アドレス - みる会図書館

1. UNIX MAGAZINE 2004年11月号

図 3 / ヾケットの MAC アドレスが津寺に書き換えられるロⅡ可ゴゴ一〇い三ヨ↓はユ朝「ゴ⑨多「 9 」↓い旧のバケット配送、 ICMP を第第物簔産送信元 : 00 : 04 : 6E : xx : xx : 10 宛先 : 00 : 04 : 6E : xx : xx : 11 00:04:6E:xx:xx:OE 送信元 : 00:04:6E:xx:xx:0E 宛先 : 00:04:6E:xx:xx:0F 00 : 04 : 6E : xx : : OF 図 4 ルータお咼する前後のバケットの上交ルータ通過前のバケット 00 : 04 : 6E : xx : xx : 10 ルータ通過後のバケット・ 0 ASTEO Eyes ーキャプチャデーく be 価・ e ou 娵曰忙 > ファイル ( 日集 ) キャプチ 40 ) モニタオプション 0 ワークスペースウインドウ崢 4 ルプ ( 旦 ) キャプチャデータく befo 肥マ 0 猷忙 > - ロ X 00 : 04 : 6E : xx : xx : 11 」凶 . 発信元アドレスマ受信先アドレスマプ . マサ旧アドレスは変わらない MAC アドレスは書き換わるように処理します。フ .. マ発信元アドレ 0 博 2 . 8 .0 コ on レ引 Destination Address Type マ受信先アドレャゴ、 . 0 132 コ圏 . 0.1 D いい ntrol Desti nat i Address %urce Address ype 192.1 圏 . 1.1 00 : 04 : 6E. 当新 : OF 00 : 04 : 8E : 0E ( 新 80 S ICMP Ty Cisco 132 」 68.1 コ 00 : 04 : 8E : 0X0800 (IPv4) ICMP 日 (Cisco ln レ「 { P 「 0 を引 Version 4 0 内 4 ) 0000 0 00 4 E 新一一 1 OF 00 04 6E ルータの前後のバケット 0000010 00 3C 23 E4 00 00 80 01 8E 8A 1. 受け取ったバケットから宛先 IP アドレス ( 192.168. 100.100 ) を得る。 2. 糸各表の宛先アドレスのなかからバケットの宛先に対応するエントリを探すが、みつからないので default の工ントリを参照する。 3. バケットの転送先のゲートウェイ・アドレス ( 192.168. 2.1 ) とインターフェイス (lnterface 1 ) を得る。 MAC アドレスの書換え C に届けられます。これらの処理をおこなうことにより、バケットはホストへ向けて送信する。 4. バケットを lnterface 1 から 192.168.2.1 のアドレスートウェイ ) に受け取ってもらえるように、ちょっとした経路表に従って送り出すバケットには、次のルータ ( ゲ UN 工 X MAGAZ 工 NE 2004. 11 細工をします。 I e なにを P ド 0t8 引 Yersion 4 (IPv4) 000000 00 04 6E 1 1 00 04 6E 0000010 00 3C 23 E4 00 00 7F 8F 8A タを通過する前後のバケットを比較すれば簡単に確認できータを挟んだ 2 台のホスト間で ping などを実行し、ルーバケットの MAC アドレスカき換えられる様子は、ルアドレスを設定する。・バケットの宛先 MAC アドレスに次の転送先の MAC レスを定する。・バケットの送信元 MAC アドレスに自分の MAC アドけます ( 図 3 ) 。アドレスの部分を以下のように書き換えて次のルータに届決まります。ルータはバケットを送り出すときに、 MAC の Ethernet ヘッダに含まれる、、宛先 MAC アドレス " でバケットをどのホストやルータカ授け取るかは、バケット前号でお話ししたように、ネットワーク上を流れている 105 れませんが、 MAC アドレスは、送信元 MAC アドレス、 IP アドレスについては、ルータの j 過前後で変化はみらます ( 図 4 ) 。

2. UNIX MAGAZINE 2004年11月号

特集図 27 radvd. conf の言例 (Linux の場合 ) AdvOtherConfigF1ag AdvManagedF1ag on ; AdvAutonomous off ; AdvOnLink on ; prefix 2001 :xxxx:xxxx: : 0 / 64 AdvSendAdvert on; interface eth0 、 Vindows on ; UNIX MAGAZINE 2004. 11 21 http://v6web.litech.org/radvd/ 20 http://klub.com/pl/dhcpv6/ アドレスも一緒に配布してしまい、同じプレフィックスにになっています。その結果、ルータから RA でグローバル・ルト・ゲートウェイは、依然として NDP で配布されることォルト・ゲートウェイのアドレスは配布しません。デフォなお、 DHCPv6 では DHCPv4 の場合とは異なり、デフルトでは 0 になっています ) 。ションを on にします ( この 2 つのオプションは、デフォ ManagedFlag と AdvOtherConfigFlag の 2 つのオプーションを用いてプレフィックスを構成するように、 Adv- フィックスを設疋します。ステートフル・コンフィギュレ radvd. conf では、インターフェイスごとに広告するプレて参照してください ) 。 radvd. conf の設疋について説明します ( 図 27 もあわせットしなければなりません。以下では、 radvd21 を例に、ステートフルで設疋をおこなうように明示するフラグをセす。 RA サーバーが配信するプレフィックスについては、るためには、 RA サーバーの設定を変更する必要がありますでに RA を使用している環境で DHCPv6 を導入す RA サーバーの言又疋れません。は取得しますが、残念ながら実際の端末の設定には反映さ IP アドレス以外の情報も DHCPv6 のプロトコル的にできるようになっています。実装されており、 OS の起動時に自動的にアドレスカ陬得されています。これは Windows XP のサービスとして Windows xp 用の DHCPv6 クライアント 20 が公開ボスト・ファイアウォールとネットワーク・セキュリティ対して RA と DHCPv6 で複数のアドレスを定することになってしまいます。これを防ぐには、 AdvAutonomous を。仕に設疋し、ルータから広告するプレフィックスに対してルータ側で Autonomous フラグを 0 ( ゼロ ) にする必要があります。さらに、 AdvOnLink を。仕に設定することにより、同じプレフィックスをもつ端末どうしであっても、ルータ経由で通信をおこなうように設定することができます ( あとで述べるように、ルータ側の ICMPv6 Redirect も無効にする必要があります ) 。パフォーマンス上の問題はありますが、同じセグメント上のすべての通信がルータ経由でおこなわれるため、ルータ上での各種フィルタリング処理などカ河能になります。検疫モテルにおける DHCP の問点 DHCP は、リースする IP アドレスや端末へのアドレスの貸与などの状態を管理している ( ステートフル ) 点で、ネットワーク分離を実現する際に利用しやすいプロトコルといえます。実際に、不正端末の管理などのために、 MAC アドレスペースの認証機能と組み合わせて、決まった MAC アドレスをもつ端末以外への IP アドレスの貸与を制限したり、別のネットワーク・セグメントのアドレスに振り分ける機能をもつ DHCP サーバー製品もあります。それだけに、すでに多くの問題カ甘甜商されています。そのうちのおもなものについて、簡単に説明します。端龍別子 DHCP を拡張して検疫検査に対応させるには、アドレスを要求した端末が、検査結果を芟サーバーに問い合わせるか、事前に検疫サーバーから取得しておく必要があります。 DHCP サーバーは、端末と検疫検吉果として指定されたセグメントのアドレス範囲の対応関係をもとに、要求された端末に対してセキュリティ・レベルに応じたセグメントのアドレスを貸与することになります。その場合、 MAC アドレスをもとに端末を識別する方式では、検疫検査結果を詐称し、端末の本来のセキュリティ・レベルとは異なるセグメントのアドレスが簡単に取得できてしまいます。したがって、 MAC アドレスを端末の識別子としてセグメント切替えの判定に利用するだけでは不十分です。 51

3. UNIX MAGAZINE 2004年11月号

牛寺集ネットワーク・トラブレの基礎知識図 10 ping を実行したときに流れたバケット方イ井 ( E ) 編集キャプチャ 0 モニタオプション 0 ワークスペ , ス OASTEC Eyes - [ キャプチやテータく ba oute2.enc ) ] 発信元アドレスマ受信先アドレスマプ ... マサマリウインドウ 0 パイトヘルプ凹 F 同ロ凵劃凶対時問 0.000000 3. 54 引 2.015407 1 . 523 ping バケットが繰返し送信されているが、応答はないホスト C ( 192.168.10.101 ) の MAC アドレスホスト A ( 192.168.10.100 ) の MAC アドレス 1 132.168.10.100 2 ヨ 32.1 . 加 .100 3 2.168.10.100 D Link Con Destination Åddress 新阯 Address Type 2 コ 68.20 コ 00 132 コ 68.20.100 132. 8.20.100 00 : 0 : 1 0 : 0X0800 (IPv4) ICMP ICMP Type=8 Echo Re 印北 Type=8 Echo Re 北虱 T : 8 Echo MICRO-STAR IMTERNATIONAL) 駅如 COMPIJTER C 〔叩 ) 1 erne を P 「 0 を引 Yersion 4 (IPv4) Ve 「引記 Length Type 町 Service ルータの前後のバケット 4 0 20 byte(s) ( op い header) 図 11 ルーティンク E のないホストをゲートウェイに指定した場合ネットワーク・アドレス 192.168.10.0 折り返しています。以下同様 ) 。 192.168.10.100 ホスト B 宛のバケット 192.168.10.1 192.168.10.101 ・ルーティング機能はない・ホスト B 宛のバケットは破棄加一 - 、イ朝五価面元ツ 192.168.20.1 ネットワーク・アドレス 192.168.20.0 192.168.20.100 このときにどのようなバケットカ毓れているのか、ちょっと調べてみましよう ( 図 10 ) 。まず、全体としては以下のことが分かります。次に、バケットカ云送された糸各を調べます。バケットし、ない。・ ICMP Echo Request に対する応答バケットは流れてバケットが 4 回送り出されている。・ホスト A からホスト B に向けて ICMP Echo Request 108 j 言元 : 00 : 50 : 8B : : : 3C ( 192.168.10.100 ) 宛先 : 00 : 10 : DC : : : 6B ( 192.168.10.101 ) の MAC アドレスをみると、となっています。これから、 1. ホスト A から送り出されたバケットはホスト C ( ゲートウェイとして指定 ) へ送られた 2. ホスト C にはルーティングの機能がないので、送られてきたバケットを処理しなかったことが分かります。結果として、 ICMP Echo Request バケットだけカ毓れ、 ICMP の応答バケットは返ってこなかったわけです ( 図 11 ) 。系各が登録されていない 3 番目の実験では、必要な糸各が登録されていないときに何カ起きるかを調べます。 UN 工 X MAGAZ 工 NE 2004.11

4. UNIX MAGAZINE 2004年11月号

特集セグメント切替え時のセッション切断ネットワーク分離はレイヤ 3 で実現しているため、セキュリティ・レベルの変化に応じて別のセグメントに切り替わるときには、 IP アドレスやプレフィックスも変更されます。セキュリティ・レベルは頻繁に変わるわけではありませんが、セグメント切替え時に既存の通信が切断されるといった事態が考えられます。逆に、セッションを切断しないことカ澗題になる可能性があります。たとえば、より厳格なセキュリティ・ポリシーが適用されるセグメントへ切り替わったときには、それまでのポリシーでは許可されていた通信が許されなくなる可能性もあるからです。既存の通信の保持 / 切断は、セグメント切替え前後のセキュリティ・レベルの強弱で決められますが、一殳には IP アドレス単位でセキュリティ・レベルの強弱を決めることはできません 22 。そのため、 DHCP にもとづいてネットワーク分割をおこなう場合は、・切替え時は、以前のセグメントのアドレスでの通信を極力防ぐ切替え時は、いっさい通信を引き継がないといった運用方針でこの問題に対処する必要があります。前者については、 IPv6 ではアドレスの有効期間の設疋によって容易に実現できます。 IPv6 アドレスには、 2 種類の寿命 ( 推奨有効期間と最終有効期間 ) があります。推奨有効期間は、それ以降の通信にそのアドレスを使うのを中止し始めるタイミングを、最終有効期間は、最終的にそのアドレスを削除するタイミングを示します。セキュリティ・レベルカ畯化したときに既存の通信を切断したくない場合は、アドレスを配布する側が推奨有効期間だけを 0 にする方法が有効です 23 後者については、 IPv4 でも IPv6 でも、セグメントごとに異なるデフォルトルータの変更と、 lngress Filtering による不正プレフィックスの使用防止によって実現できます。 22 たとえば、 HTTP 通信のみ可能なレベルと SMTP 通信だけ可能なレベルでは、どちらカ噸いといえるでしようか。 23 RFC2461 [ 15 ] では、いわゆる、 2 時間ルール " によって、 RA によるプレフィックス通知で最終有 T). 期間をいきなり 0 にしてはならないと定められています。ただし、推奨有効間をいきなり 0 にすることは許されて 52 います。ホスト・ファイアウォールとネットワーク・セキュリティ IP アドレスが手動で言聢された場合への対応 DHCP サーバーを無視し、端末に直接 IP アドレスを設定すれば、不正にネットワーク接続権限を得ることができます。ただし、このような詐称は DHCP でもある程度は防げます。 DHCP クライアントは、 DHCP サーバーから IP アドレスを取得したときにアドレスの重複チェックをおこない、重複していたら DHCP サーバーへ DECLINE メッセージを返信するからです。 DECLINE 通知の対象となった IP アドレスは、 DHCP サーバーによって正しく割り振られたものではなく、勝手に設定された可能性カ皜いと考えられます。これらの IP アドレスについては、同一セグメントであっても信頼しない IP アドレスとして除外設疋をおこない、不正端末を隔離するといった対応をとればよいでしよう。イ DHCP サーバーや DoS 攻撃への対処 DHCP 自体には、バケットの正当性を証明するような訒証機構がありません。したがって、セグメント内に偽のロ心、 DHCP サーバーを置いたり、偽の DHCP バケットをセグメント上に流すことで、セグメント内の DHCP 機能を簡単に麻痺させることができます。ただ、このような攻撃は挙動が目立っため、 DHCP バケットの監視などを継続的におこなっていれば、不正な DHCP サーバーの検出などは比較的容易だと思います。 IETF の DHC ワーキング・グループでは、 DHCP への認証機能の追加に関する検討カけられています。 DHCPv6 未対応端末への対処現状では、すべての IPv6 端末が DHCPv6 をサポートしているとはいえません。したがって、 DHCPv6 を実装している端末と、アドレス自動設定機能だけを実装している端末が混在している環境での利用も考慮しなければなりません。この場合、 DHCPv6 対応クライアントは、 RA バケットによって配信されたプレフィックスだけでなく、 DHCPv6 で配信されたプレフィックスも取得することになります。 1 つのインターフェイスに複数のプレフィックスを設疋した場合、どちらを優先して使用すべきかといった問題があります。また、セキュリティ・ポリシーの異なる複数の UNIX MAGAZINE 2004. 11

5. UNIX MAGAZINE 2004年11月号

特集ネットワーク・トラブルの基礎知識 2 : 旧のバケット配送、 ICMP 荒井美千子前回は、 Ethernet 、 IP 、 TCP 、および UDP のノヾケットの形式と、 Ethernet プロトコルがバケットを配送する仕組みについて解説しました。今回は、 IP (lnternet Protocol) によるバケットの配送を中心に、ルータの仕組みや ICMP メッセージなどについてお話しします。 IP の目的は、 Ethernet プロトコルと同じく、指定された宛先にデータを届けることです。ただし、 Ethernet プロトコルではセグメント ( ネットワーク・セグメント ) 内での配送しかおこなわないのに対して、 IP ではセグメントを越えたデータの配送も可能です ( 図 1 ) 。当然かもしれませんが、受け持っ範囲カ昿くなったぶん、 Ethernet プロトコルでは起きなかった問題も生じます。バケットの配送前回、 Ethernet プロトコルが MAC アドレスを利用してバケットを醋去する仕組みを紹介しました。以下に記すように、 IP がバケットを配送する仕組みも大きな違いはありません。・バケットには宛先の IP アドレスが書かれている。宛先と同じアドレスのコンピュータはバケットを受け取って処理する。・宛先と異なるアドレスのコンピュータはバケットを破棄する。これに、次の処理が加わって IP バケットは送られていきます。・ルータがセグメントからセグメントへバケットを配送す UNIX MAGAZINE 2004. 11 る。ルータの仕組み 103 4. バケットを lnterface 2 から 192.168.10.100 のアドレ 10.1 ) とインターフェイス (lnterface 2 ) を得る。 3. バケットの転送先のゲートウェイ・アドレス ( 192.168. アドレス ( 192.168.10.0 ) をみつける。するエントリを探し、 1 番目のエントリのネットワーク・ 2. 経路表の宛先アドレスのなかからバケットの宛先に対応ドレス ( 192.168.10.100 ) を得る。 1. 受け取ったバケットから、宛先であるホスト A の IP アータ 1 は次の処理をおこないます。スト A 宛のバケットを受け取ったとします。このとき、ルたとえば、図 2 に示したネットワークで、ルータ 1 がホカ記億されています。・ルータのどのインターフェイスから送信するか・次の車幻医先ゲートウェイ ( ルータ ) の IP アドレス・宛先のホストまたはネットワークの IP アドレスします。糸各表には、ルータは、 IP アドレスに従ってバケットの車幻医先を決定ーカレ ) " と呼びます。ケットを流します。この表を、、経路表 ( ルーティング・テを、、表 " として管理していて、必要なネットワークにだけパ・どのインターフェイスから送信すればよいか・どこのゲートウェイへ向けて車幻医すればよいかとして、ルータは特定のアドレスへバケットを届けるための情報ます。 IP ノヾケットの配送では、ルータカ要な役割を担ってい

6. UNIX MAGAZINE 2004年11月号

2 牛手集ネットワーク・トラブレの基礎知識を簽第第一参参溢共第図 1 IP ではセグメントを越える醪医が可能 Ethernet プロトコルルータを越えて別のセグメントへセグメント 1 バケットが届く範囲ーセグメント 2 ー図 2 ルータは糸各表に従ってバケットの車医先を決めるルータ 1 の経路表宛先アドレス 192.168.10.0 192.168.20.0 default ゲートウェイ 192.168.10.1 192.168.20.1 192.168.2.1 インターフェイス lnterface 2 lnte rface 3 lnterface 1 A ( 192.168.10.100 ) へ転送するときに参照 C ( 192.168.100.100 ) へ転送するときに参照ルータ 1 第を旧 te rface 1 192.168.1.1 旧 rface 1 192.168.2.1 192.168.100.1 lnterface 2 ルータ 2 lnterface 2 192.168.10.1 ネットワーク・アドレス 192.168.10.0 192.168.10.100 スへ向けて送り出す。これらの処理をおこなうことにより、バケットはホスト A に届けられます。デフォルトルート糸登各表の宛先アドレスとして、 104 192.168.20.1 lnte rface 3 ネットワーク・アドレス 192.168.20.100 192.168.20.0 default ( デフォルトル C へネットワーク・アドレス 192.168.100.0 192.168.100.100 のルータ 1 は、ホスト C 宛のバケットを受け取ると次のデフォルトルートを利用する例をみてみましよう。図 2 てバケットを転送します。登録されていない場合、ルータはデフォルトルートを用い書かれている宛先アドレスに対応するエントリが経路表にート ) " という特別なアドレスが設定できます。バケットに UNIX MAGAZINE 2004. 11

7. UNIX MAGAZINE 2004年11月号

特集ホスト・ファイアウォールとネットワーク・セキュリティ図 28 OnIink Flag を off にし、 ICMP Redirect を無効化する例 ( 日立 GR2000 ) prefix { interface ethernetO/O { ra yes { icmp6—redirects—off ; 2001 : db8 : 1 : 2 : : 1 / 64 ; ip ethernet0/0 { line ethernetO/0 ethernet 0 / 0 ; line ethO/0 ethernet 0 / 0 GR2000 # show running—config 2001 : db8 : 1 : 2 : : / 64 onlink—flag no; プレフィックスを取得したとき、かも難しい問題です。直接通信問題どれを選択すればよいのアドレスの配布方法や IPv4/IPv6 の別にかかわらす共通の課題として、同一リンク上の端末はけっきよくはすべて直接通信できてしまうということがあります。そのため、たとえばあるリンク上の端末がワームを配布し始めてしまったとき、上流のルータでその端末からのトラフィックをフィルタリングしても、そのリンク内での感染は防げません。結果として、オ芟ネットワークが目指している、セキュリティ・レベルに応じたネットワーク分離が実現できないことになります。同一リンク上で同じネットワーク・プレフィックスをもつ端末どうしが通信する場合は、端末自身カ値接 ARP や NDP によって通信先の MAC アドレスを発見してしまいます。また、ネットワーク・プレフィックスが異なっている場合も、最初はルータ経由で通信がおこなわれますが、ルータから端末へ j 当言される ICMP Redirect によって通信路が最適化され、けっきよくは直接通信してしまいます。とくに IPv6 の場合は、すべての端末がリンクローカル・アドレスをもっているため、前者のケースにかならず該当します 24 この種の直接通信を防ぐには、以下のような対策を講じる必要があります。 Onlink Flag を落とす十 ICMP Redirect の無交加ヒ 24 もちろんアドレス空間カ昿大なので、すべてのアドレスに手当たりしだいに通信する総当たり式の攻撃 [ 17 ] は非現実的で・が・ UN 工 X MAGAZINE 2004. 11 まず、ルータから RA で配布するプレフィックスの On ー link Flag を 0 仕にします。 Onlink Flag が 0 になっているプレフィックスを RA で受信すると、端末はそのプレフィックスを Off-link とみなします。そして、その端末から該当するプレフィックス宛の通信はすべてデフォルトルータ経由でおこなわれるようになります。これに加えて、ルータで ICMP Redirect を無効にしておけば、上で述べた ICMP Redirect による糸各の最適化カ魴げます ( 図 28 ) 。ただし、この対策か第効なのは、 RA で配布される IPv6 グローバル・アドレスに対してだけです。 IPv4 アドレス、 DHCPv6 で配布するグローバル・アドレス、 IPv6 リンクローカル・アドレスについては別の対策を講じる必要があります。端末間の妾通信の禁止ルータと端末のあいだにあるレイヤ 2 スイッチでフィルタリングをおこない、端末間の直接通信を禁止する技術としては、次のようなものがあります 25 ・ Private-VLAN[18] Ethernet VLAN のプロードキャスト・ドメインをポート単位で変更することにより、同じ VLAN 内でも端末間の直接通信を認めない技術です。・ DHCP-Snooping DHCP バケットをスイッチで覗き、 DHCP で配布したアドレスのみ通過させる孑翅孑です ( 名前が示すとおり、 25 現在、 RFC2461 / 2462 のイ修正がおこなわれていますが、 DHCPv6 ・朝 i されるグローバル・アドレスについても、 Onlink/Off-Iink の定義は RA - i することになりつつあります。 53

8. UNIX MAGAZINE 2004年11月号

特集ボスト・ファイアウォールとネットワーク・セキュリティ図 26 プレフィックス↑黼 & の酉言 RA: 同一リンク上に同じプレフィックスを配 f DHCPv6: 端末に応じて異なるプレフィックスを配信 DHCPv6 サーバープレフィックス A : : プレフィックス B 鸞プレフィックス C : プレフィックス A に移行しても依然として有用なプロトコルです。 NDP は、ョンでは、それぞれのパッケージ・システムでインストー DNS サーバーアドレスの通知など、必要とされるすべてのルできます。機能はもっていないからです 18 。また、ステートフルなプ DHCPv6 と Neighbor Discovery ロトコルであるという点でも、端末ごとに細かい設疋をおこなう場合には都合のよい仕組みといえます。 DHCP を IPv6 対応にしたものに DHCPv6[14] があります。 DHCPv6 の標準化作業が遅れたことに加え、 NDP は、リンク上の端末に等しくプレフィックス情報 IPv6 には NDP (Neighbor Discovery Protocol) [ 15 ] を配信することを前提としているため、同一リンク上の端というステートレスのアドレス設疋プロトコルが設計当初末に異なるプレフィックスを指定するような状況は考慮さから実装されているため、 DHCPv6 はそれほどひろく利れていません ( 図 26 ) 。また、ステートレスな言妬 t のため、用されていません。個々の端末の識別や状態の管理はおこないません。その意 IPv6 に対応している各プラットホームでも、 DHCPv6 味で、個々の端末ごとに状況に応じて異なるプレフィッククライアントを利用するには、特別な設定やクライアント・スや設定を配信するような動的な制御には不向きなプロトソフトウェアの追加が必要になります (Windows XP でコルです。は、 DHCPv6 は標準ではサポートされていません ) 。ネットワーク分離という観点からは、ステートフルな管しかし、 NDP だけでは、プレフィックスとデフォルト・理をおこなう DHCPv6 によるアドレス管理、ネットワーゲートウェイなど、最低限の設定情報しか配信できません。ク・パラメータ配信 / 言定のほうカ随しているといえます。そのため、 DNS サーバーアドレスをはじめとする有用な DHCPv6 サーバーの実装ネットワーク設定情報を動的に端末に通知するためのプロトコル (Stateless DHCPv6[16]) として注目を集めてい IBM が開発した Linux 用の DHCPv6 サーバー実ます。装 19 力開されています。アドレス配信機構としての DHCPv6 DHCPv6 クライアントの実装 IPv6 のアドレス空間は、世界中の端末にグローバルな L i nux IP アドレスを割り当てられるほど広大です。そのため、 IPv6 においては、限られた IP アドレス資源を動的に割 IBM が開発した DHCPv6 クライアント実装力開さり当てる仕組みとしての DHCP はそれほど必要とは考えれています ( サーバーと同じサイトから入手できます ) 。られていませんでした ( 事実、 DHCPv6 クライアントカ鰾準で導入されているプラットホームはあまりありません ) 。 18 NDP での DNS サーバーアドレス通知については、 IETF dnsop WG において、標準化すべきカ活かも含めて激しい論議カ咬わされていまとはいっても、 DHCP のもう 1 つの側面であるネットす。ワーク・パラメータの配信と言定管理という面では、 IPv6 19 http://dhcpv6.sourceforge.net/ 50 UN 工 X MAGAZINE 2004. 11

9. UNIX MAGAZINE 2004年11月号

ク 6 国立天文台のネットワー図 12 MXIE を使って電話をかける MX250 M 刈 E File Action View HeIp online Yamada Yamada Yamada への発信を要求 3 Yamada を呼び出す Yamada ドラッグ & ドロップ 4 ハードホンを呼び出す #Start .. 10 : 10 M 刈 E 通話ハードホンで発信操作 (Yamada へ電話 ) をする ( 図 12 ー 1 ) 。ハードホンといいます ) です。 MXIE には、 IP 電話機能 2. MXIE は MX250 へ発イ言を要求 ( 図 12 ー 2 ) し、 MX250 のほかに、電話を使うためのいろいろな作業を助ける機能が相手を呼び出す ( 図 12 ー 3 ) 。があります。たとえば、アドレス帳やインスタント・メッ 3. ハードホンで通話する ( 図 12 ー 4 ~ 5 ) 。セージ、ユーザーの在席 / 退席 / オフラインなどのプレゼンス情報、通話履歴、通話ノ、ンドリングなどです。つまり、 PC のアドレス帳から発信操作をして、ハードホアドレス帳は、ローカル (Outlook などのアドレス帳ンで通話することになります。たいていの机の上には PC の参照も可能 ) やネットワーク上での管理 ( 内線番号表のがありますし、電話帳もネットワークで提供されるので、生一括提供など ) が可能です。また、転送電話の設定や不在産性もぐっと上がる、ということのようです。・・というだけでは時の着信履歴の参照などもできます。 MXIE で IP 電話の機能不足を補う「それ、雹甬ゃん」ですが、 MXIE がおもしろいのは、ハードホンの利用もサポートしているところです。アドレスこの連携機能では、 MXIE からの要求に応じて MX250 帳を使った通話の場合、これまでは、がハードホンをアシストします。したがって、ハードホンが ZuItys の IP 電話機と同等の機能をもっていなくても、 1. PC でアドレス帳から電話番号を調べる MXIE を使えは不足している機能をある程度は補えます。 2. ハードホンの受話器をとり、その番号を見ながらダイヤさきほど紹介した Cisco ATA186 の場合、 MXIE を併ルする用すれば、制約はキャッチホンカ材く可、ページングは州言 3. 通話するのみ可能の 2 つになり、機能面での制限が大幅に減ります。という手川頁でした。目で見ながら手で入力するので 17 、押携帯型電話機は対応機能が少ないし間違いもあります。両方ともデジタル機器なのに連携できないというのは、どうにもエレガントではありません。前回、データリンク・メディアに有線ではなく、 IEEE802 そこで、 MXIE の出番です。 MXIE とハードホンを連携 .11b などの無線 LAN を使う日立電線の「 WIP ー 5000 」させると、 MXIE 上でハードホンのダイヤルや転送設定な ( 写真 4 ) や Net-2Com の「 Sip-Wi600 」という拷型どができます。 MXIE のアドレス帳を使った通話は、次の IP 電話機を紹介しました。ようになります ( 図 12 ) 。これ以外にも、 802.11b べースの携帯型 IP 電話機カ々と登場しています。たとえば、 NEC の NTT DoCoMo 1. PC で MXIE のアドレス帳から電話番号を調べ、 PC 上 FOMA と IP 電話のデュアルバン樹第若電話や、沖気、 17 子どものころはに新辞長を見ながらダイヤルし、間に合わすに話中音になっサムソン電子などの、、ポスト構内 PHS" を窺う製品カ咄始てしまうことがよくありました。 77 UNIX MAGAZINE 2004. 11

10. UNIX MAGAZINE 2004年11月号

特集図 23 BSD での Tag VLAN 言綻 # ifconfig v1an0 create # ifconfig v1an0 vlan 10 vlandev fxp0 # ifconfig vla 取 0 up # ifconfig v1an0 ボスト・ファイアウォールとネットワーク・セキュリティ v1anO : f1agS=8843 く UP ,BROADCAST , RUNNING , SIMPLEX , MULTICAST> mtu 1500 inet6 fe80: :20a:e4ff : fe23 : 83d8 % v1anO prefixlen 64 scopeid 0X4 ether 00 : 02 : b3 : 87 : 27 : 52 media : Ethernet autoselect status : active vlan: 10 parent interface : fxpO 図 24 Linux での Tag VALN 言綻 (vconfig の実行 ) # modprobe 8021q # vconfig add ethO 6 Added VLAN with VID # ifconfig ethO. 6 up 6 to IF ー : eth0 : Link encap : Ethernet HWaddr 00 : 01 : 80 : 39 : EA : C5 eth0.6 inet6 addr: fe80: : 201 :80ff :fe39: eac5/64 Scope :Link UP BROADCAST RUNNING MULTICAST MTU : 1500 Metric : 1 RX packets : 0 errors : 0 dropped : 0 overruns : 0 frame : 0 TX packets : 2 errors : 0 dropped : 0 overruns : 0 carrier : 0 collisions : 0 txqueue1en:0 RX bytes:O ( 0.0 b) TX bytes:176 ( 176.0 b) 図 25 、 Vindows での VLAN の言え疋ファイルのアりション ) ヘルプ三コネットワーりコンホーネント = 一般速度一編動貨定ーネットワークドプ 0 引鱠断ー著電力ー 1 物 113 ん %eless LA 有課ネトワ、 - り用ⅳ I(R) PROSet 新規 V[AN の追加名前にします。、匹öN のア VLAN してこの N の番肌こ使用する名前を入力してくだ , 卩な面、一一・ = 、、、、 - ・、一 -- - ー ! 、マトレイアイコンを表 0 っています。 OK キャンセルヘルプ DHCP で配信されるネットワーク言定情報には、 IP アドレスのほか、デフォルト・ゲートウェイや DNS サーバーアドレス、サプネットマスクなどがあります [ 13 ] 。 DHCP では、割当て可能な IP アドレスについて、各端末への貸与や返却などの状態を管理しています。ネットワークに接続しようとする端末は、 DHCP サーバーによってこれらのプールされている IP アドレスから、まだ割り当てられていない IP アドレスを貸与されます。実装にもよりますが、一般には端末の MAC アドレスをキーとして端末を識別しています。かならずしも特定の端末に同じ UN 工 X MAGAZINE 2004. 11 IP アドレスが割り当てられるとはかぎらず、貸与されるたびに異なる IP アドレスカリり当てられることもあります。 DHCP サーバーは、端末にどの IP アドレスを割り当てたかというステートフルな管理テープルを内部にもっています。したがって、検疫検査結果に応じて割り当てる IP アドレスの範囲を切り替えるような仕組みを拡張すれば、検疫モデルでのネットワーク分離処理に適用することカ河能になります。を入手するか、 FreeBSD や各 Linux ディストリビューシの dhclient が含まれています。 ISC のサイトからソースです。パッケージにはサーバーの dhcpd とクライアントは、 2004 年 7 月 14 日付のバージョン 3.0.1 が最新版ているのが ISC の DHCP サーバーです。執筆時点で上にも述べたように、 UNIX 系でもっともよく使われ FreeBSD/Linux DHCP サーバー / クライアントカ坏リ用されています。は、一ヨ殳に ISC (lnternet Software Consortium)17 の用できるので個別の説明は省略します。 UNIX 系の OS で DHCP クライアントは、ほとんどの OS で標準的に利 DHCP の実装 17 http://www.isc.org/sw/dhcp/ 49