ブロードバンドルータ(Broadband Router)

今回はブロードバンドルータ(以下BBルータと略す。)です。前回はルータとは「異なるネットワーク同士を接続し、パケットをルーティングする装置」だと説明しました。BBルータは名前のごとく、ブロードバンド(広帯域)と呼ばれるADSLやCATV回線などでインターネット接続するために使い易くしたルータです。ですから本来のルータと呼ばれる機能のほかにも、便利で簡単に利用できるような工夫がされています。それではBBルータのルーティング以外の代表的な機能について個々に見ていくことにしましょう。

■NAT(Network Address Translation / ナット)

「NAT」はプライベートIPアドレスとグローバルIPアドレスを相互に変換する機能です。IPアドレスには2種類のアドレスがあることを思い出してください。ひとつはグローバルアドレスです。インターネットで通信する際に、相手を特定するための世界で唯一のアドレスです。もうひとつはプライベートアドレスです。こちらはLANを構築した家庭内や社内でのみ通用するローカルなアドレスです。LAN内で相互に通信するだけならプライベートアドレスでも問題ありません。しかしそのパソコンが外部のインターネットにアクセスするにはどうしたらよいでしょう。

そこでNAT機能が一時的にプロバイダから割り当てられたグローバルIPアドレスに変換する訳です。見方を変えると、BBルータがWAN側のサーバとLAN側の間に入って、LAN内のノード(パソコン)のふりをして通信していることになります。ただしここで注意しなければならないのは、NATではパケットヘッダの送信元と宛先IPアドレスしか識別しないため、グローバルアドレスとプライベートアドレスの対応は1対1になります。そのためひとつのグローバルアドレスでは、複数のパソコンが同時にインターネットにアクセスすることはできません。

  NATによるアドレス変換
 

 

図1はプライベートアドレスしか持たないパソコンがLANの外部にアクセスする様子です。ルータはLAN側とWAN側でふたつのアドレスを持っています。WAN側の「CCCC」はプロバイダから割り当てられたグローバルIPアドレスになります。BBルータのNATによって変換された送信元IPアドレスはグローバルアドレスとなり、相手サーバからはグローバルアドレスを持ったパソコンからの通信として扱われます。

■IPマスカレード(動的ポートマッピングNAT)

こちらはNAT機能に加え通信ポート番号の対応関係も管理することで、インターネットとの複数同時接続を可能とした技術です。この機能を持ったルータは、グローバルアドレスとプライベートアドレスの対応が1対Nになります。
したがってLAN内にあるプライベートアドレスしか持たない複数のパソコンが、同時に外部へのインターネットにアクセスできるようになります。

「ポート」と聞くと、シリアルポートやパラレルポートと呼ばれる周辺装置の物理的な接続口を思い出されるかもしれません。でもこちらのポートは、通信を行うアプリケーション(例えばIEに代表されるブラウザや、Outlook Expressなどのメーラなどです。)が利用する論理的な接続口で、その実体は「1〜65535」までの番号です。アプリケーションはこのポート番号を使用して通信するため、そのデータがどのアプリケーションからのものなのかを識別できるようになります。

 

  IPマスカレード
 

図2はパソコンAからブラウザが送信したデータのポート番号がIPマスカレードによって変換される様子です。
また、下の図3はポート番号が記録されている場所を図示したものです。IPパケットの構成は「IPヘッダ」と「データ」に分けられます。さらにその「データ」の中身は「TCPセグメント」と呼ばれ、「TCPヘッダ」と「データ」に分かれています。この関係は前回の「ルータとIPアドレス」で説明した「MACフレームとIPパケット」と同様のものです。そのTCPセグメントのヘッダ部に送信ポート番号と宛先ポート番号が格納されています。

ポート番号の格納位置

みなさんの中には、「HTTPは80番、POP3は110番、FTPサーバは20番のポートを使う」ということをご存知の方もいらっしゃると思います。不特定多数のクライアントからアクセスされるサーバは、特定のアプリケーションが使用するためのポート番号を決めておかなければなりません。そのために「1〜1023番」のポートは「Well-knownポート(予約ポート)」と呼ばれ、その用途が決まっています。一方、クライアントのポート番号は何番でもよいため、OSが1024番以上の番号を使用します。

■IPマスカレード(静的ポートマッピングNAT)

こちらは「特定ポ−トの通信を、指定したパソコンに送信するIPマスカレード」です。実は前項の動的ポートマッピングによるIPマスカレードでは困ったことが起きる場合があります。「ルータを使ったらネットワークゲームができなくなった!」最近こんな話を耳にすることが多くなったのではないでしょうか。これはネットワークゲームで使用するポートが動的に変換されてしまうために起こります。そのため静的(予め固定的)に使用するポート番号とパソコンを結びつける必要が出てきます。それを実現するのがこの機能です。BBルータによっては設定したいアプリケーション名を選択するだけで、自動的にポート番号が設定できるものもあります。

■フィルタ/フィルタリング

これは指定した条件の通信を遮断する機能です。条件とは、MACアドレス、IPアドレス、ポート、プロトコルなど、BBルータによってレベルが異なります。この機能を如何に使いこなすかが「不正アクセス防止」のポイントです。
ただし複雑な設定を行わなくても、次のようなルータの基本的な機能によって最低限の安全性を確保することができます。
・NAT機能によりWAN側からはグローバルIPアドレスしか見えない。(LAN内の個々のノードを特定できない。)
・LANからWANへのデータは通す、WANからの返事も通す、しかしWANからの一方的なアクセスは遮断する。

■DMZ(DeMilitarized Zone/非武装地帯)

「不明なポ−トのアクセスを特定のパソコンに関連付ける機能」本来は社内LANと公開サーバ(Web,FTPなど)を安全に共存させるための技術だったと思うのですが、BBルータでは意味合いが少し違ったように感じます。まあそれはいいとして、この設定をしたパソコンには、WAN側からのアクセスをすべて通すことになりますので、ネットワークゲームには都合が良くなりますが、反対に不正アクセスには無防備となりますので十分な注意が必要です。

■DHCPクライアント/サーバ(Dynamic Host Configuration Protocol)

IPアドレス情報を動的に割り当てたり回収するための、アドレス自動割当/取得機能です。
DHCPクライアント機能は、ルータがISPのDHCPサーバからグローバルIPアドレスを自動取得するためのものです。
一方DHCPサーバ機能は、ルータがDHCPサーバとなってLAN内のクライアントにプライベートIPアドレスを自動で割当てるものです。これによってブロードバンドルータに接続されたパソコンのアドレス設定は不要となります。

■スイッチングHUB

突然ハードウェアの話になりますが、ほとんどのBBルータが内蔵している機能です。BBルータがインターネット接続に便利なように特化したルータだという一例だと思います。詳細は「ハブとMACアドレス」をご覧ください。

■PPPoE(PPP over Ethernet)

アナログモデムのダイヤルアップ接続に代表される「PPP」を、Ehternet(LAN)上で利用できるようにしたプロトコル。この技術自体はごく最近のものですが、フレッツADSLが採用したためBBルータに必須の機能となりました。ここでいうPPPとは「point to point protocol」の略で、パケットサイズ等の交渉、リンク監視、ユーザ認証、IPアドレスの取得などが主な機能です。これによって正確なデータ伝送を行う「PPP」本来の役目を果たしています。

ちなみにフレッツADSLの場合、クライアントパソコンとNTT(ISPではなく)のアクセスサーバがPPPoEを用いてやり取りしているそうです。接続時に使用するユーザ名の「@」以降の文字列は、接続先のプロバイダを選択するためのものです。ですからプロバイダのアクセスポイントの電話番号を設定する必要もなく、仮にプロバイダを乗り換えたとしてもユーザ名とパスワードを設定し直すだけで接続できる訳です。

以上で個々の機能の説明を終わります。説明としてはほんの触りですが、BBルータの仕様書や機能一覧を見るときの参考にでもしてください。最後にネットワークアプリケーションを利用される方や、ルータで高度なセキュリティの設定をされる方は、市販の専門書でさらに学習されることをお薦めします。そこにはきっと快適なインターネットの世界があるはずです。 それでは次回は無線LANにしようかと思っていますが...

 

▲戻る