|
特集 3.IPアドレス/ポート変換機能 |
|
インターネット接続に利用されるブロードバンド・ルータにとって基本かつ必須といえるのが、IPマスカレードあるいはNAT(正確にはNAPT)と呼ばれる機能だ。IPマスカレードとは、2つのネットワーク間(WAN/LAN)でIPアドレスやTCP/UDPのポート番号を変換して、限られたIPアドレス資源を有効に使うための技術である(詳細はICD:IPマスカレードとNATを参照していただきたい)。この機能の呼び方はメーカーによって異なり、「ENAT(拡張NAT)」、「アドバンストNAT」、「SUA(Single User Account)」などとも呼ばれているが、基本の動作原理はどれも同じである。
 |
| IPマスカレードによるアドレス/ポート番号変換 |
| この図では、LAN側にプライベートIPアドレスを、またWAN側にはグローバルIPアドレスを割り当てている。ブロードバンド・ルータのIPマスカレード機能は、LAN側からWAN側へのアクセス要求ごとに、LAN側パケットのアドレス/ポート番号を基にLAN→WANのアドレス変換テーブルを生成して、アドレスを書き換えつつパケットをLANとWAN間で転送する。図中の囲み内のアドレス/ポートはいずれも送信元(ソース)のもので、どちらもLANからWANへ転送されると書き換わっていることが分かる。 |
ブロードバンド・ルータにとってIPマスカレードが必須機能なのは、一般的にISPから提供されるIPアドレス(通常はグローバルIPアドレス)の数は限定されており、必ずしもLAN側の全ノードには割り当てられないからだ。IPマスカレードを利用すれば、LAN側にある多数のIPアドレスを、WAN側に割り当てられたごく少数(1〜16個程度)のIPアドレスに変換することで、LAN−WAN間の通信が実現できる。LAN側に何台ものPCを接続しても、全PCでWANつまりインターネットへの接続が共有できるわけだ。もっとも、「何台ものPC」といっても、ブロードバンド・ルータの処理性能やWAN側のバンド幅といった限界があるので、実用的に使えるPCの台数にも限界はある。廉価なブロードバンド・ルータで接続可能なのは、同時20〜30台ぐらいと見積もっておくのが無難だろう。
IPマスカレードによって得られるもう1つの重要なメリットは、セキュリティの向上である。IPマスカレードが有効なネットワーク環境では、WAN側から見ると、TCPやUDP、IPのパケットのレベル*1ではLAN側ノードの存在は隠ペイされるため、WAN側つまりインターネット側から攻撃されにくくなる。
| *1 TCPやUDPより上位層のパケットの中には、LAN側ノードのIPアドレスが含まれることがあるため、完全にLAN側が隠ぺいされるわけではない。 |
IPマスカレードそのものに関してユーザーが設定することは、その機能自体の有効/無効ぐらいである。IPマスカレードを無効にするのは、LANとLANの間を1対1でつなぐ必要があるときだ(例えば、何らかの理由により、1つのLANをルータで分割する場合など)。そのため、インターネット接続(WAN−LAN間接続)が主用途のブロードバンド・ルータでは、IPマスカレードを無効にできない製品もある。BLR-TX4は、有効/無効の設定が可能であった。
IPマスカレードは万能ではない
インターネット接続には非常に便利なIPマスカレードだが、その動作原理ゆえのデメリットもある。ネットワーク・アプリケーションによっては、IPマスカレードを経由すると正常に動作しない場合があることと、LAN側に配置したサーバをWAN側から参照できない、つまりインターネット公開サーバをLAN側に設置できない、ということだ。
ブロードバンド・ルータに実装されているIPマスカレードは、LAN側からWAN側へ送信されるパケットに対して、動的にアドレス/ポート変換テーブルを生成する。その変換テーブルが有効である間は、同じ組のアドレス/ポートなら相互に通信できる。逆にWAN側からのパケットに対しては、動的に変換テーブルが生成されることはない(そもそもLAN側IPアドレスが隠ぺいされているから、実際の送信先が分からず、変換テーブルを作りようがない)。従って、
- いきなりWAN側ノードから送信されてきたパケット(LAN側からの要求に応答するために送信されたものではないパケット)
- LAN側ノードと通信中のWAN側ノードから、変換テーブルに該当しない別のポートを用いて送信されてきたパケット
はLAN側ノードに届かない。
こうした制限に引っかかるアプリケーションとしては、ストリーミング系コンテンツのプレイヤーやネットワーク・ゲーム、NetMeetingなどのカンファレンシング・ソフトウェアが挙げられる。一方、Web(HTTP)やftp、telnetなどの普遍的なネットワーク・アプリケーションはIPマスカレード経由でも通信できる(厳密にいえば、ftpは上記の制限に引っかかるが、どの製品でもIPマスカレードの実装レベルでサポートされている)。
また、LANに接続したWebサーバやメール・サーバをインターネット側から参照したいときも、やはり上記の制限のため、IPマスカレードが有効だとインターネット(WAN側)からは見えない。
次ページでは、この制限を回避するための機能「ポート・フォワーディング」と「DMZ」について解説する。
| 関連記事(PC Insider内) | |
| ネットワーク・デバイス教科書:第1回 広帯域インターネット接続を便利に使う「ブロードバンド・ルータ」 | |
| ネットワーク・デバイス教科書:第12回 ブロードバンド・ルータの基本設定 | |
| 新世代ブロードバンド・ルータの性能を検証する | |
| ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座 | |
| ウイルスを遮断できるブロードバンド・ルータ「GateLock X200」 | |
| 関連リンク | |
| メルコ製BLR-TX4の動作実績情報 | |
| ゼロ円でできるブロードバンド・ルータ 2 1FD Linuxで作る高機能ルータ [インストール編] |
|
| ゼロ円でできるブロードバンド・ルータ 2 1FD Linuxで作る高機能ルータ [設定・運用編] |
|
 |
 |
| INDEX | ||
| [特集]ブロードバンド・ルータ徹底攻略ガイド | ||
| 1.LAN側ノードのIPアドレス管理 | ||
| 2.WAN側IPアドレスの管理 | ||
 |
3.IPアドレス/ポート変換機能−IPマスカレード/NAT− | |
| 4.IPアドレス/ポート変換機能−ポート・フォワーディングとDMZ− | ||
| 5.セキュリティ対策の機能 | ||
| 6.そのほかの機能について | ||
 |
||
 |
「PC Insiderの特集」 |
- Intelと互換プロセッサとの戦いの歴史を振り返る (2017/6/28)
Intelのx86が誕生して約40年たつという。x86プロセッサは、互換プロセッサとの戦いでもあった。その歴史を簡単に振り返ってみよう - 第204回 人工知能がFPGAに恋する理由 (2017/5/25)
最近、人工知能(AI)のアクセラレータとしてFPGAを活用する動きがある。なぜCPUやGPUに加えて、FPGAが人工知能に活用されるのだろうか。その理由は? - IoT実用化への号砲は鳴った (2017/4/27)
スタートの号砲が鳴ったようだ。多くのベンダーからIoTを使った実証実験の発表が相次いでいる。あと半年もすれば、実用化へのゴールも見えてくるのだろうか? - スパコンの新しい潮流は人工知能にあり? (2017/3/29)
スパコン関連の発表が続いている。多くが「人工知能」をターゲットにしているようだ。人工知能向けのスパコンとはどのようなものなのか、最近の発表から見ていこう
 |
|
|
|
|
