3分間 網の働き
第47回

3Minutes NetWorking

地獄極楽編

特別第47回第3層&第4層 網住所情報港変換(NAPT)

これを読み始める前に、2002年12月25日のToday'sをお読みください。

■ 網君の疑問・続編

連結博士

前回に引き続き、網君の疑問を解明する。

網助手

はい。

連結博士

じっちゃんの名にかけてっっ!!
謎はすべて解けたっ!!

網助手

それはもういいです

連結博士

おいおい。
「謎はすべて解けたっ!!」は「犯人はこの中にいるっ!!」の枕詞なんだから、最後まで言わせろ。

網助手

枕詞…。
じゃあどうぞ。思う存分言ってください。

連結博士

よしっ!!
犯人はっ……、やっぱりいい…。

網助手

気が済みましたか?
じゃ、ちゃきちゃき話を先に進めてください。

連結博士

う、うむ。
さて前回網住所変換(NAT)をやったわけだが。網住所変換(NAT)には欠点があった。

網助手

同時に接続したい端末(ホスト)数分だけ全世界的国際連結網通信規約住所(グローバルIPアドレス)が必要ってことでしたよね。

連結博士

そうだ。
全世界的国際連結網通信規約住所(グローバルIPアドレス)私的国際連結網通信規約住所(プライベートIPアドレス)は、1:1でなければならない。

網助手

1:1だから、私的国際連結網通信規約住所(プライベートIPアドレス)が10個あるならば、全世界的国際連結網通信規約住所(グローバルIPアドレス)も10個必要ってことですよね。

連結博士

うむ。これではもし同時接続を望む端末(ホスト)が多い場合、結局多くの全世界的国際連結網通信規約住所(グローバルIPアドレス)が必要だ。
多くの全世界的国際連結網通信規約住所(グローバルIPアドレス)を取得するには値段もかかるし、それほど多くは割り振ってもらえない。

網助手

国際連結網通信規約住所(IPアドレス)は不足しつつあるんでしたっけ

連結博士

そういうことだ。
そこで登場するのが網住所情報港変換(NAPT)だ。

網助手

前回は、国際連結網通信規約仮面(IPマスカレード)と呼ばれることが多いって。

■ 網住所情報港変換(NAPT)

連結博士

うむ。
もともとはリ式基本電算機情報機材(Linux)で開発された電算機情報機材(ソフトウェア)の「国際連結網通信規約仮面(IPマスカレード)」が先にあって、これを正式に 注釈依頼(RFC)で規定した名前が網住所情報港変換(NAPT)(注釈依頼(RFC)2663)なのだ。 ▼ link

網助手

ははぁ。
もともとの名前が普及しちゃったんですね。天空大気網(イーサネット)みたいですね。

連結博士

そうだな。結局網住所情報港変換(NAPT)という名前はあまり普及するにいたってない。一番よく使われるのは、国際連結網通信規約仮面(IPマスカレード)という名前だが、網連結器(ルータ)製造元(メーカ)によっていろいろ適当な名前で呼ばれている。

網助手

それはなんか面倒ですねぇ。

連結博士

うむ、確かに。呼び名は変わっても動作は同じだからな。
ここでは正式な名称である、網住所情報港変換(NAPT)に統一させてもらう。

網助手

了解です。

連結博士

さて、この網住所情報港変換(NAPT)の最大の特徴は、1つの全世界的国際連結網通信規約住所(グローバルIPアドレス)で複数台が接続可能ということだ。

網助手

1つの全世界的国際連結網通信規約住所(グローバルIPアドレス)で、複数台が接続可?
それはすごいです。国際連結網通信規約住所(IPアドレス)の不足問題が一気に解決できますよ。

連結博士

うむうむ。そうだろう。
この網住所情報港変換(NAPT)では、国際連結網通信規約住所(IPアドレス)だけでなく、情報港(ポート)番号も変換することによって、複数台接続を可能としている。

[Figure47-01:網住所情報港変換(NAPT)の動作]

網助手

情報港(ポート)番号ごと変換?

連結博士

そうだ。
複数台接続した場合は、こうなる。

[Figure47-02:複数台接続の網住所情報港変換(NAPT)の動作]

連結博士

つまり情報港(ポート)番号ごと変換することによって、同じ全世界的国際連結網通信規約住所(グローバルIPアドレス)でも送信元が区別できるわけだ。

網助手

ははぁ。なるほど。
上の例で言えば、同じ200.1.2.1宛の情報小包(パケット)でも、宛先情報港(ポート)番号が6001なら172.16.0.1。6002なら172.16.0.2とわかりますからね。

連結博士

そういうことだ。
つまり情報港(ポート)番号という情報を追加することにより、網住所変換(NAT)であった…。

網住所変換での問題点

[Figure46-04:、網住所変換(NAT)での問題点]

連結博士

この情報小包(パケット)はどちら宛の情報小包(パケット)か、という問題を解決したわけだ。
これにより、情報港(ポート)番号が許す限り同時接続が可能になる

網助手

ははぁ。便利な機能ですねぇ。
ちなみに、変換する情報港(ポート)番号はかならず6001番からなのですか?

連結博士

いや、これは網連結器(ルータ)の仕様による。なるべく変換しないよう送信元情報港(ポート)番号が重複した時だけ変換する網連結器(ルータ)もあるし、特定の範囲内に変換するようにする網連結器(ルータ)もある。

網助手

なるほど。

■ 網住所情報港変換(NAPT)の他の利点

連結博士

網住所情報港変換(NAPT)は上記のような動きをするのだが、これのおかげで他にも利点がある。

網助手

まだあるんですか?
どんな利点です。

連結博士

情報防衛(セキュリティ)での効果だ。
つまり、以下のような事がおきる。

[Figure47-03:情報防衛(セキュリティ)面での効果]

網助手

じゃあ、もしたまたま宛先情報港(ポート)番号が6001番か6002番だった場合は?

連結博士

それはさすがに防げない。見た目は正しい情報小包(パケット)だからな。
それを防ぐには防火壁(ファイアウォール)が必要だ。

網助手

ははぁ。

連結博士

だが、よほどの幸運がないとたまたま一致、などというのは起き難い。
よってある程度の情報防衛(セキュリティ)を守ってくれることになる。さらに、狭地域網(LAN)内部の状態を外へ流さない

網助手

狭地域網(LAN)内部の状態を外へ流さない?

連結博士

うむ。外からだと、網連結器(ルータ)の持つ網住所情報港変換(NAPT)で変換された住所(アドレス)が送受信しているように見えるわけだ。

網助手

あぁ、なるほど。
変換後しか外には出てこないですからね。

連結博士

そういうことだ。
だが!

網助手

わっ。
なんです?

連結博士

逆に、このことが網住所情報港変換(NAPT)欠点となる。

網助手

そうなんですか?
情報防衛(セキュリティ)を守れていいと思いますけど。

■ 静的網住所情報港変換(NAPT)

連結博士

それは、狭地域網(LAN)内部に外部に公開したい情報供給電算機(サーバ)がある場合だ。

網助手

狭地域網(LAN)内部に外部に公開したい情報供給電算機(サーバ)がある場合?

連結博士

網君。もうちょっと質問の仕方を考えたまえ。
同じ言葉を繰り返して、鸚鵡じゃないんだから

網助手

は、はぁすいません。じゃ、気を取り直して…。
狭地域網(ローカルエリアネット−ワーク)に、国際連結網(インターネット)に公開したい情報供給電算機(サーバ)が存在する場合?

連結博士

変わってねぇ

網助手

はぅっ。

連結博士

まぁ、ともかく。
つまり以下のような場合だ。

[Figure47-04:外部に公開したい情報供給電算機(サーバ)がある場合]

網助手

あっ。
さっきの情報防衛(セキュリティ)…。

連結博士

そうだ。網住所情報港変換表(NAPTテーブル)は変換したものを記憶する。
網住所情報港変換表(NAPTテーブル)に記憶されていないものは、狭地域網(LAN)内部に入らない

網助手

なるほど。情報防衛(セキュリティ)に役立つ部分が、逆に必要なものまで破棄しちゃうんですね。

連結博士

そうだ。
これでは結局外部からの接続(アクセス)ができず、国際連結網(インターネット)へ公開できないことになる。

網助手

そうなりますね。

連結博士

この解決策は…。

網助手

解決策は?

連結博士

網住所情報港変換表(NAPTテーブル)に記憶されていないものは、狭地域網(LAN)内部に入らないのだから。
網住所情報港変換表(NAPTテーブル)に変換を記憶させておけばいい

[Figure47-05:静的網住所情報港変換(NAPT)]

網助手

あぁ、なるほど…。
って、それはアリなんですか?

連結博士

もちろんもちろん。
通常の網住所情報港変換(NAPT)が、自動的に情報港(ポート)番号を変換するのに対してこちらは手動で変換を入力しておく。よって、これを何と言う網君?

網助手

自動に対して、手動。
もしかして、静的ですか?

連結博士

うむ。静的網住所情報港変換(NAPT)とか、静的変換仮面(静的マスカレード)などと呼ばれる

網助手

ははぁ。

■ 網住所情報港変換(NAPT)の欠点

連結博士

実は網住所情報港変換(NAPT)にはもう1つ弱点がある。
例えば、書類帳転送通信規約(FTP)だ。

網助手

書類帳転送通信規約(FTP)
書類帳転送通信規約(FTP)って、超文書頁(Webページ)情報供給電算機(サーバ)上に置くときに使う奴ですよね、なにが欠点なんです?

連結博士

書類帳転送通信規約(FTP)はな、国際連結網通信規約頭(IPヘッダ)に宛先と送信元の国際連結網通信規約住所(IPアドレス)転送制御通信規約定型見出し(TCPヘッダ)に宛先と送信元の情報港(ポート)番号がもちろん使われる。
そして、さらに情報(データ)部分にも送信元の国際連結網通信規約住所(IPアドレス)情報港(ポート)番号が記述されるのだよ。

網助手

はぁ。そうなんですか。
それに何か問題が?

連結博士

もちろんだ。

[Figure47-06:書類帳転送通信規約(FTP)での網住所情報港変換(NAPT)]

連結博士

よって、書類帳転送通信規約(FTP)での情報(データ)転送は不可能と、こうなるわけだ。

網助手

不可能って…。

連結博士

ちなみに、書類帳転送通信規約(FTP)と同じように情報(データ)部分にも送信元の国際連結網通信規約住所(IPアドレス)情報港(ポート)番号が記述されるものとしては、国際連結網通信規約(IP)電話や窓伝言使い走り(Windows Messenger)などがある。

網助手

どうにもならないんですか?

連結博士

うむ。残念ながら網住所情報港変換(NAPT)だけではこれはどうしようもない。
なので、個別に網連結器(ルータ)が対応しているのが実情だ。

網助手

ははぁ。

連結博士

つまり、書類帳転送通信規約(FTP)だけ特別扱いにして、対応するということだ。
例えば、以下のように情報(データ)部分の国際連結網通信規約住所(IPアドレス)情報港(ポート)番号も一緒に変換するという対策がとられている。

網住所情報港変換・書類帳転送通信規約変換

[Figure47-07:網住所情報港変換(NAPT)書類帳転送通信規約(FTP)]

連結博士

しかし、これは網連結器(ルータ)書類帳転送通信規約(FTP)の変換に対応していることが条件だ。
しかも書類帳転送通信規約(FTP)が変換できたからといって、窓伝言使い走り(Windows Messenger)も変換してくれるとは限らない

網助手

う〜ん。
網連結器(ルータ)次第ってことなんですね。買うときに対応しているかどうか確認する必要がありますね。

連結博士

書類帳転送通信規約(FTP)なら大体の網連結器(ルータ)で大丈夫だが。他のはなかなか難しい。 一応新しい技術でこれらのことに対応しようとはしている。例えば、汎用機器自動認識(UPnP)とかある。

網助手

へぇ、なら大丈夫ですね。

連結博士

うぅむ。現時点では大丈夫と言えん。まだまだ一部の応用電算機情報機材(アプリケーション)網連結器(ルータ)でしか使うことができないからな。
将来に期待、という感じだ。

網助手

じゃ、いずれその説明もしていただけるものと信じてますよ。

連結博士

うむ。
さらに、他にも網住所情報港変換(NAPT)を使うと接続できないものもある。

網助手

まだあるんですか?

連結博士

あるのだ。
情報供給電算機(サーバ)側で送信元情報港(ポート)番号を指定している場合だ。

網助手

情報供給電算機(サーバ)側で使う送信元情報港(ポート)番号を指定?
ということは例えば、情報港(ポート)番号6001番で接続してきなさい、とか指定するわけですか?

連結博士

そうだ。その情報供給電算機(サーバ)と接続するための通信応用電算機情報機材(アプリケーション)は必ずその番号を使うわけだ。
よく網連結遊戯(ネットワークゲーム)とかで使われる。

網助手

ははぁ。
使う情報港(ポート)番号を指定しているとどういうことになるんです?

連結博士

網住所情報港変換(NAPT)情報港(ポート)番号も変換してしまうだろう?
多くの場合、そういう情報供給電算機(サーバ)は指定した以外の送信元情報港(ポート)番号からの接続は認めず、接続を許可しない。

網助手

つまり、通信応用電算機情報機材(アプリケーション)がその指定した番号で情報(データ)を送ったとしても、網住所情報港変換(NAPT)情報港(ポート)番号が変換されて…

連結博士

接続できない。そういうことだ。
これも個別で対応する必要がある。

網助手

なるほど。

連結博士

さて、ずいぶんと長くなってしまった。
今回はここまで。

網助手

はい。

連結博士

次回は…。
まだ決めてない。

網助手

なんですか、そりゃ?

連結博士

まぁ、そういうこともある。
ともかく、また次回。

網助手

はい。
3分間網の働き(ネットワーキング)でした〜♪

網住所情報港変換(NAPT)
[Network Address Port Translation]
国際連結網通信規約仮面(IPマスカレード)
[IP masquerade]
注釈依頼(RFC)
[Request For Comments]
国際連結網特別技術者委員会(IETF)が発行する国際連結網(インターネット)技術に関する文書。
当初は名前の通り「技術を考えました、注釈/rb>(コメント)をください」という意味の文書だったが、現在では国際連結網(インターネット)技術を規定する文書になっている。
天空大気網(イーサネット)みたい
もともと天空大気網(イーサネット)を規格化したものが米国電子技術者協会(IEEE)802.3である。
現在の100固定幅帯域方式-撚り対線(BASE-T)や1000固定幅帯域方式-撚り対線(BASE-T)などはすべて米国電子技術者協会(IEEE)802.3のシリーズに当てはまるのだが、正式な名前である米国電子技術者協会(IEEE)802.3uなどと呼ばれず、「高速天空大気網(ファストイーサ)」「10億情報単位天空大気網(ギガビットイーサ)」と呼ばれている(厳密には米国電子技術者協会(IEEE)802.3と天空大気網(イーサネット)は違いがある)。
適当な名前
網住所変換甲(NATe)網住所変換付加(NAT+)、拡張網住所変換(NAT)など。
網連結器製造元シ社(Cisco)では情報港住所変換(PAT)などと呼ばれている。
意味的には、受け口(ソケット)(国際連結網通信規約住所(IPアドレス)情報港(ポート)番号)を変換するから、受け口住所変換(SAT)(Socket Address Translation)が正解だと思うけど。
情報港(ポート)番号が許す限り
論理的には認知済み(Well-known)情報港(ポート)以外のすべての情報港(ポート)番号の約64,000個を使用可能ですので、それだけの数同時接続が可能です。
ですが、実際には網住所情報港変換表(NAPTテーブル)の記憶容量の問題がありますのでそこまでの数を接続することはできません。網連結器(ルータ)の仕様には同時接続数(最大変換数)が表示されています。
防火壁(ファイアウォール)
[Fire Wall]
防火壁。外部からの不正侵入を防ぐ壁。
詳しくは先の回で。
などと呼ばれる
これもいくつかの名前が乱立しています。
情報港・前送り(ポート・フォワーディング)仮想端末(バーチャルホスト)仮想情報供給電算機(バーチャルサーバ)、など。
擬似非武装地帯(DMZ)機能、なんていい方もします。非武装地帯(DMZ)については先の回で。
書類帳転送通信規約(FTP)
[File Transfer Protocol]
書類帳転送通信規約(ファイル転送プロトコル)書類帳(ファイル)情報上昇(アップロード)/情報下降(ダウンロード)する時に使用する。
よく使われる例としては、超文書頁(Webページ)情報上昇(アップロード)など。
詳しくは先の回で。
窓伝言使い走り(Windows Messenger)
伝言(メッセージ)書類帳交換(ファイル交換)、音声通話、画像つきおしゃべり(ビデオチャット)などが行える伝言使い走り電算機情報機材(メッセンジャーソフト)
汎用機器自動認識(UPnP)
[Universal Plug and Play]
微小電算機情報機材(マイクロソフト)社が提唱した家電で汎用機器自動認識(プラグアンドプレイ)方式。
応用電算機情報機材(アプリケーション)側で網住所情報港変換(NAPT)に対応する。
現時点では窓 経験(Windows XP)窓伝言使い走り(Windows Messenger)ぐらいしか使えない。
網助手網君の今日の要点
  • 国際連結網通信規約住所(IPアドレス)情報港(ポート)番号を両方変換するのが網住所情報港変換(NAPT)
  • 同じ全世界的国際連結網通信規約住所(グローバルIPアドレス)でも異なる情報港(ポート)番号を使うので、複数台が同じ全世界的国際連結網通信規約住所(グローバルIPアドレス)でも接続できる。
  • 網住所情報港変換(NAPT)を使うと、情報防衛(セキュリティ)にも役に立つ。
  • 狭地域網(LAN)内に公開したい情報供給電算機(サーバ)がある場合は、静的網住所情報港変換(NAPT)を使う。
  • 情報(データ)部分に国際連結網通信規約住所(IPアドレス)が入る応用電算機情報機材(アプリケーション)には個別で対応する。

3分間 網の働き 第47回

管理人:aji-ssz(at)selene.is.dream.jp