2015年時点で、インターネットインフラにおけるIPv6の適用は進行している。しかし、住宅のネットワーク内での使用は、特にサブネットやプレフィックスの配布において、オンプレミス機器の配備やその能力に重大な制限があるとされる。
ISPによりIPv6インフラ提供が急速に進んでいるが、IPv6をサポートできないか複雑な構成を必要とするユーザーの端末、家庭向け、小規模ビジネスルーター、モデム、アクセスポイントがユーザーの構内に非常に多く存在する。
Threadデバイスと外部ネットワークとの通信の観点から、IPv4だけのインフラやIPv6の利用に制限がある家庭内ネットワークとの共存と対応では、ボーダールーターの能力が重要となる。ホームネットワークでよく直面するケースとして、あるデバイスやデジタル家電がThreadボーダールーターの役割も担うが、サイトローカルのIPv4アドレスだけ、もしくは下流へのプレフィックスの配布が困難な、/128のグローバルIPv6アドレスだけが割り当てられるような場合が想定される。
ネイティブで割り当てられたGUAやULAを使用するよりは望ましくはないが、ThreadボーダールーターによりNAT(Network Address Translation)機能を組み込むことで、ユースケースを達成することはできる。
特定のケースとして、Thread内部のIPv6ネットワークと、家庭のIPv4サイトローカルのネットワークかIPv4インターネットとの通信では、ボーダールーターは、RFC6144とRFC6052で規定されたフレームワークとして、NAT64の亜種を活用できる。
しかしながら、いずれの状況でも、前項にて記したようにThreadネットワーク内部での外部プレフィックスパケットルーティングの通信が実施される。
RFC4874とRFC6092で推奨されるように、ボーダールーターは、流入と流出のトラフィックフィルタリングの機能とThread内部ネットワークのプロテクションを組み込むことが期待される。また、Threadノードの多くの機器カテゴリーで、限られた通信帯域と電力の制約がある。そのため、ボーダールーターのパケットフィルタリングを行うことは、意図的かアクシデントによるデータの洪水や外部ネットワークを起点とするThreadメッシュ内のDoS(Denial of Service)攻撃を防ぐための基本となる。
セキュリティ攻撃に対するファイアウォールとして、Threadボーダールーターは帯域制限をかけたり、制約のある内部ネットワークの破滅を引き起こしうる過剰なユニキャストやマルチキャストのデータフローを検知したときに、正当な流入アプリケーションのトラフィック以外の転送を拒否したりする。
しかし、このようなルールはThreadデバイスが外部ネットワークのデバイスとエンド間通信をすること、特に流出方向のトラフィックを排除するべきではない。ボーダールーター自身に制約があったり、電池駆動のデバイスであったりする場合は、ポートフィルタリングと転送ルールの構成をネットワーク上位のデバイスに委託する。
Threadノードと外部ネットワーク間における、シームレスなポートコントロールとフィルタリングのコンフィギュレーションには、RFC6887で記述されているPCP(Port Control Protocol)のように軽いプロトコルの活用もできる。これらのプロトコルは、ポートコントロール機能だけでなく、アドレス変換が外部ネットワークとの間で必要な場合にNATサービスのコンフィギュレーションにも用いることができる。
ボーダールーターは、新しいデバイスがThreadネットワークにコミッショニングする際の基礎的な役割を担う。ボーダールーターは、外部コミッショナーと複数のコミッショナー候補のペティショニングの調停を行うリーダーとの通信メッセージや、参加プロセスを開始した新しいデバイスとの間で交わされるメッセージを中継する。
Copyright © ITmedia, Inc. All Rights Reserved.