特集
ブロードバンド・ルータ徹底攻略ガイド

3.IPアドレス/ポート変換機能
−−IPマスカレード/NAT
−−

デジタルアドバンテージ 島田広道
2001/06/28

 インターネット接続に利用されるブロードバンド・ルータにとって基本かつ必須といえるのが、IPマスカレードあるいはNAT(正確にはNAPT)と呼ばれる機能だ。IPマスカレードとは、2つのネットワーク間(WAN/LAN)でIPアドレスやTCP/UDPのポート番号を変換して、限られたIPアドレス資源を有効に使うための技術である(詳細はICD:IPマスカレードNATを参照していただきたい)。この機能の呼び方はメーカーによって異なり、「ENAT(拡張NAT)」、「アドバンストNAT」、「SUA(Single User Account)」などとも呼ばれているが、基本の動作原理はどれも同じである。

IPマスカレードによるアドレス/ポート番号変換
この図では、LAN側にプライベートIPアドレスを、またWAN側にはグローバルIPアドレスを割り当てている。ブロードバンド・ルータのIPマスカレード機能は、LAN側からWAN側へのアクセス要求ごとに、LAN側パケットのアドレス/ポート番号を基にLAN→WANのアドレス変換テーブルを生成して、アドレスを書き換えつつパケットをLANとWAN間で転送する。図中の囲み内のアドレス/ポートはいずれも送信元(ソース)のもので、どちらもLANからWANへ転送されると書き換わっていることが分かる。

 ブロードバンド・ルータにとってIPマスカレードが必須機能なのは、一般的にISPから提供されるIPアドレス(通常はグローバルIPアドレス)の数は限定されており、必ずしもLAN側の全ノードには割り当てられないからだ。IPマスカレードを利用すれば、LAN側にある多数のIPアドレスを、WAN側に割り当てられたごく少数(1〜16個程度)のIPアドレスに変換することで、LAN−WAN間の通信が実現できる。LAN側に何台ものPCを接続しても、全PCでWANつまりインターネットへの接続が共有できるわけだ。もっとも、「何台ものPC」といっても、ブロードバンド・ルータの処理性能やWAN側のバンド幅といった限界があるので、実用的に使えるPCの台数にも限界はある。廉価なブロードバンド・ルータで接続可能なのは、同時20〜30台ぐらいと見積もっておくのが無難だろう。

 IPマスカレードによって得られるもう1つの重要なメリットは、セキュリティの向上である。IPマスカレードが有効なネットワーク環境では、WAN側から見ると、TCPやUDP、IPのパケットのレベル*1ではLAN側ノードの存在は隠ペイされるため、WAN側つまりインターネット側から攻撃されにくくなる。

*1 TCPやUDPより上位層のパケットの中には、LAN側ノードのIPアドレスが含まれることがあるため、完全にLAN側が隠ぺいされるわけではない。

 IPマスカレードそのものに関してユーザーが設定することは、その機能自体の有効/無効ぐらいである。IPマスカレードを無効にするのは、LANとLANの間を1対1でつなぐ必要があるときだ(例えば、何らかの理由により、1つのLANをルータで分割する場合など)。そのため、インターネット接続(WAN−LAN間接続)が主用途のブロードバンド・ルータでは、IPマスカレードを無効にできない製品もある。BLR-TX4は、有効/無効の設定が可能であった。

IPマスカレードは万能ではない

 インターネット接続には非常に便利なIPマスカレードだが、その動作原理ゆえのデメリットもある。ネットワーク・アプリケーションによっては、IPマスカレードを経由すると正常に動作しない場合があることと、LAN側に配置したサーバをWAN側から参照できない、つまりインターネット公開サーバをLAN側に設置できない、ということだ。

 ブロードバンド・ルータに実装されているIPマスカレードは、LAN側からWAN側へ送信されるパケットに対して、動的にアドレス/ポート変換テーブルを生成する。その変換テーブルが有効である間は、同じ組のアドレス/ポートなら相互に通信できる。逆にWAN側からのパケットに対しては、動的に変換テーブルが生成されることはない(そもそもLAN側IPアドレスが隠ぺいされているから、実際の送信先が分からず、変換テーブルを作りようがない)。従って、

  • いきなりWAN側ノードから送信されてきたパケット(LAN側からの要求に応答するために送信されたものではないパケット)
  • LAN側ノードと通信中のWAN側ノードから、変換テーブルに該当しない別のポートを用いて送信されてきたパケット

はLAN側ノードに届かない。

 こうした制限に引っかかるアプリケーションとしては、ストリーミング系コンテンツのプレイヤーやネットワーク・ゲーム、NetMeetingなどのカンファレンシング・ソフトウェアが挙げられる。一方、Web(HTTP)やftp、telnetなどの普遍的なネットワーク・アプリケーションはIPマスカレード経由でも通信できる(厳密にいえば、ftpは上記の制限に引っかかるが、どの製品でもIPマスカレードの実装レベルでサポートされている)。

 また、LANに接続したWebサーバやメール・サーバをインターネット側から参照したいときも、やはり上記の制限のため、IPマスカレードが有効だとインターネット(WAN側)からは見えない。

 次ページでは、この制限を回避するための機能「ポート・フォワーディング」と「DMZ」について解説する。

  関連記事(PC Insider内) 
ネットワーク・デバイス教科書:第1回 広帯域インターネット接続を便利に使う「ブロードバンド・ルータ」
ネットワーク・デバイス教科書:第12回 ブロードバンド・ルータの基本設定
新世代ブロードバンド・ルータの性能を検証する
ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座
ウイルスを遮断できるブロードバンド・ルータ「GateLock X200」
 
  関連リンク 
メルコ製BLR-TX4の動作実績情報
ゼロ円でできるブロードバンド・ルータ 2
 1FD Linuxで作る高機能ルータ [インストール編]
ゼロ円でできるブロードバンド・ルータ 2
 1FD Linuxで作る高機能ルータ [設定・運用編]
 
 

 INDEX
  [特集]ブロードバンド・ルータ徹底攻略ガイド
    1.LAN側ノードのIPアドレス管理
    2.WAN側IPアドレスの管理
  3.IPアドレス/ポート変換機能−IPマスカレード/NAT−
    4.IPアドレス/ポート変換機能−ポート・フォワーディングとDMZ−
    5.セキュリティ対策の機能
    6.そのほかの機能について
 
「PC Insiderの特集」


System Insider フォーラム 新着記事
  • Intelと互換プロセッサとの戦いの歴史を振り返る (2017/6/28)
     Intelのx86が誕生して約40年たつという。x86プロセッサは、互換プロセッサとの戦いでもあった。その歴史を簡単に振り返ってみよう
  • 第204回 人工知能がFPGAに恋する理由 (2017/5/25)
     最近、人工知能(AI)のアクセラレータとしてFPGAを活用する動きがある。なぜCPUやGPUに加えて、FPGAが人工知能に活用されるのだろうか。その理由は?
  • IoT実用化への号砲は鳴った (2017/4/27)
     スタートの号砲が鳴ったようだ。多くのベンダーからIoTを使った実証実験の発表が相次いでいる。あと半年もすれば、実用化へのゴールも見えてくるのだろうか?
  • スパコンの新しい潮流は人工知能にあり? (2017/3/29)
     スパコン関連の発表が続いている。多くが「人工知能」をターゲットにしているようだ。人工知能向けのスパコンとはどのようなものなのか、最近の発表から見ていこう
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

System Insider 記事ランキング

本日 月間