスが実行されます。
VPN 接続 VPN プロトコルのカプセル化によって定義された、VPN クライアントと VPN サーバーとの間、または VPN ルーター間の論理リンクです。
IPv6 対応イントラネット IPv6 トラフィックを、IPv4 パケットとしてトンネリングするかネイティブで転送できるイントラネットです。
IPv6/IPv4 ホスト IPv6 トラフィックを、IPv4 パケットとしてトンネリングするかネイティブで送受信するイントラネット ノードです。
Windows ベースの VPN クライアント、VPN サーバー、および VPN ルーターは、Point-to-Point トンネリング プロトコル (PPTP)、インターネット プロトコル セキュリティを使用したレイヤ 2 トンネリング プロトコル (L2TP/IPsec)、および Secure Socket トンネリング プロトコル (SSTP) といった VPN プロトコルを使用して、VPN 接続を経由して送信されたパケットをカプセル化できます。SSTP は、Windows Vista Service Pack 1 (SP1、現在はベータ テスト段階) と Windows Server 2008 のみでサポートされます。
IPv4 インターネットを経由した VPN 接続の場合、IPv6 の送信に使用される方法は 2 つあり、IPv4 パケットとしてトンネリングされた IPv6 パケット (これ以降は IPv6-over-IPv4 トラフィックと呼びます) か、ネイティブ IPv6 トラフィックとして送信されます。
このコラムでは、VPN 接続を経由した IPv6 トラフィックのサポートについて、VPN プロトコルと Windows のバージョンという観点から説明します。リモート アクセス VPN 接続の場合、特定の VPN プロトコルと Windows のバージョンを組み合わせて使用することにより、Windows のリモート アクセス クライアント コンポーネントとリモート アクセス サーバー コンポーネントの両方で、VPN 接続を経由した IPv6 トラフィックをサポートすることができます。
IPv6-over-IPv4 トラフィック
この方法では、リモート アクセス クライアントまたはイントラネット上の IPv6/IPv4 ホストが、IPv4 ヘッダーで IPv6 パケットをカプセル化し、それを IPv4 パケットとして送信します。イントラネットの場合、IntraSite Automatic Tunnel Addressing Protocol (ISATAP) IPv6 移行テクノロジ (RFC 4214) を使用すると、IPv4 のみに対応したイントラネット内の IPv6/IPv4 ノード間で IPv6 トラフィックを送受信できます。ISATAP を使用すると、ネイティブ IPv6 のアドレス指定と転送をサポートするように既存のルーターを構成またはアップグレードすることなく、IPv4 のみに対応したイントラネットで IPv6 接続を確立できます。ISATAP の詳細については、microsoft.com/technet/network/ipv6/ipv6coexist.mspx の「IPv6 移行テクノロジ」を参照してください。
図 2 は、VPN 接続を使用して、IPv4 インターネット経由で IPv4 パケットを送信する場合の一般的な VPN トラフィックのパケット構造を示しています。IPv4 パケットは、VPN プロトコルによって、ヘッダーを付加して (VPN プロトコルの種類によってはトレーラも使用されます) カプセル化されます。カプセル化された IPv4 パケットは、さらに IPv4 ヘッダーでカプセル化されます。これにより、IPv4 インターネットを経由した転送が可能になります。
図 2** VPN 接続を使用して IPv4 インターネット経由で送信される IPv4 パケット **
IPv6-over-IPv4 トラフィックの場合、VPN 接続を経由して送信される IPv4 パケットのペイロードは IPv6 パケットです。図 3 は、VPN 接続を使用して、IPv4 インターネット経由で IPv6-over-IPv4 パケットを送信する場合の一般的な VPN トラフィックのパケット構造を示しています。
図 3** VPN 接続を使用して IPv4 インターネット経由で送信される IPv6-over-IPv4 パケット **
リモート アクセス VPN 接続の場合、IPv4 インターネットを経由した IPv6-over-IPv4 トラフィックは、Windows Vista、Windows Server 2008、Windows XP SP1 以降、および Windows Server 2003 の PPTP と、Windows Vista SP1 と Windows Server 2008 の SSTP でサポートされます。サイト間の VPN 接続の場合は、Windows Server 2008 と Windows Server 2003 の PPTP と L2TP/IPsec でサポートされます。
ネイティブ IPv6 トラフィック
ネイティブ IPv6 トラフィックの場合、VPN クライアント、VPN サーバー、または VPN ルーターは、最初の IPv4 のカプセル化を実行せずに、VPN 接続を経由して IPv6 パケットを送信します。この通信方法は、ネイティブ IPv6 接続がサポートされているイントラネットで使用することができるため、VPN クライアント、VPN サーバー、および VPN ルーターで、RFC 2472 の IPv6 制御プロトコル (IPV6CP) がサポートされている必要があります。このプロトコルでは、IPv6 ノードが Point-to-Point プロトコル (PPP) ベースの接続用の IPv6 構成オプションをネゴシエートする方法が定義されています。Windows Vista と Windows Server 2008 では IPV6CP がサポートされていますが、Windows XP と Windows Server 2003 ではサポートされていません。図 4 は、VPN 接続を使用して、IPv4 インターネット経由でネイティブ IPv6 パケットを送信する場合の一般的な VPN トラフィックのパケット構造を示しています。
図 4** VPN 接続を使用して IPv4 インターネット経由で送信されるネイティブ IPv6 パケット **
リモート アクセス VPN 接続の場合、IPv4 インターネットを経由したネイティブ IPv6 トラフィックは、Windows Vista と Windows Server 2008 の PPTP と L2TP/IPsec、および Windows Vista SP1 と Windows Server 2008 の SSTP でサポートされます。サイト間の VPN 接続の場合は、Windows Server 2008 の PPTP と L2TP/IPsec でサポートされます。
IPv6 インターネットを経由した VPN 接続
IPv6 インターネットを経由した VPN 接続を確立することもできます。この VPN 接続はまだあまり使用されていませんが、顧客に IPv6 を提供するインターネット サービス プロバイダや、IPv6 インターネット接続をイントラネットのエッジ ネットワークに含める組織が増加するにしたがって普及することが予想されます。
IPv6 インターネットを経由した VPN 接続をサポートするには、使用する VPN プロトコルで IPv6 を経由した接続がサポートされている必要があります。Windows Vista と Windows Server 2008 の L2TP/IPsec VPN プロトコルと SSTP VPN プロトコルでは、IPv6 を経由したリモート アクセス VPN 接続がサポートされています。Windows Server 2008 の L2TP/IPsec では、IPv6 を経由したサイト間の接続がサポートされています。IPv6 インターネットを経由した VPN 接続は、リモート アクセス VPN 接続であるかサイト間の VPN 接続であるかにかかわらず、IPv4 インターネットを経由した VPN 接続と同じコンポーネントを使用します。
IPv6 インターネットを経由した IPv6 パケットの送信方法も 2 つあり、IPv6-over-IPv4 トラフィックかネイティブ IPv6 トラフィックとして送信されます。図 5 は、VPN 接続を使用して、IPv6 インターネット経由で送信される IPv6-over-IPv4 パケットの一般的な構造を示しています。
図 5** VPN 接続を使用して IPv6 インターネット経由で送信される IPv6-over-IPv4 パケット **
リモート アクセス VPN 接続の場合、IPv6 インターネットを経由した IPv6-over-IPv4 トラフィックは、Windows Vista と Windows Server 2008 の L2TP/IPsec、および Windows Vista SP1 と Windows Server 2008 の SSTP でサポートされます。サイト間の VPN 接続の場合は、Windows Server 2008 の L2TP/IPsec でサポートされます。IPv4 インターネットを経由した IPv6-over-IPv4 トラフィックの場合と同様に、IPv6 インターネットを経由した IPv6-over-IPv4 トラフィックの場合も、イントラネット上に ISATAP などの IPv6 移行テクノロジを展開する必要があります。
図 6 は、VPN 接続を使用して IPv6 インターネット経由で送信されるネイティブ IPv6 パケットの一般的な構造を示しています。IPv4 インターネットを経由したネイティブ IPv6 トラフィックの場合と同様に、IPv6 インターネットを経由したネイティブ IPv6 トラフィックの場合も、イントラネットで IPV6CP をサポートし、ネイティブ IPv6 接続を展開する必要があります。
図 6** VPN 接続を使用して IPv6 インターネット経由で送信されるネイティブ IPv6 パケット **
リモート アクセス VPN 接続の場合、IPv6 インターネットを経由したネイティブ IPv6 トラフィックは、Windows Vista と Windows Server 2008 の L2TP/IPsec、および Windows Vista SP1 と Windows Server 2008 の SSTP でサポートされます。サイト間の VPN 接続の場合は、Windows Server 2008 の L2TP/IPsec でサポートされます。
まとめ
図 7 は、VPN 接続を経由して IPv6 トラフィックを送信するための 4 つの方法と、異なる 2 つの種類の VPN 接続に対する Windows のサポートを示しています。簡単に言うと、イントラネット上で ISATAP などの IPv6 移行テクノロジを使用している場合、IPv4 インターネットと IPv6 インターネットのどちらを経由しても、VPN 接続を使用して IPv6-over-IPv4 トラフィックを送信できます。イントラネットでネイティブ IPv6 接続がサポートされている場合、Windows Vista と Windows Server 2008 では、IPv4 インターネットと IPv6 インターネットのどちらを経由しても、VPN 接続を使用してネイティブ IPv6 トラフィックを送信できます。
Figure 7 VPN 接続を経由した IPv6 トラフィックに対する Windows のサポート
IPv6 トラフィックの送信方法 | リモート アクセス VPN 接続 | サイト間の VPN 接続 |
IPv4 インターネットを経由した IPv6-over-IPv4 トラフィック | Windows Vista、Windows Server 2008、Windows XP SP1 以降、および Windows Server 2003 の PPTP と L2TP/IPsec Windows Vista SP1 と Windows Server 2008 の SSTP | Windows Server 2008 と Windows Server 2003 の PPTP と L2TP/IPsec |
IPv4 インターネットを経由したネイティブ IPv6 トラフィック | Windows Vista と Windows Server 2008 の PPTP と L2TP/IPsec Windows Vista SP1 と Windows Server 2008 の SSTP | Windows Server 2008 の PPTP と L2TP/IPsec |
IPv6 インターネットを経由した IPv6-over-IPv6 トラフィック | Windows Vista と Windows Server 2008 の L2TP/IPsec Windows Vista SP1 と Windows Server 2008 の SSTP | Windows Server 2008 の L2TP/IPsec |
IPv6 インターネットを経由したネイティブ IPv6 トラフィック | Windows Vista と Windows Server 2008 の L2TP/IPsec Windows Vista SP1 と Windows Server 2008 の SSTP | Windows Server 2008 の L2TP/IPsec |
Joseph Daviesマイクロソフトのテクニカル ライターとして Windows ネットワークのトピックに関する講義および執筆を 1992 年から行っています。Joseph Davies は、Microsoft Press 向けに本を 5 冊執筆しており、また月間の TechNet Cable Guy コラムの著者でもあります。
© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.