最新版は・・・ †
こちらが最新になります
尚、現在リバイス中ですので、後日差し替えます。
NTT光プレミアムについて †
まず、最初に、光プレミアムとは何か説明しよう。光プレミアムとは、NTT西日本が提供している光ブロードバンド回線で、一般家庭の利用を対象としている。ここでの一般家庭とは、サーバを立てたりせず、ウェッブブラウジングが出来て、メールやメッセンジャー等が動けば良いという家庭だ。そのため、光ファイバー等を含むトータルコストを安価に提供するため色々な仕組みが入っているが、それが制限となり、仇となっている。*1
この回線を利用することにより、ひかり電話が使えるため、既存の加入電話の1785円が525円で利用出来るが、このひかり電話を利用するためには、VoIPアダプタを取り付けなくてはいけない。また、限られた環境で品質を保証しないといけないため、ルータに相当するCTU部分もNTTの責任分界点だ。そのため、今まで自由に利用できていたルータが使用出来ない、端末にグローバルIPを振ることが出来ない等、色々な制限がついてくる。
ひかり電話の仕組み †
余り技術的なことは省いて、ひかり電話が番号ポータビリティに対応したため、既存の固定電話の番号をそのまま安価に利用が可能である。固定電話は、電話としてのライフラインとしての最低限の品質を保たない限り、デジタル化が出来ない。これらは総務省の定める一定基準を満たす必要がある。主に、0AB番号の付与による、エリアを特定できること、0ABの番号の付与による緊急番号への接続(110番や119番)、一定の回線品質の保証があげられる。品質既定については、google検索固定電話+品質規定+0AB及び固定電話+品質+0ABあたりを参照。
ここでは、これらの要件を満たすことが出来、番号ポータビリティという形で、既存の固定電話の番号を割り当てる事が出来るようになった。
では、技術的にはどうなっているのだろうか。インターネットを介すると品質の保証されていないネットワークになってしまう。地域IP網内であれば、閉ざされたネットワークで全てNTTの管理管轄にあるため、音声パケット優先制御をおこなうことが可能になり、提供出来るようになった。しかし、現時点で疑問なのは、同時に利用した際、契約分の帯域を確保されているかという事である。
CTUとVoIPアダプタとはどういう構造で接続されているのだろうか?
CTUには、隠しセッションというのが存在し、第6セッション目には、IPv4のネットワークが存在する。このネットワーク上で、光電話を提供するが、VoIPアダプタとはUPnPか何かで接続されるため、CTUのIPアドレスを変更すると、CTUを見つけれなくなり、ひかり電話が使用出来なくなると言う不具合も有る。
尚、使用されていると思われるアドレスブロック帯は、210.247.0.0/17 当たりから使用されると思われる。なお、このアドレスブロックには地域IP網で利用されるグローバルアドレス(外部とはルーティング無し)でもあると思われる。
光プレミアムの良い点 †
- ひかり電話が利用出来るため、電話を含むトータルコストを抑えることが可能
- CTUという加入者終端装置(ルータ相当)をNTT側が提供しているため、複数台端末を同時利用する際には、別途ルータを用意しなくても良い
- 1Gbpsの回線を最大32人で分岐しているため、Bフレッツの時に比べて、一人当たりの帯域確保が大きい。また、エンドユーザー側は100Mbpsに絞られているため、一人が高帯域を利用したとしても、影響が受けにくい。
- (サービスとして標準で提供される)セキュリティーが標準装備。ここでのセキュリティーとは、TrendMicro社のウィルスバスターのカスタマイズ版*2と思われる物を無償提供される。カスタマイズとは、ウィルスバスター2005がベースとなっており、それにIPv6を対応化させた物である
- IPv6が標準で実装されており、IPv6マルチキャストに対応可能。主にこれらはオンデマンドで利用される。*3
- 地域IP網内のv6ネットワークはclosedだが、地域IP網内ではルーティングされている
- 加入者に対して、/48 のアドレスを固定的に割り当て
- IPv6 to IPv6でVPNを張ってしまえば、インターネット網に影響しない高品質なVPNが可能となるのではないか。YAMAHA RTXシリーズや古河電工のFITELnetシリーズ、NEC IX2000シリーズ等はIPv6でIPsecを張ることが可能。
光プレミアムの悪い点・駄目な点 †
一般家庭を対象としているので、それを越える要求も有ることをご了承くださいませ。
- IPv6が有効*4の場合、2001:a000::/21 から /48 単位で切り出されたアドレスが端末に付与される
- 端末に地域IP網内でしかルーティングされていない為、AAAA レコードのついているサイトには接続できない。*5
例) http://www.iij.ad.jp/ , http://www.dti.ad.jp/ , http://www.kame.net/ , http://www.wide.ad.jp/
- IPv6 をインストールしない
- CTUの実装を修正する
具体的な実装例1: IPv6が有効になっていない端末の場合、CTUが ipv4 to ipv6 のproxyとして動作している実装が有る。これを逆に利用して、v6サイトを見に行こうとした際、CTUが ipv6 to ipv4 の様なproxyとして動作すればよい。
具体的な実装例2: DNS Proxyをおこなっているのであれば、AAAAを返さず、Aレコードを返せばよい。自宅にサーバを立てていたら救済は不可能。
→ 但し、オンデマンド問題をどうするか。IPv6マルチキャストを利用している部分が有るので。
→ CTUが内向きのIPv6 static routeを書けるように実装すれば良い
- MTUが小さい
- IPsec over IPv6を使用しているため、MTUが1438になっている。
サーバを立てている人にとっては要注意
- CTUの電源が不慮の再起動の際自動再接続しない
- 本来であれば、自動的に再接続を試みるが、現時点のファームでは再接続に失敗することが多く、手動で接続とやらなければならない
- CTUがルータとして動作するため、端末にはグローバルIPを割り当てることは不可能
ADSLやBフレッツの時は、PPPoEを端末でしゃべれば端末にグローバルIPが付与されたが、IPsec over IPv6になったため、端末型接続は不可能になった
解決方法は一応あるが、OCN等が提供しているunnumberdなサービスを利用することになる
- GRE,ESPを通さない
- IPsec及びPPTPなサーバを設置できない。
- NAT Traversalな箱を用意すれば可能。Netscreen等
- VPN接続が不可能
- 理由はGRE,ESPを通さないを参照
- SoftEther等のTCPセッションのみを利用する手段であれば可能
- NATが糞
- おおよそ5000セッションがMAX
- 窓口の端末の人はセッションは無制限と嘘を言ったが、関係者から聞くとおおよそ5000セッションぐらいまでは可能とのこと。
- NATが重い
- 下りのみ、登りのみの数セッションなら早いが、双方向(全二重)に負荷を掛けると、速度ががた落ちする。すなわちVPNには余り向かない。
- 192.168.24.0/24のネットワークを変更できない
- DHCPを停止できない
- 内向きのstatic routingを書けない
- 無線LAN対応ルータは要注意
- 無線ルータの設定を変更し、DHCPサーバ無効、APモードにしないと行けない
最近は比較的簡単にウィザードで設定できるようになっている
- RAを停止することが出来ない
さっさとファームで直せ!>NTT
- 既存のIPv6ネットワークが有るところに、フレッツ光プレミアムを導入するとIPv6の経路がぐちゃぐちゃになる。イメージとしては、IPv4のグローバルIPがたくさんくっついている状態で、各々のゲートウェイが存在するのに、特定の1つルータへデフォルトゲートウェイが向いている状態。
- 手で個別にstatic routeを書いてやる必要がある
- CTUへはIPv6のルーティングテーブルを追加できない
IPv6周りのネットワーク構成 †
地域IP網内はIPv6化されたが、理由がいまいち分からない。GE-PONはOKIを利用され、GE-PON は HITACHI GR4000というルータに1Gbpsで接続。GR4000から局間は10Gbps接続されている。さらに地域代表ビル内では、Juniper等の機器が利用されている。その先が、完全なv6ネットワークになっている。主に、CTU設定サーバ及びウィルス定義の配布サーバ等もIPv6になっている。
さて、ここで問題が発生することが一点。IPv6に対応していない端末(パソコン)はどうなるのだろうか。CTUがProxyサーバとして動作しているため、あたかもv4でアクセス出来るように見える。tracerouteを使ってみれば一目瞭然だろう。
割り当てられるIPv6アドレス †
2005年8月現在、加入者に割り当てられるアドレスは、2001:a000::/21 から、 /48のアドレスが割り当てられる。これは、CTU単位に割り当てられるため、実質加入者は固定となる。また、各種サーバ群は2001:0d70::/30 から割り当てられている。
これらからすると、加入者へは /48 で割り当てられるため、CTUのアドレスから加入者が簡単に把握できるような仕組みになっているが、このペースで/48 で割り当てたら直ぐにIPv6アドレスが枯渇するのではないだろうか。また、/48 でなく、/64 でも良いのではないか、なぜ、あえて /48 で配布した理由として、IPv6アドレス割り振りおよび割り当てポリシーに準拠したのだろうか。
個人的感想 †
このサービスに関しては本当に何を考えてプランニングされたか全く分かりません。CTUの後ろのネットワークで、PPPoEが使えるようにしてあればまだ、救いようが有るのですが。ひかり電話でどうしても必要ならば、それようにPPPoEを食わせるなりIPsecなりで繋げばいいのにね。なぜ、東と西は違うのだろう?こんなIPv6環境を準備したところで、使ったところで普及もしないだろうし、ユーザの混乱を招くだけのような気がします。実際にOCNのサービスには、フレッツ光プレミアム及びv6アプリ利用時は、OCNのIPv6サービスは受けれない可能性が有ります。と告知されていますし。
また、AAAAのDNSレコードの振られているサイトへは到達性が無く、ページが表示できないというトラブルが発生しています。ユーザへの選択肢を作るべきであり…。そして、こういう状態で有るので、ファミリー100タイプを選択しようとすると、どこものISPが光プレミアムばかりにして、ファミリー100のキャンペーンを打ち切り、工事費が発生する。という自体。ユーザへの配慮が全くなっていない感じがしますし、その辺のユーザへの説明責任がない気がします。この件について問い合わせしたところでたらい回しで、出来ますとか理由の分からない回答しか出来ない窓口にも腹が立ちます。やりたいと思っていることが出来ない紐になっていて、インターネットそのものの本質を失わせているような感じがしました。
一行コメント †
なにか、間違っていること等有りましたら指摘して下さいませ
- 堪能いたしました。 -- reservoir?
- NTT西がやってることは意味不明です -- hoge?
- 去年、VPNルータを使おうとして引っ掛かりました・・・ -- anony?
- まぁ「一般ユーザ対象」で考えれば10万円overのあのCTUを安くレンタルしてる西はましかも。東は放置プレイに近い…。http://rrr.zenmai.org/d/?20061209 -- Tonbi?
- 記述が古いので、修正されている点が多数ありますね。 -- 修正マダー??
- 中の人コメントありがとうございますw -- tomocha
- ちなみに、TOPの方にも書いておきましたが、検証回線を引っ張って、解析マシンを用意して色々と書いている最中ですよ。某社社内では、デフォルトサイトになってるのかしら。アクセスの3割はそれ系なんですが(笑) -- tomocha
- あと、DNSのfailback問題はことしの一月に解決してるからドキュメントにその話を書いて欲しいというメールも別の方からいただいております。その辺も修正する予定です。 -- tomocha
- pppoe使ってる環境でtracertしたら2番目(CTUの部分)がタイムアウトになるんですけど、なにか対策とかあります? -- fil?
- 光プレミアムのVPNについてですが、GRE,ESPはCTUファイヤーウォール設定のプロトコル番号で許可するだけじゃだめなの? -- わんたん?
- IX2015を対向させて IPv4 over IPv6(IPsec) でVPNを張ってみました。RTT 7msecぐらいだったので結構いい感じです。 -- TATSUYA?
- 192.168.24.0/24のネットワークを変更できない <変更するとひかり電話が使用出来なくなる> -- たれたれもも?
- 192.168.x.0設定変更しても、VoIPアダプタを再起動すれば、新たにIPを自動取得し使えるようになりますよ。 -- たれたれもも?
- たれたれももさん、コメントありがとうございます。このドキュメントは非常に古くなっています。リンクより、新しい方をご覧ください。 -- tomocha
個人的にはそんなことをせず、既存のGE-PONに、ひかり電話用のPPPoEセッション(VoIPアダプタがPPPoEをしゃべりSIPサーバに接続する)及び、v6アプリみたいに生でアドレスを流せばいいと思うのに…。
PDFの98頁目参照
OCN Theater, Plala 4thMedia, オンデマンドTV
ipv6 install していると
実際の所、OSの環境にも寄るが、IPv6でタイムアウトしてから、IPv4で試みられる