IPアドレスの変換について、利用用途によって利用するアドレス変換方式が変わってきますのでまとめてみました。
社内からインターネットに接続する場合のアドレス変換
社内ではプライベートアドレスが利用されているため、インターネット上のサーバーにそのままアクセスさせても、返信先が不明となり通信が成り立ちません。そこで、社内からインターネットに出る部分でアドレス変換が必要になります。一般的にNAPT(IPマスカレード)が利用されています。
NAPT(IPマスカレード)
社内の端末がインターネットにアクセスする際に、境界装置(UTMやルータなど)で送信元IPを境界装置が保有しているグローバルアドレスに変換します(Source NAT)。また、どの社内アドレスからの通信かを判別できるようにするため、ポート番号を新たに発番し、対応表を作成して管理します。外部からの返信が来るとポート番号を確認し、該当のPCのIPアドレスとポート番号に書き換えて返信します。
インターネットから社内DMZの公開サーバーにアクセスする場合のアドレス変換
公開サーバーが複数ある場合(Static NAT)
公開サーバーのIPアドレスがプライベートアドレスになっている場合は、公開サーバーごとにグローバルアドレスの対応表を作成し、境界装置で受け取ったパケットの送信先アドレスを対応表に従い変換します(Destination NAT)。
公開サーバーが1台のみの場合(ポートフォワード)
公開サーバーが1台の場合で、サーバー専用のグローバルアドレスがない場合は、境界装置で利用しているグローバルアドレスを利用して公開することができます。境界装置宛の指定ポートへの通信があると、公開サーバーに転送するという仕組みになります。送信先アドレスを公開サーバーのアドレスに変換します(Destination NAT)。
企業内で利用するアドレス変換
企業内でアドレス変換するケースとしては、ネットワーク上に同一のアドレスが存在してしまった場合(企業統合や個別ネットワークを接続する必要が出てきた場合など)です。接続先のIPアドレスが重複している場合は、NAPTや、一対一の変換(Static NAT)を利用する必要があります。アドレス体系によって、Source NAT、Destination NATまたは両方を組み合わせる必要がある場合もあります。
また、特定の部門へのアクセスを制限させたい場合などは、NAPTを利用して外部からのアクセスを制限することができます。
UターンNAT/ヘアピンNAT
社内からグローバルの公開アドレスにアクセスする場合には、上記の変換が複数からみあうことになり、UターンNATやヘアピンNATと呼ばれ、装置によっては別途設定が必要な場合や、接続できないといった事もあるようですのでご注意ください。
アドレスの変換方式
| 名称 | 概要 | 利用用途 |
|---|---|---|
| Static NAT | 複数のアドレスを1対1で変換 | 外部公開サーバーや企業内アドレス重複時に利用 |
| Dynamic NAT (Pool) | プールしているIPアドレスを利用して変換 | 接続先が送信元IPで管理するような場合でNAPTが利用できない場合に利用 |
| NAPT(IPマスカレード) | ポート番号管理で1IPを多台数で利用可能 | インターネット接続などで利用、外部からのアクセスができない |
アドレスの変換場所
| 名称 | 概要 | 利用用途 |
|---|---|---|
| Static NAT | 送信元アドレスを変換 | インターネット接続時などで利用 |
| Dynamic NAT (Pool) | 送信先アドレスを変換 | IPアドレスの重複環境や、ロードバランサー経由の通信などで利用 |
| NAPT(IPマスカレード) | ポート番号、送信元アドレス変換 | インターネット接続などで利用、外部からのアクセスができない |
