By: adminPosted on

<< 技術用語集に戻る

ネットワークアドレス変換定義

ネットワークアドレス変換(NAT)は、一つの一意のIPアドレスがコンピュータのグループ全体を表すことを可能にするプロセスです。 ネットワークアドレス変換では、ネットワークデバイス(多くの場合、ルーターまたはNATファイアウォール)は、プライベートネットワーク内のコンピ このようにして、ネットワークアドレス変換は、単一のデバイスが、ローカルのプライベートネットワークとインターネットであるパブリックネットワークとの間の仲介者またはエージェントとして機能することを可能にします。 NATの主な目的は、セキュリティと経済の両方の目標のために、使用中のパブリックIPアドレスの数を節約することです。

この画像は、ネットワークアドレス変換(NAT)と、すべてのデバイスアドレスを安全なサーバーに同期するプロセスを示しています。

ネットワークアドレス変換に関するよくある質問

ネットワークアドレス変換とは何ですか?

ネットワークアドレス変換(NAT)は、未登録のIPアドレスを使用するプライベートIPネットワークをオンラインにすることにより、IPアドレスを節約します。 NATは、接続するネットワーク間でパケットを転送する前に、プライベートな内部ネットワークアドレスを合法的なグローバル一意のアドレスに変換します。

NAT構成は、この機能の一部として、ネットワーク全体のIPアドレスを外の世界に公開することができ、内部ネットワーク全体を効果的に隠し、追加のセキ ネットワークアドレス変換は、アドレスの保存とセキュリティの強化の二重の機能を提供するため、通常、リモートアクセス環境で実装されます。

ネットワークアドレス変換の目的は何ですか?

インターネットと通信するには、ネットワークシステムに固有のIPアドレスが必要です。 この32ビット番号は、ユーザーがネットワークデバイスと通信できるように、ネットワークデバイスを識別して検出します。

過去数十年間のIPV4アドレッシングスキームは、技術的にはこれらの固有のアドレスの数十億を利用可能にしましたが、すべてが通信のためにデバ 代わりに、いくつかは免除され、テスト、放送、および特定の予約された軍事目的のために使用されました。 それは通信のために3億以上を残したが、インターネットの普及は、アドレスが枯渇に近いことを意味しています。

Ipv6アドレス指定方式は、Ipv4アドレス指定方式のこの弱点の解決策として導入されました。 Ipv6はアドレス指定システムを再作成するので、アドレスを割り当てるためのより多くのオプションがありますが、ネットワークシステムインフラ NATはその間にCiscoによって導入され、広く展開されました。

ネットワークアドレス変換の仕組み

ネットワークアドレス変換は、NATファイアウォール、NATルーター、その他のネットワークアドレス変換デバイスなどの単一のデ これにより、ネットワーク外で何かを行うときに、デバイスのグループ全体を単一の一意のIPアドレスで表すことができます。

NATは大企業の受付係のように機能し、どの電話や訪問者が外出するか、待機するか、送信するか、どこに行くべきかについての具体的な指示があります。 たとえば、あなたが特定の何かを待っているまで、あなたの要求なしで任意の訪問者や通話を転送しないように受付係に伝えることができます。

クライアントは会社のメイン番号に電話をかけます。 彼らはあなたと話す必要がある受付係に伝え、受付係a)指示をチェックし、通話を転送したいことを知っています。b)あなたの内線番号をリストと一致させて適切な場所に情報を送信します。 発信者はあなたの専用回線を取得することはありません。

ネットワークアドレス変換も同様に機能します。 要求はパブリックIPアドレスとポートに到着し、NAT命令は宛先のプライベートIPアドレスを明らかにすることなく、どこに行くべきかを送信します。

NATネットワークアドレス変換例

NATネットワークアドレス変換例として、内部ホストは、外部の宛先ネットワークアドレス変換webサーバアドレスと通信したい それ以上の通信のために、それはネットワークのNATの出入口のルーターにデータパケットを送ります。

NATゲートウェイルーターは、パケットの送信元IPアドレスを学習し、テーブル内で検索することにより、パケットが変換の条件を満たしているかどうかを判断し 内部ネットワーク変換の目的で認証されたホストをアクセスコントロールリスト(ACL)上で検索し、変換を完了して、内部ローカルIPアドレスから内部グロー

最後に、NATゲートウェイルーターは、変換をNATテーブルに保存した後、パケットを宛先にルーティングします。 インターネットのwebサーバーが要求に戻ると、パケットはルーターのグローバルIPアドレスに戻ります。 NATテーブルを参照すると、ルータは、どの変換されたIPアドレスがどのグローバルアドレスに対応するかを判断し、それを内部ローカルアドレスに変換して、そのipアドレスでホストにデータパケットを配信することができます。 一致するものが見つからない場合、データパケットは破棄されます。

ネットワークアドレス変換の種類

NATには多くの形式があり、いくつかの方法で機能することができます。

静的ネットワークアドレス変換SNAT。 SNATは、登録されたIPアドレスと一致するように、1対1のネットワークアドレス変換を使用して未登録のIPアドレスをマップします。 これは、ネットワークの外部からデバイスにアクセスする必要がある場合に特に便利です。

動的ネットワークアドレス変換DNAT。 この形式のNATは、登録されたIPアドレスのグループからターゲットを選択し、未登録のIPアドレスを登録されたバージョンにマップします。

逆ネットワークアドレス変換RNAT。 RNATは、ユーザーがインターネットや公共ネットワークを使用して自分自身に接続することができます。

ネットワークアドレス変換NATの過負荷。 これは、NAT過負荷、ポートレベル多重化NAT、シングルアドレスNAT、またはポートアドレス変換(PAT)とも呼ばれます。 この形式の動的NATは、異なるポートを使用して、複数のプライベート、ローカル、未登録のIPアドレスを単一の登録IPアドレスにマップし、どのトラフィックがどのNAT IPアドレスに属しているかを区別します。 ポートアドレス変換とネットワークアドレス変換の点では、多くのユーザーが1つのパブリックIPアドレスを介してインターネットに接続している場合、PATが最も費用対効果が高いことがよくあります。

重複するネットワークアドレス変換NAT。 NATの重複は、RFC1918IPアドレスを使用するネットワークを持つ二つの組織がマージするか、登録されたIPアドレスが複数のデバイスに割り当てられているか、複数の内部ネットワークで使用されている場合に発生する可能性があります。 どちらの場合も、ネットワークは通信する必要があり、組織はすべてのデバイスを再ドレスすることなくこれを達成するために重複NATを使用します。

NATルータはアドレスを傍受し、登録された一意のIPアドレスに置き換えることができるように、それらのテーブルを維持します。 ネットワークアドレス変換ルーターは、登録された外部IPアドレスをプライベートネットワークに固有のIPアドレスに変換し、内部IPアドレスを登録された これは、DNSを使用して動的NATを実装するか、静的NATを使用して実現できます。

ネットワークアドレス変換コンテキストでは、一般にスタブドメインと呼ばれる内部ネットワークは、通常、IPアドレスを内部的に使用するローカルエ スタブドメインネットワークトラフィックのほとんどはローカルで、内部ネットワーク内に残ります。 スタブドメインには、未登録のIPアドレスと登録済みのIPアドレスの両方が含まれます。

ネットワークアドレス変換設定

従来のNAT設定では、ルータ上の少なくとも一つのインターフェイス(NAT外部)、ルータ上の別のインターフェイス(NAT内部)、パケットヘッ

このネットワークアドレス変換設定例では、NATルータを次のように設定します。 未登録(内部、ローカル)IPアドレスを持つ内部のデバイスが(外部、パブリック)ネットワークと通信する必要がある場合、ルータはプライベート(内部)ネットワークに

  • 組織は、ISPによって割り当てられた登録された一意のIPアドレスの範囲を受信します。 割り当てられたアドレスのリストは、グローバルアドレス内で呼び出されます。
  • チームは未登録のプライベートアドレスを一つの小さなグループと一つのはるかに大きなグループに分割します。 スタブドメインは、ローカルアドレス内で呼び出されるより大きなグループを使用します。 NATルーターは、外部ローカルアドレスと呼ばれる小さなグループを使用して、パブリックネットワーク上のデバイスの外部グローバルアドレスまたは一意のIPアド
  • ほとんどのスタブドメインコンピュータは、内部ローカルアドレスを使用して相互に通信します。 ネットワーク外で広範囲に通信するスタブドメインコンピュータの内部グローバルアドレスがあり、翻訳を必要としないことを意味します。
  • しかし、内部ローカルアドレスを持つ一般的なスタブドメインコンピュータがネットワーク外で通信する必要がある場合、パケットをNATルータに送信します。
  • NATルーターは、ルーティングテーブル内の宛先アドレスをチェックします。 そのアドレスのエントリがある場合、NATルータはパケットを変換し、そのアクションをアドレス変換テーブルに入力します。 宛先アドレスがルーティングテーブルにない場合、NATルーターはパケットをドロップします。
  • ルータは内部グローバルアドレスを使用してパケットを送信します。
  • パブリックネットワークコンピュータがプライベートネットワークにパケットを送信します。 パケットの宛先アドレスは内部グローバルアドレスで、送信元アドレスは外部グローバルアドレスです。
  • NATルーターは、アドレス変換テーブルをチェックして、宛先アドレスがスタブドメインコンピューターにマップされていることを確認します。
  • NATルーターは、パケットの内部グローバルアドレスを内部ローカルアドレスに変換した後、パケットを宛先コンピュータに送信します。

NATのオーバーロードは、TCP/IPプロトコルスタック機能である多重化を使用します。 多重化により、コンピュータは異なるポートを使用してリモートコンピュータとの複数の接続を同時に維持することができます。 IPパケットのヘッダーには、

送信元アドレスが含まれます。 発信元のコンピューターのIPアドレス、たとえば、123.123.12.1
送信元ポート。 このパケットに割り当てられたTCPまたはUDPポート番号(ポート1060
宛先アドレスなど)。 受信側コンピューターのIPアドレス、たとえば、52.220.51.237
宛先ポート。 たとえば、Port2170

これらの4つの数字を組み合わせたものは、単一のTCP/IP接続を表します。 アドレスは両端の2台のコンピュータを明確にし、ポート番号は2台のコンピュータ間の接続のための一意の識別子を提供します。 各ポート番号は16ビットを使用するため、ここでは65,536の値がありますが、異なるポートはわずかに異なる方法でマップされるため、約4,000の利用可能なポー

動的ネットワークアドレス変換での動的NATおよびNAT過負荷構成

:

  • ipアドレスを割り当てるグローバルな権限であるIana(Internet Assigned Numbers Authority)は、一意のIPアドレスの唯一のソースです。 スタブドメインまたは内部ネットワークが、IANAが特別に割り当てなかったIPアドレスを使用して設定されている場合、アドレスは一意ではないため、ルー
  • 組織は、IANAからの一意のIPアドレスの範囲を含むNATが有効なルーターを設定します。
  • スタブドメインコンピュータが外部コンピュータへの接続を試みます。
  • ルータはスタブドメインコンピュータのパケットを受信します。
  • NAT対応ルータは、送信側コンピュータからアドレス変換テーブルにルーティング可能でないIPアドレスを保存します。 ルーターは、一意のIPアドレスのゾーン外にある最初の利用可能なIPアドレスを送信側コンピュータにマップして、ルーティング不可能なIPアドレスを置き換
  • ルータは、宛先コンピュータから到着したときに各パケットの宛先アドレスをチェックし、アドレス変換テーブルでパケットが属するスタブドメインコ 一致するものが見つからない場合は、パケットをドロップします。 それ以外の場合は、アドレス変換テーブルに保存されている宛先アドレスの代替を検索して送信します。
  • コンピュータはパケットを受信し、外部システムとコンピュータが通信する限り、プロセスは続行されます。NATの過負荷で

:

  • 前の動的NATの例と同様に、スタブドメインまたは内部ネットワークは、ルーティング不可能で一意でないIPアドレスが特に割り当てられていないため、組織はIANAからの一意のIPアドレスを含むNAT用に有効なルータを設定します。
  • スタブドメインコンピュータが外部コンピュータへの接続を試みます。
  • NAT対応ルーターは、スタブドメインコンピューターのパケットを受信します。
  • NATルーターは、ルーティング不可能なIPアドレスとポート番号を送信側コンピューターからアドレス変換テーブルに保存します。 ルーターは、ポート番号とルーターのIPアドレスを送信側コンピューターにマップして、ルーティング不可能なIPアドレスとポート番号を置き換えます。
  • ルータは、宛先コンピュータから返されるパケットの宛先ポートをチェックし、パケットが属するスタブドメインコンピュータを確認します。 宛先ポートとアドレスをアドレス変換テーブルから保存されたバージョンに置き換えて送信します。
  • コンピュータはパケットを受信し、外部システムとコンピュータが通信する限り、プロセスは続行されます。
  • NATルーターは、コンピュータの送信元ポートとアドレスがアドレス変換テーブルに保存されているため、接続全体で同じポート番号を使用し続けます。 エントリに再度アクセスせずに通信が終了すると、ルータはエントリをテーブルから削除します。

    ソースコンピュータ1

    IPアドレス:192.168.24.11
    コンピュータポート:620
    NATルータのIPアドレス:215.37.32。1

    送信元コンピュータ2

    IPアドレス:192.168.24.12
    コンピュータポート:80
    NATルータIPアドレス:215.37.32.203
    NATルータポート番号:2

    送信元コンピュータ3

    IPアドレス:192.168.24.13
    コンピュータポート:1560
    NATルータのIpアドレス:215.37.32.203
    Natルータのポート番号:3

    NAT対応ルータは、各送信元コンピュータのIPアドレス それはテーブルのそのパケットの送信元コンピュータに対応するIPアドレスおよびポート番号を取り替えるのに自身の登録されていたIPアドレスおよ 各パケットの送信元コンピュータ情報の代わりに、外部ネットワークにはNATルーターのIPアドレスと割り当てられたポート番号が表示されます。

    一部のスタブドメインコンピュータは専用IPアドレスを使用しています。 このような状況では、どのネットワークコンピュータがNATを必要とするかを明確にするIPアドレスのアクセスリストを作成すると、それらのIPアドレ

    ルータのダイナミックランダムアクセスメモリ(DRAM)は、サポートできる同時変換の数を決定する主な要因です。 一般的なアドレス変換テーブルエントリには約160バイトが必要なため、ほとんどのアプリケーションでは4MBのDRAMを搭載したルータで十分です。

    IANAおよびRFC1918によると、ルーティング不可能な内部ネットワークアドレスとして使用するための特定の範囲のIPアドレスがあります。 これらのアドレスは登録されていないため、代理店や会社は公共のコンピュータでそれらを使用したり、所有権を主張することはできません。 未登録のアドレスを転送する代わりに、ルータはそれらを破棄するように設計されています。 したがって、未登録の送信コンピュータアドレスからのパケットは、登録されたコンピュータの宛先に到達する可能性がありますが、応答が最初に来た

    IPアドレスの競合の可能性を減らすために、内部ネットワーク内のIPアドレスの三つのクラスのそれぞれの範囲に従うことを支払います:

    • 範囲1:クラスA–10.0.0.0から10.255.255.255
    • 範囲2:クラスB–172.16.0.0から172.31.255.255
    • 範囲3:クラスC–192.168.0.0~192.168.255.255

    ただし、これはベストプラクティスであり、要件ではありません。

    NAT Router

    NAT overloadを使用して、NAT routerはローカルエリアネットワークLANのIPアドレスのネットワークを作成し、インターネットであるパブリックネットワークをそのLANネ ルータは、WANまたはインターネットとLANネットワーク上のホストデバイスまたはコンピュータとの間の通信を可能にするNATを実行します。 NATルーターはインターネットへの単独IPアドレスを持つ単独ホストのように見えるため、小規模な産業や家庭用に使用されます。

    ネットワークアドレス変換の利点

    NATの利点

    アドレス保存。 NATは、合法的に登録されているIPアドレスを保存し、その枯渇を防ぎます。

    ネットワークアドレス変換セキュリティ。 NATは、トラフィックを送受信する場合でも、デバイスのIPアドレスをパブリックネットワークから隠すことにより、より多くのセキュリティとプライバ NATレート制限を使用すると、ルータでの同時NAT操作の最大数を制限し、NAT変換の数をレート制限できます。 これにより、NATアドレスの使用をより詳細に制御できますが、ワーム、ウイルス、およびサービス拒否(DoS)攻撃の影響を制限するためにも使用できます。 動的NATの実装では、内部ネットワークとインターネットの間にファイアウォールが自動的に作成されます。 一部のNATルーターでは、トラフィックロギングとフィルタリングが提供されます。

    たとえば、公衆無線LAN環境に展開することができます。 インバウンドマッピングまたは静的NATを使用すると、外部デバイスがスタブドメイン上のコンピュータへの接続を開始することができます。

    ネットワークが変更またはマージされたときにアドレスの番号を変更する必要がありません。
    ネットワークアドレス変換を使用すると、内部ネットワークサーバーのTCP負荷分散を調整するための内部ネットワーク仮想ホストを作成できます。

    プロキシサーバーと比較して、NATは送信先コンピュータと送信元コンピュータの両方に対して透過的であり、直接処理を迅速に行うことができます。 さらに、プロキシサーバーは通常、osi参照モデルのトランスポート層またはレイヤ4以上で動作するため、ネットワーク層またはレイヤ3プロトコルであるネッ

    NATとdynamic host configuration protocol(DHCP)は連携して機能し、DHCPサーバーは必要に応じてスタブドメインの未登録IPアドレスをリストから除外します。 必要に応じてIANAからより多くのIPアドレスを要求するのではなく、DHCPが構成するIPアドレスの使用可能な範囲を増やすことで、すぐに追加のネットワー

    マルチホーミング。 マルチホーミングと呼ばれるインターネットへの複数の接続は、信頼性の高い接続を維持するのに役立ち、接続に失敗した場合のシャットダウンの可 これにより、単一の接続を使用してコンピュータの数を減らすことによって負荷分散も可能になります。 マルチホームネットワークは、多くの場合、複数のIspに接続し、それぞれがipアドレスの範囲または単一のIPアドレスを組織に割り当てます。 ルーターは、ネットワークアドレス変換を使用して、異なるネットワークアドレス変換プロトコルを使用してネットワー マルチホームネットワークでは、ルータはTCP/IPプロトコルスイートの一部であるborder gateway protocol(BGP)を使用して通信し、スタブドメイン側は内部BGPまたはIBGPを使用し、ルータは外部BGPまたはEBGPを使用して相互に通信します。 マルチホーミングは、ISPへの接続のいずれかが失敗した場合に、別のルーターを介してすべてのデータを再ルーティングします。

    NATの欠点

    リソース消費。 ネットワークアドレス変換は、すべての発信および着信Ipv4データグラムのIpv4アドレスを変換し、変換の詳細をメモリに保持する必要があるため、メ

    パス遅延は、スイッチングパス遅延の変換結果によって引き起こされます。
    一部のアプリケーションとテクノロジは、NATを有効にしても期待どおりに機能しません。

    ネットワークアドレス変換はトンネリングのためのプロトコルを複雑にする。 IPsecは、ネットワークアドレス変換に推奨される安全なプロトコルです。

    ルータはネットワーク層のためのデバイスですが、NATデバイスとしてはポート番号の形式でトランスポート層を改ざんする必要があります。

    Aviはネットワークアドレス変換ソフトウェアソリューションを提供していますか?

    Avi NetworksのAvi Vantageプラットフォームは、ソフトウェア定義のアプリケーションサービスファブリックで、アクセス制御ポリシーを適用し、エンドツーエンドのアプリケーショ

    新しいアプリケーションサーバーがデプロイされると、サーバーは管理性のために外部接続が必要になります。 サーバーネットワークにルーターがない場合、サービスエンジンのIPルーティング機能を使用して、Avi SEを使用してサーバーネットワークのトラフィックをルーティン Aviサービスエンジン(SE)NAT機能はこれをカバーし、サーバーのプライベートネットワーク全体のNATゲートウェイとして機能します。

    NATは、Service Engine上のIPルーティング、SEデフォルトゲートウェイ機能、またはパケットパスのルーティング後のフェーズのいずれかで機能します。 アウトバウンドNAT機能を使用するには、サービスエンジンでIPルーティングを有効にし、SEをゲートウェイとして使用する必要があります。

    Aviは、TCP/UDPおよびICMPフローのアウトバウンドNATをサポートします。

    アウトバウンドNATのユースケースオプションが3つあります:

    • NATフロー NATフロー情報の表示
    • NATポリシー統計の表示
    • NAT統計の表示NAT統計の表示)

    このプラットフォームは、アプリケーション識別のためのソースNATまたはSNATも有効にします。 サーババックエンド接続にAvi SEsによって使用される送信元IPアドレスは、明示的なユーザ指定アドレス(送信元NAT(SNAT)IPアドレス)によって上書きできます。 SNAT IPアドレスは、仮想サービス設定の一部として特定のものにすることができます。

    一部の展開では、アプリケーションに基づいて差分処理を提供するために、送信元IPアドレスに基づいてトラフィックを識別することが不可欠です。 たとえば、DMZ展開では、セキュリティ、ファイアウォール、可視性、およびその他の種類のソリューションで、トラフィックをアプリケーションに渡す前に、送信元IPを使用してクライアントを検証する必要がある場合があります。

コメントを残す

メールアドレスが公開されることはありません。