アライドファン.comは、佐々木ネットワークテクノロジーズが運営する、ネットワーク技術情報サイトです。

ルータのNAT機能について

プライベートIPアドレスを付与したLAN側のPCのインターネットアクセスを可能にするためには、ルータにNAT（Network Address Translation）と呼ばれるIPヘッダーのアドレスを書き換える機能が必要となる。

スタンダードNAT

最も単純なNATは、プライベートIPアドレスとグローバルアドレスIPアドレスを1対1に変換するスタンダードNATであるが、この方法ではLAN側の端末台数と同数のグローバルIPアドレスを消費してしまうため、IPアドレスが枯渇している現状では、LAN-WAN間でスタンダードNATを行うことは現実的ではない。
但し、プライベートIPアドレスを付与した特定のサーバをインターネットに公開したい場合は、このスタンダードNATを併用するのが効果的である。詳細は後述。

エンハンスドNAT

1つのグローバルIPアドレスをLAN側のプライベートアドレスを持った複数の端末で共用するための設定がエンハンスドNATであり、これはインターネット接続用ルータとして最も重要な機能のうちの１つであると言える。なお通常のインターネット接続用ルータでは、この「エンハンスドNAT」を設定することが一般的であり、逆に「スタンダードNAT」を設定することの方が特別であることに注意して頂きたい。

エンハンスドNATでは、LAN側からのインターネットアクセスリクエストを一旦ルータが受け、ルータはアクセス元IPアドレスをルータのWAN側のグローバルIPアドレスに変え、さらにアクセス元ポート番号も書き換えた上で、そのポート番号をルータのメモリ上に記録し、そして宛先IPアドレスに向かってリクエストを送るように動作する。このアクセス元ポート番号は、リクエストした端末毎に異なるものとなるように動作する。実際にはセッション毎に異なるポート番号を使用することになる。
なお、ここで述べる「ポート番号」とは、LANポートの番号ではなく、TCPやUDPなどの通信プロトコルにおける論理的な通信の口のことを述べているので注意して頂きたい。
相手先からの応答は、ルータのグローバルIPアドレスに向かって戻ってくるが、この応答パケットは、ルータが書き換えたポートに入ることになる。ルータはメモリを照合することにより、その応答がどの端末のリクエストによるものか特定し、応答パケットの宛先IPアドレスをLAN側の特定した端末のIPアドレスに書き換えて、パケットを転送する。
このようにポート番号を使い分けることにより、複数の端末で１つのグローバルIPアドレスを共用することが可能となる。
ポート番号の変更を伴うことから、この方法はNAPT（Network Address Port Translation）と呼ばれることもある。またIPマスカレードという別名もある。

エンハンスドNATの制限事項としては、インターネット側からのアクセスができない点が挙げられる。これは1つのグローバルIPアドレスを複数の端末が共用しているため、転送先となる端末が特定できないからである。そのためエンハンスドNATのみの設定ではサーバをインターネットに公開することができない。またサーバからクライアントに向かって接続要求のリクエストが発生するプロトコル（PortモードのFTPや、SMTP接続に対するident応答など）でも問題が発生するので対処が必要となる。参考ページ
また、ポート番号の概念がないICMP(Ping)のようなプロトコルにも対応することができない。アライドテレシスのルータではPingのみファイアウォールのルールと別に設定する必要があるのは、このためである。参考ページ
また、クライアント側のポート番号に制限のある一部のプロトコル(UNIXのrshなど）も対応することができない。

エンハンスドNATとスタンダードNATの併用

プライベートIPアドレスを付与した特定のサーバをインターネットに公開しつつ、その他複数の端末のインターネットへのアクセスを可能とするには、スタンダードNATとエンハンスドNATを併用（同時に設定）する必要がある。
この場合、特定サーバへのアクセスにはスタンダードNATで設定したグローバルIPアドレスを使用し、その他の端末からのインターネットアクセスにはエンハンスドNATで設定したグローバルIPアドレスを使用することとなる。

NAT用語の表記について

ARルータの説明書にある「スタンダードNAT」「エンハンスドNAT」には、様々な名称があるので、混乱しないよう、それらの名称を表にまとめたので参考にして頂きたい。

ARルータ表記	一般的表記	日本語表記	別名
スタンダードNAT	スタティックNAT	静的NAT	1対1NAT
エンハンスドNAT	ダイナミックNAT	動的NAT	NAPT, NATオーバーロード, PAT, IPマスカレード,ENAT

参考ページ：ネットワーク用語 - NATとは

その２へ続く

設定作業のご依頼はこちら