Broadband Watch logo
バックナンバー

その116「DLNAの仕組み」
[2007/03/26]
その115「ドメインとActive Directory」
[2007/03/19]
その114「ワークグループができること」
[2007/03/12]
その113「WPSの仕組み」
[2007/03/05]
その112「Gopherの生い立ちと現在」
[2007/02/26]
その111「Wikiの使われ方」
[2007/02/19]
その110「文字コードとは」
[2007/02/05]
その109「IISの生い立ち」
[2007/01/29]
その108「NASの登場と一般への普及」
[2007/01/22]
その107「HomePNAのいろいろ」
[2007/01/15]
その106「Ogg Vorbisの成り立ち」
[2006/12/25]
その105「MIDIの原理とSMFの構造」
[2006/12/18]
その104「AIFFの構造」
[2006/12/11]
その103「WAVの構造と現状」
[2006/12/04]
その102「WMAの歴史」
[2006/11/27]
その101「AACの特徴」
[2006/11/20]
その100「MP3/MPEG Audioの仕組み」
[2006/11/13]
その99「HSDPAの仕組み」
[2006/11/06]
その98「H.264・MPEG-4 AVCの特徴」
[2006/10/30]
その97「IEEE 802.16e(モバイルWiMAX)の特徴」
[2006/10/23]
その96「TIFFの特徴」
[2006/10/16]
その95「PNGの現状と今後」
[2006/10/02]
その94「GIFの構造」
[2006/09/25]
その93「10GBASEの種類(2)」
[2006/09/11]
その92「10GBASEの種類」
[2006/09/04]
その91「GbEのいろいろ」
[2006/08/28]
その90「JPEGの特徴」
[2006/08/21]
その89「DivXの広がり」
[2006/08/07]
その88「MPEGの仕組み」
[2006/07/31]
その87「WMVのこれまで」
[2006/07/24]
その86「AVIの生い立ちとそのコーデック」
[2006/07/10]
その85「QuickTimeの変遷」
[2006/07/03]
その84「Realのこれまでと今後」
[2006/06/26]
その83「ShareとWinny」
[2006/06/19]
その82「DOCSISの仕組み」
[2006/06/12]
その81「SQLインジェクションの流れ」
[2006/06/05]
その80「RSSの動作」
[2006/05/29]
その79「Skypeの仕組み」
[2006/05/22]
その78「BitTorrentの特徴と今後」
[2006/05/15]
その77「Winnyの仕組みと現状」
[2006/05/08]
その76「WinMXの特徴」
[2006/04/24]
その75「Gnutellaの歴史と構造」
[2006/04/17]
その74「Napsterの歴史」
[2006/04/10]
その73「P2Pのいろいろ」
[2006/04/03]
その72「IEEE 802.11nの動向」
[2006/03/27]
その71「ActiveX Scriptingの動作」
[2006/03/20]
その70「Ajaxの仕組み」
[2006/03/13]
その69「DHTMLの動作」
[2006/03/06]
その68「Scriptの定義」
[2006/02/27]
その67「JavaScriptの仕組み」
[2006/02/20]
その66「Javaの動作」
[2006/02/13]
その65「RFCのプロセス」
[2006/02/06]
その64「ActiveX DocumentとActiveX Controlの違いと共通点」
[2006/01/30]
その63「ActiveX Controlの機能」
[2006/01/23]
その62「ActiveXを構成するもの」
[2006/01/16]
その61「Cookieの仕組みと用途」
[2005/12/26]
その60「malwareとその分類」
[2005/12/19]
その59「rootkitの動作」
[2005/12/12]
その58「CSSの役割」
[2005/12/05]
その57「HTMLの変遷」
[2005/11/28]
その56「PONとその種類」
[2005/11/21]
その55「FWAの仕組み」
[2005/11/14]
その54「DoSとDDoS」
[2005/11/07]
その53「SNMPとMIBの動作」
[2005/10/03]
その52「Jumbo Frameとフレームサイズ」
[2005/09/12]
その51「WPA2の仕組み」
[2005/09/05]
その50「WPAとWPA-PSKの違い」
[2005/08/29]
その49「WPAの仕組み」
[2005/08/22]
その48「WebDAVの動作」
[2005/08/08]
その47「OFDMAの仕組みとOFDMとの違い」
[2005/08/01]
その46「OFDMの仕組み」
[2005/07/25]
その45「WiMAXの特徴」
[2005/07/11]
その44「Wi-Fiの役割」
[2005/07/04]
その43「FTPの目的と動作」
[2005/06/27]
その42「UPnPの動作」
[2005/06/20]
その41「ネットマスクの仕組み」
[2005/06/13]
その40「ARPの機能」
[2005/06/06]
その39「DNSの原理」
[2005/05/30]
その38「デフォルトゲートウェイの役割」
[2005/05/23]
その37「MACアドレスの仕組み」
[2005/05/16]
その36「スイッチとその進化」
[2005/05/09]
その35「ルータによるメリット」
[2005/04/25]
その34「ブリッジの原理」
[2005/04/18]
その33「リピータの機能」
[2005/04/11]
その32「IPアドレスのクラス」
[2005/04/04]
その31「ブロードキャスト/マルチキャスト/ユニキャスト」
[2005/03/28]
その30「SMTP AUTHと認証の種類」
[2005/03/14]
その29「Submissionポートとスパムメール対策」
[2005/03/07]
その28「Outbound Port25 Blockingとは」
[2005/02/28]
その27「PGPの仕組み」
[2005/02/21]
その26「PKIと認証局」
[2005/02/14]
その25「公開鍵暗号方式とは」
[2005/02/07]
その24「共通鍵暗号とは」
[2005/01/31]
その23「SSHの仕組みと応用」
[2005/01/24]
その22「SSLの役割」
[2005/01/17]
その21「POP3とIMAP4の違い」
[2004/12/27]
その20「POP3の役割と機能」
[2004/12/20]
その19「SMTPの機能と問題点」
[2004/12/13]
その18「SPIとパケットフィルタリング」
[2004/12/06]
その17「LANの概念とその広がり」
[2004/11/29]
その16「SIPの役割」
[2004/11/15]
その15「プロキシの利用」
[2004/11/08]
その14「VoIPの仕組み」
[2004/11/01]
その13「イーサネットとは」
[2004/10/25]
その12「IP/TCP/UDP/ICMPとは」
[2004/10/18]
その11「DHCPの役割」
[2004/10/04]
その10「MIMOとは」
[2004/09/27]
その9「DMZとその効果」
[2004/09/13]
その8「ファイアウォールとは」
[2004/09/06]
その7「NATとNAPTの違いとIPマスカレード」
[2004/08/30]
その6「VPNとVPNパススルーの仕組み」
[2004/08/23]
その5「無線LANの問題とWEP」
[2004/08/09]
その4「IEEE 802.11a/b/gって何を意味しているの?」
[2004/08/02]
その3「ダイナミックDNSって?」
[2004/07/26]
その2「グローバルIPアドレスとプライベートIPアドレス」
[2004/07/12]
その1「PPPoEって何だろう?」
[2004/07/05]

その7「NATとNAPTの違いとIPマスカレード」


NATとNAPT(NAT+)、IPマスカレードとは?

 NAT(Network Address Translation)とは、グローバルIPアドレスとプライベートIPアドレスを変換するための重要な技術です。ただし、NATだけでは機能的に不足するため、ネットワークアドレス+ポート番号の形に拡張したものを、NAPT(Network Address Port Translation)あるいはNAT+と呼ばれます。

 また、IPマスカレードも機能的にはNAPT(NAT+)と同じモノです。これをIPマスカレードと呼ぶのは、この機能を実装したときにそういう名称が付けられたため、現在もこれを継承しているわけです。


TCP/IPにおける通信

 さて、順を追って説明してゆきましょう。第6回で、ネットワークにはプライベートネットワークとグローバルネットワークがあるというお話をしました。ここでは説明を簡単にするため、プライベートネットワークをLAN内部、グローバルネットワークをインターネットとして話を進めていきましょう。

 一般論として、PCとサーバーが通信する場合を考えてみます。普通の手順であれば、まずPCは自分の側に返答受け付け用のポート(図1のクライアント側ポート)を作成した上で、自分のIPアドレス(図1の「eee.fff.ggg.hhh」)とポート番号を明記し、サーバー側のポートに要求メッセージを送ります。そして、サーバー側はメッセージを受信したのち、応答メッセージを「eee.fff.ggg.hhh」の所定のポートに送り返します。

 ちょうどこれは、郵便物に自分の返信先住所を記載するようなものです。一方、ポートは郵便ポストを玄関の横に設置するようなイメージです。返事が不要なメッセージであれば住所氏名は必要ありませんが、返事が欲しい場合は正しい住所を書かないと相手が返事を送れなくなります。そして、返事を受け取るにはポストが必要(*1)になるというわけです。


図1:直接通信する場合

 さて、PCとサーバーでお互い相手が見えている分にはこれで問題ないのですが、インターネットではお互いが見えなくなることも珍しくありません。それは、図2のようにサーバーがグローバルネットワークに置かれ、PCがプライベートネットワークに置かれた場合です。

 このケースでは、PCからサーバー、あるいはサーバーからPCを直接見ることはできなくなります。そして、ここで活躍するのがルータ(Router)というわけです。ルータ本来の役割は、異なるネットワークの間で通信の転送(ルーティング)を行なうというものです。先の例に従えば、ルータは郵便局になぞらえることができます。全ての郵便物は郵便局にいったん集められ、そこから目的地に応じて再度送り出されるわけですが、ルータも同じように全ての通信をいったん受け取り、再度送り出す役割を果たしています。

(*1)実際の生活ではポストがなくても受け取れるとかそーいう話もありますが、ここではそういう話には目をつむっておいてください。


NATの必要性

 さて、それではネットワークが異なる場合はどうするか? という話に移ります。これは言ってみれば、2種類の異なる住所が混在するようなもので、さらに厄介なのはプライベートネットワークからは、グローバルネットワークが見えるということです。

 例えば図2のケースであれば、プライベートネットワークに属するPC1は、「192.168.0.2」というIPアドレスを持っています。これはプライベートIPアドレスなので、インターネットから直接アクセスすることはできません。ところが、サーバーの方はグローバルIPアドレスを割り当てられており、誰でもアクセスができることになります。つまり、宛先の住所となるグローバルIPアドレスは有効なのですが、差出人の住所となるPC1のプライベートIPアドレスは使えないわけです。このままだと、メッセージを送ることはできても、受け取ることできないという状況になります。


図2:ネットワークが異なる場合

 そこで、ルータに代理をさせよう、というのがNATになります。言ってみれば、郵便局で私書箱を使うようなものです。図2をもう一度見直してもらえるとわかりますが、ルータだけが唯一、サーバーからもPCからもアクセスできるポジションにいます。そこで、ルータに変換テーブルを持たせることで、アドレスを変換すれば上記のような問題を回避させることができます。

 例えばPC1から要求パケットが来たら、ルータはこれをいったん受け取って返信元を書き換えます。図2の例なら、「192.168.0.2」となっているアドレスを「eee.fff.ggg.hhh」に書き換えて、サーバーに送り出します。

 一方、サーバーから応答が帰ってきたら、ルータはその宛先アドレスを「eee.fff.ggg.hhh」から「192.168.0.2」に書き換えて、PC1に送り出すという仕組みです。もっとも、ルータが要求をサーバーに転送してから返事がくるまで、時間がかかる場合もあります。これに備えて、ルータは変換テーブルを用意しておき、この中に「192.168.0.2⇔eee.fff.ggg.hhh」と書き込んで変換方法を記憶しておくわけです。このように、IPアドレスを書き換えることで、異なるネットワーク間でのルーティングを行なう方法がNATと呼ばれます。


NATでできないこととNAPT

 さて、一見これでうまくいきそうに見えるのですが、この方式はPCが複数台になると破綻してしまいます。例えば、同じWebサーバーに2台のPCが同時にリクエストを出したとします。この場合、図2の方式では問題が発生してしまいます。というのも、ルータでIPアドレスを書き換えてしまうと、サーバーからの返事を見ても、それがPC1に向けたものかPC2に向けたものか、判別できなくなってしまうからです。

 これを避けるため、単にIPアドレスだけではなく、ポートも変換する方式が編み出されました。図3で、例えばPC1とPC2が同時にWebサーバーにアクセスする場合を考えてみます。どちらのPCも、受信用に10000番のポートを空けて待っているとしましょう。まず、ルータはPC1とPC2から要求(それぞれ要求1と要求2)を受け取ったら、最初に2つのポート(先の例でいえば私書箱)を用意します。


図3:複数PCの場合

 図3では「#jjjj」と「#kkkk」がポートにあたります。ポートを作成したら、要求の中身をそれぞれ書き換えて、Webサーバーに送ります。ここで、要求1の返信先IPアドレスとなるのは「eee.fff.ggg.hhh」ですが、ポート番号は「jjjj」に、要求2は「kkkk」になっていることに注意してください。

 Webサーバーはこれを受け取ったら、結果をそれぞれ「jjjj」と「kkkk」に送り返します。ルータはこの結果を受け取ったら変換テーブルを見て「ポートjjjjに来たメッセージはPC1に、ポートkkkkに来たメッセージはPC2にそれぞれ転送すれば良い」と判断できますので、宛先フィールドのみを書き換えて、各々をPC1とPC2に転送する形になります。

 この方式、つまりアドレスのみならずポート番号まで変換することで、問題なく2つのネットワーク間のルーティングができるようになります。これを強調するため、NATではなくNAPTあるいはNAT+という呼び方をするのが一般的です。(*2)

*2現実問題として、IPアドレス「のみ」の変換が要求されることはまずないため、広義にNATといえばアドレスとポート番号の両方を変換するものと考えても間違いではありません。


付録:IPマスカレードの由来

 最後に、IPマスカレードについても説明しておきましょう。マスカレード(masquerade)とは、仮面舞踏会もしくは仮装舞踏会という意味で、誰が何を演じているのかわからないまま舞踏会が進むということです。NAPTの場合も、元のIPアドレスとポート番号がわからないまま通信が行なわれるわけで、これがちょうど仮面舞踏会のようだということでこの名がつけられているようです。この名が用いられたのはLinuxで、Linux Kernel 1.3の頃に登場したMASQ(マスカレード)モジュールに起因します。その後もIPマスカレードは成熟が重ねられており、もちろん現在でも幅広く利用されています。





びび(右):
ブロードバンド用語を習得すべく、日々学習中の小学生。何とか自力 で学ぼうとはしているが、結局はワーズに助け船をだしてもらっている。

ワーズ(左):
言葉がキツくなるときもあるが、基本的には面倒見の良いお姉さんタイプ。びびとは家も近いこともあり、昔から何かと世話を焼いている。びびからは「ワーズさん」と呼ばれ、慕われている。


2004/08/30 11:18
槻ノ木 隆
 国内某メーカーのネットワーク関係「エンジニア」から「元エンジニア」に限りなく近いところに流れてきてしまった。ここ2年ほどは、企画とか教育、営業に近いことばかりやっており、まもなく肩書きは「退役エンジニア」になると思われる。(イラスト:Mikebow)
Broadband Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.