この記事を読んでいる場合は、インターネットに接続してWebサイトで表示している可能性があります。現在、ネットワークアドレス変換(NAT)を使用している可能性が非常に高いです。
インターネットは、想像以上に大きくなりました。正確なサイズは不明ですが、現在の推定では、インターネット上には約1億のホストがあり、3億5000万を超えるユーザーがアクティブになっています。それは米国の全人口を超えています!実際、インターネットの規模は毎年実質的に2倍になるほどの成長率になっています。
では、インターネットのサイズはNATとどのような関係があるのでしょうか。すべての!コンピューターがインターネット上の他のコンピューターやWebサーバーと通信するには、IPアドレスが必要です。アンIPアドレス(IPはインターネットプロトコルの略)は、ネットワーク上のコンピュータの場所を識別する一意の32ビットの数値です。基本的に、それはあなたの住所のように機能します-あなたがどこにいるかを正確に見つけてあなたに情報を届ける方法として。
IPアドレッシングが最初に登場したとき、誰もがあらゆるニーズに対応できるアドレスがたくさんあると考えていました。理論的には、4,294,967,296の一意のアドレス(2 32)を持つことができます。アドレスをクラスに分割する方法と、一部のアドレスがマルチキャスト、テスト、またはその他の特別な用途のために確保されているため、実際に使用可能なアドレスの数は少なくなります(32〜33億)。
インターネットの爆発的増加とホームネットワークおよびビジネスネットワークの増加に伴い、利用可能なIPアドレスの数は単に十分ではありません。明らかな解決策は、アドレス形式を再設計して、より多くの可能なアドレスを許可することです。これは開発中(IPv6と呼ばれます)ですが、インターネットのインフラストラクチャ全体を変更する必要があるため、実装には数年かかります。
ここでNAT(RFC 1631)が役に立ちます。ネットワークアドレス変換を使用すると、ルーターなどの単一のデバイスが、インターネット(または「パブリックネットワーク」)とローカル(または「プライベート」)ネットワークの間のエージェントとして機能できます。これは、コンピューターのグループ全体を表すために必要なのは、単一の一意のIPアドレスのみであることを意味します。
しかし、IPアドレスの不足は、NATを使用する理由の1つにすぎません。この記事では、NATがどのように役立つかについて詳しく学びます。しかし、最初に、NATとそれが何をすることができるかを詳しく見てみましょう...
- NATは何をしますか?
- NAT構成
- 動的NATとオーバーロード
- スタブドメイン
- セキュリティと管理
- マルチホーミング
NATは何をしますか?
NATは、大規模なオフィスの受付係のようなものです。あなたがそれを要求しない限りあなたに電話を転送しないように受付係に指示を残したとしましょう。後で、あなたは潜在的なクライアントに電話をかけ、そのクライアントにあなたに電話をかけ直すようにメッセージを残します。あなたは受付係に、このクライアントからの電話を期待していることを伝え、彼女に電話をかけます。
クライアントはあなたのオフィスにメインの番号を呼び出します。これはクライアントが知っている唯一の番号です。クライアントが受付係にあなたを探していることを伝えると、受付係はあなたの名前とあなたの内線番号が一致するルックアップテーブルをチェックします。受付係は、あなたがこの通話をリクエストしたことを知っているため、発信者をあなたの内線に転送します。
シスコによって開発されたネットワークアドレス変換は、デバイス(ファイアウォール、ルーター、または内部ネットワークと世界の他の地域との間にあるコンピューター)によって使用されます。NATにはさまざまな形式があり、いくつかの方法で機能します。
- 静的NAT-未登録のIPアドレスを登録済みのIPアドレスに1対1でマッピングします。ネットワークの外部からデバイスにアクセスする必要がある場合に特に便利です。
- 動的NAT-未登録のIPアドレスを、登録済みのIPアドレスのグループから登録済みのIPアドレスにマップします。
- オーバーロード-異なるポートを使用して、複数の未登録IPアドレスを単一の登録済みIPアドレスにマップする動的NATの形式。これは、PAT(ポートアドレス変換)、単一アドレスNAT、またはポートレベルの多重化NATとも呼ばれます。
- 重複-内部ネットワークで使用されているIPアドレスが別のネットワークで使用されている登録済みIPアドレスである場合、ルーターはこれらのアドレスのルックアップテーブルを維持して、それらを傍受し、登録済みの一意のIPアドレスに置き換える必要があります。NATルーターは、「内部」アドレスを登録済みの一意のアドレスに変換する必要があるだけでなく、「外部」の登録済みアドレスをプライベートネットワークに固有のアドレスに変換する必要があることに注意してください。これは、静的NATを介して、またはDNSを使用して動的NATを実装することによって実行できます。
内部ネットワークは通常、LAN(ローカルエリアネットワーク)であり、一般にスタブドメインと呼ばれます。スタブドメインは、内部でIPアドレスを使用するLANです。スタブドメインのネットワークトラフィックのほとんどはローカルであるため、内部ネットワークの外部に移動することはありません。スタブドメインには、登録済みと未登録の両方のIPアドレスを含めることができます。もちろん、未登録のIPアドレスを使用するコンピューターは、ネットワークアドレス変換を使用して世界の他の地域と通信する必要があります。
次のセクションでは、NATを構成するさまざまな方法を見ていきます。
ありがとうございました
この記事の作成をサポートしてくれたシスコに特に感謝します。
NAT構成
NATはさまざまな方法で構成できます。以下の例では、NATルーターは、プライベート(内部)ネットワーク上にある未登録(内部、ローカル)IPアドレスを登録済みIPアドレスに変換するように構成されています。これは、アドレスが未登録の内部のデバイスがパブリック(外部)ネットワークと通信する必要がある場合に発生します。
- ISPは、さまざまなIPアドレスを会社に割り当てます。割り当てられたアドレスのブロックは登録された一意のIPアドレスであり、グローバルアドレス内で呼び出されます。未登録のプライベートIPアドレスは2つのグループに分けられます。1つは、NATルーターによって使用される小さなグループ(ローカルアドレスの外部)です。他のはるかに大きなグループは、内部ローカルアドレスと呼ばれ、スタブドメインで使用されます。外部ローカルアドレスは、パブリックネットワーク上のデバイスの一意のIPアドレス(外部グローバルアドレスと呼ばれる)を変換するために使用されます。
- スタブドメイン上のほとんどのコンピューターは、内部ローカルアドレスを使用して相互に通信します。
- スタブドメイン上の一部のコンピューターは、ネットワークの外部で多くの通信を行います。これらのコンピューターには内部グローバルアドレスがあります。つまり、変換は必要ありません。
- 内部ローカルアドレスを持つスタブドメイン上のコンピューターがネットワークの外部と通信する場合、パケットはNATルーターの1つに送信されます。
- NATルーターは、ルーティングテーブルをチェックして、宛先アドレスのエントリがあるかどうかを確認します。含まれている場合、NATルーターはパケットを変換し、アドレス変換テーブルにそのエントリを作成します。宛先アドレスがルーティングテーブルにない場合、パケットはドロップされます。
- 内部グローバルアドレスを使用して、ルーターはパケットを宛先に送信します。
- パブリックネットワーク上のコンピューターは、プライベートネットワークにパケットを送信します。パケットの送信元アドレスは外部グローバルアドレスです。宛先アドレスは内部グローバルアドレスです。
- NATルーターは、アドレス変換テーブルを調べて、宛先アドレスがそこにあり、スタブドメイン上のコンピューターにマップされていることを確認します。
- NATルーターは、パケットの内部グローバルアドレスを内部ローカルアドレスに変換し、宛先コンピューターに送信します。
NATオーバーロードはの機能を利用TCP / IPプロトコルスタックを、多重コンピュータは異なる使用してリモートコンピュータ(またはコンピュータ)との複数の同時接続を維持することを可能にすること、TCPやUDPの ポートを。IPパケットには、次の情報を含むヘッダーがあります。
- 送信元アドレス-201.3.83.132などの発信元コンピューターのIPアドレス
- 送信元ポート-ポート1080など、このパケットの発信元コンピューターによって割り当てられたTCPまたはUDPポート番号
- 宛先アドレス-145.51.18.223などの受信側コンピューターのIPアドレス
- 宛先ポート-ポート3021など、発信元コンピューターが受信側コンピューターに開くように要求しているTCPまたはUDPポート番号
アドレスは両端の2台のマシンを指定し、ポート番号は2台のコンピューター間の接続に一意の識別子があることを保証します。これらの4つの数値の組み合わせにより、単一のTCP / IP接続が定義されます。各ポート番号は16ビットを使用します。これは、65,536(2 16)の値が存在する可能性があることを意味します。現実的には、メーカーが異なればポートのマッピング方法もわずかに異なるため、約4,000のポートが使用可能になると予想できます。
動的NATとオーバーロード
ここではどのようだダイナミックNATの作品は:
- 内部ネットワーク(スタブドメイン)は、IPアドレスを配布するグローバル機関であるIANA(Internet Assigned Numbers Authority)によってその会社に特別に割り当てられていないIPアドレスで設定されています。これらのアドレスは一意ではないため、ルーティング不可と見なす必要があります。
- 同社はNAT対応ルーターを設置しています。ルーターには、IANAから会社に与えられた一連の一意のIPアドレスがあります。
- スタブドメイン上のコンピューターは、Webサーバーなどのネットワーク外のコンピューターに接続しようとします。
- ルーターは、スタブドメイン上のコンピューターからパケットを受信します。
- ルーターは、コンピューターのルーティング不可能なIPアドレスをアドレス変換テーブルに保存します。ルーターは、送信側コンピューターのルーティング不可能なIPアドレスを、一意のIPアドレスの範囲外で最初に使用可能なIPアドレスに置き換えます。変換テーブルには、一意のIPアドレスの1つと一致するコンピューターのルーティング不可能なIPアドレスのマッピングが含まれるようになりました。
- パケットが宛先コンピュータから戻ってくると、ルーターはパケットの宛先アドレスをチェックします。次に、アドレス変換テーブルを調べて、パケットがスタブドメイン上のどのコンピューターに属しているかを確認します。宛先アドレスをアドレス変換テーブルに保存されているアドレスに変更し、そのコンピューターに送信します。テーブルに一致するものが見つからない場合は、パケットをドロップします。
- コンピューターはルーターからパケットを受信します。コンピュータが外部システムと通信している限り、このプロセスが繰り返されます。
どのようにここだオーバーロードの作品を:
- 内部ネットワーク(スタブドメイン)は、IANAによってその会社に特別に割り当てられていないルーティング不可能なIPアドレスで設定されています。
- 同社はNAT対応ルーターを設置しています。ルーターには、IANAから会社に与えられた一意のIPアドレスがあります。
- スタブドメイン上のコンピューターは、Webサーバーなどのネットワーク外のコンピューターに接続しようとします。
- ルーターは、スタブドメイン上のコンピューターからパケットを受信します。
- ルーターは、コンピューターのルーティング不可能なIPアドレスとポート番号をアドレス変換テーブルに保存します。ルーターは、送信側コンピューターのルーティング不可能なIPアドレスをルーターのIPアドレスに置き換えます。ルーターは、送信側コンピューターの送信元ポートを、ルーターが送信側コンピューターのアドレス情報をアドレス変換テーブルに保存した場所と一致するポート番号に置き換えます。変換テーブルには、ルーターのIPアドレスとともに、コンピューターのルーティング不可能なIPアドレスとポート番号のマッピングが含まれるようになりました。
- パケットが宛先コンピューターから返されると、ルーターはパケットの宛先ポートをチェックします。次に、アドレス変換テーブルを調べて、パケットがスタブドメイン上のどのコンピューターに属しているかを確認します。宛先アドレスと宛先ポートをアドレス変換テーブルに保存されているものに変更し、そのコンピューターに送信します。
- コンピューターはルーターからパケットを受信します。コンピュータが外部システムと通信している限り、このプロセスが繰り返されます。
- NATルーターでは、コンピューターの送信元アドレスと送信元ポートがアドレス変換テーブルに保存されているため、接続中は同じポート番号を使用し続けます。ルータがテーブルのエントリにアクセスするたびに、タイマーがリセットされます。タイマーの期限が切れる前にエントリに再度アクセスしない場合、エントリはテーブルから削除されます。
次のセクションでは、スタブドメインの構成について説明します。
スタブドメイン
以下を見て、スタブドメイン上のコンピューターが外部ネットワークにどのように表示されるかを確認してください。
ソースコンピューターA
IPアドレス:192.168.32.10
コンピュータポート:400
NATルーターのIPアドレス:215.37.32.203
NATルーターが割り当てたポート番号:1
ソースコンピューターB
IPアドレス:192.168.32.13
コンピュータポート:50
NATルーターのIPアドレス:215.37.32.203
NATルーターが割り当てたポート番号:2
ソースコンピューターC
IPアドレス:192.168.32.15
コンピュータポート:3750
NATルーターのIPアドレス:215.37.32.203
NATルーター割り当てポート番号:3
ソースコンピューターD
IPアドレス:192.168.32.18
コンピュータポート:206
NATルーターのIPアドレス:215.37.32.203
NATルーターが割り当てたポート番号:4
ご覧のとおり、NATルーターは各コンピューターのIPアドレスとポート番号を格納します。次に、IPアドレスを、自身の登録済みIPアドレスと、そのパケットの送信元コンピューターのエントリのテーブル内の場所に対応するポート番号に置き換えます。したがって、外部ネットワークはすべて、NATルーターのIPアドレスと、ルーターによって割り当てられたポート番号を、各パケットの送信元コンピューター情報として認識します。
専用IPアドレスを使用するスタブドメイン上の一部のコンピューターを引き続き使用できます。ネットワーク上のどのコンピューターがNATを必要とするかをルーターに通知するIPアドレスのアクセスリストを作成できます。他のすべてのIPアドレスは、変換されずに通過します。
ルーターがサポートする同時変換の数は、主にルーターが持つDRAM(ダイナミックランダムアクセスメモリ)の量によって決まります。ただし、アドレス変換テーブルの一般的なエントリは約160バイトしかかからないため、4 MBのDRAMを備えたルーターは、理論的には26,214の同時変換を処理できます。これは、ほとんどのアプリケーションにとって十分すぎるほどです。
IANAは、ルーティング不可能な内部ネットワークアドレスとして使用するために、特定の範囲のIPアドレスを確保しています。これらのアドレスは未登録と見なされます(詳細については、これらのアドレス範囲を定義するRFC 1918:プライベートインターネットのアドレス割り当てを確認してください)。未登録の住所の所有権を主張したり、公共のコンピューターで使用したりすることはできません。ルーターは、未登録のアドレスを(転送する代わりに)破棄するように設計されています。これが意味するのは、未登録のアドレスを持つコンピューターからのパケットは、登録された宛先コンピューターに到達する可能性がありますが、応答は最初に到達したルーターによって破棄されるということです。
ネットワークに使用されるIPアドレスの3つのクラスのそれぞれに範囲があります。
- 範囲1:クラスA-10.0.0.0〜10.255.255.255
- 範囲2:クラスB-172.16.0.0〜172.31.255.255
- 範囲3:クラスC-192.168.0.0から192.168.255.255
各範囲は異なるクラスにありますが、内部ネットワークに特定の範囲を使用する必要はありません。ただし、IPアドレスの競合の可能性を大幅に減らすため、これは良い習慣です。
セキュリティと管理
動的NATを実装すると、内部ネットワークと外部ネットワークの間、または内部ネットワークとインターネットの間にファイアウォールが自動的に作成されます。 NATは、スタブドメイン内で発生する接続のみを許可します。基本的に、これは、コンピューターが接続を開始しない限り、外部ネットワーク上のコンピューターがコンピューターに接続できないことを意味します。インターネットを閲覧してサイトに接続したり、ファイルをダウンロードしたりすることもできます。しかし、他の誰かがあなたのIPアドレスをラッチして、それを使用してコンピューターのポートに接続することはできません。
特定の状況では、静的NATはインバウンドマッピングとも呼ばれ、外部デバイスがスタブドメイン上のコンピューターへの接続を開始できるようにします。たとえば、内部グローバルアドレスから、Webサーバーに割り当てられている特定の内部ローカルアドレスに移動する場合、静的NATによって接続が有効になります。
一部のNATルーターは、広範なフィルタリングとトラフィックロギングを提供します。フィルタリングを使用すると、会社は従業員がWebでアクセスするサイトの種類を制御して、疑わしい資料を表示できないようにすることができます。トラフィックロギングを使用して、アクセスしたサイトのログファイルを作成し、そこからさまざまなレポートを生成できます。
NATはプロキシサーバーと混同されることがありますが、それらの間には明確な違いがあります。 NATは、送信元コンピューターと宛先コンピューターに対して透過的です。どちらも、それが3番目のデバイスを扱っていることに気づいていません。ただし、プロキシサーバーは透過的ではありません。ソースコンピューターは、プロキシサーバーに要求を行っていることを認識しており、そうするように構成する必要があります。先のコンピュータは、プロキシサーバーはと思っISソースコンピュータ、および直接扱っています。また、プロキシサーバーは通常OSI参照モデル以上のレイヤー4(トランスポート)で動作しますが、NATはレイヤー3(ネットワーク)プロトコルです。ほとんどの場合、上位層で作業すると、プロキシサーバーはNATデバイスよりも遅くなります。
NATの真のメリットは、ネットワーク管理で明らかです。たとえば、リンク切れを心配することなく、WebサーバーまたはFTPサーバーを別のホストコンピューターに移動できます。新しいホストを反映するように、ルーターでのインバウンドマッピングを変更するだけです。外部IPアドレスはルーターに属しているか、グローバルアドレスのプールから取得されているため、内部ネットワークに簡単に変更を加えることもできます。
NATとDHCP(動的ホスト構成プロトコル)は自然に適合します。スタブドメインの未登録IPアドレスの範囲を選択し、必要に応じてDHCPサーバーにそれらを実行させることができます。また、ニーズの拡大に応じてネットワークをスケールアップするのもはるかに簡単になります。IANAに追加のIPアドレスを要求する必要はありません。代わりに、DHCPで構成された使用可能なIPアドレスの範囲を増やすだけで、ネットワーク上に追加のコンピューター用のスペースをすぐに確保できます。
マルチホーミング
企業がますますインターネットに依存するようになるにつれて、インターネットへの複数の接続ポイントを持つことは、急速にネットワーク戦略の不可欠な部分になりつつあります。マルチホーミングと呼ばれる複数の接続により、接続の1つに障害が発生した場合に、壊滅的なシャットダウンが発生する可能性が低くなります。
マルチホーミングは、信頼性の高い接続を維持することに加えて、単一の接続を介してインターネットに接続するコンピューターの数を減らすことにより、企業が負荷分散を実行できるようにします。複数の接続を介して負荷を分散すると、パフォーマンスが最適化され、待機時間が大幅に短縮されます。
マルチホームネットワークは、多くの場合、いくつかの異なるISP(インターネットサービスプロバイダー)に接続されています。各ISPは、IPアドレス(またはIPアドレスの範囲)を会社に割り当てます。ルーターは、TCP / IPプロトコルスイートの一部であるBGP(Border Gateway Protocol)を使用して、異なるプロトコルを使用してネットワーク間をルーティングします。マルチホームネットワークでは、ルーターはスタブドメイン側でIBGP(Internal Border Gateway Protocol)を使用し、EBGP(External Border Gateway Protocol)を使用して他のルーターと通信します。
マルチホーミングは、ISPへの接続の1つが失敗した場合に実際に違いをもたらします。そのISPに接続するように割り当てられたルーターが接続がダウンしていると判断するとすぐに、他のルーターの1つを介してすべてのデータを再ルーティングします。
NATを使用すると、マルチホーム、マルチプロバイダー接続のスケーラブルなルーティングが容易になります。マルチホーミングの詳細については、「Cisco:エンタープライズマルチホーミングの有効化」を参照してください。
NATおよび関連トピックの詳細については、次のページのリンクを確認してください。
ネットワークアドレス変換(NAT)に関するFAQ
ネットワークアドレス変換とは何ですか?
NATはインターネットの速度に影響しますか?
ネットワークアドレス変換にはどのような利点がありますか?
NATとPATの違いは何ですか?
NATの種類はいくつありますか?
多くの詳細情報
関連記事
- Webサーバーのしくみ
- LANスイッチのしくみ
- ルーターのしくみ
- イーサネットのしくみ
- ホームネットワークのしくみ
- OSIのしくみ
その他のすばらしいリンク
- ネットワークアドレス変換に関するFAQ
- Netsizer:リアルタイムのインターネットの成長
- Cisco:ネットワークアドレス変換
- NATテクニカルディスカッション
- Cisco:IPアドレス指定の構成
- Cisco:NATの重複
- Cisco:NATの動作順序
- IPジャーナル:NATの問題
- シスコ:エンタープライズマルチホーミングの有効化
- RFC 1631:IPネットワークアドレス変換器(NAT)
- RFC 1918:プライベートインターネットのアドレス割り当て
