• 検索結果がありません。

マルチ NAT 機能

ドキュメント内 Si-Rシリーズ 機能説明書 (ページ 77-81)

第 2 章 機能概要

2.15 マルチ NAT 機能

マルチNAT機能

77

マルチNAT機能

78

IPパケットのフラグメントが発生する環境の場合は、フラグメントされた先頭パケットより前に後続パケットを受信す ると、そのフラグメントパケットは破棄され、正常に通信できない場合があります。

◆ 動的NATとは

基本NATは、プライベートアドレスとグローバルアドレスを1対1に対応付けます。インターネットに同時に 接続できるパソコンの台数は、プロバイダと契約したグローバルアドレスの個数です。「動的NAT」を使用す ると、使用可能なグローバルアドレスの個数以上のパソコンが同時に接続できます。

◆ 静的NATとは

基本NATは、通信発生のたびに空いているグローバルアドレスを割り当てます。そのため、LAN上のWeb サーバを公開するような場合は適していません。「静的NAT」を使用すると、特定のパソコンやアプリケー ションに同じIPアドレス、ポート番号を割り当てるので、この問題を解決できます。

ISDNの回線網

アクセスポイント

プロバイダなど

プライベートアドレス 172.16.1.1

プライベートアドレス 172.16.1.2

グローバルアドレス 198.98.98.13 172.16.1.1⇔198.98.98.13 172.16.1.2⇔198.98.98.13

ISDNの回線網

アクセスポイント

プロバイダなど

プライベートアドレス 172.16.1.1 ポート番号

80

プライベートアドレス 172.16.1.2 ポート番号

23

グローバルアドレス 198.98.98.13 198.98.98.14 ポート番号

80 23

172.16.1.1/80⇔198.98.98.13/80 172.16.1.2/23⇔198.98.98.14/23

マルチNAT機能

79

◆NATあて先変換とは

通常のNATでは、外部と通信するために送信元のプライベートアドレスをグローバルアドレスに変換します。

「あて先変換」では、外部のアドレスを変換することでグローバル側のホストにプライベートアドレスを割り 当てます。そのため、外部のIPアドレスを隠蔽したり、プライベートアドレスとアドレスが重複するセグメ ントへ通信できます。

ISDNの回線網

アクセスポイント プライベートアドレス

172.16.1.1

プライベートアドレス 172.16.1.2

172.16.2.2⇔172.16.1.2

グローバルアドレス 172.16.1.2 プロバイダなど

マルチNAT機能

80

2.15.1 NAT 機能の選択基準

ネットワーク環境および使用目的によって、適切なマルチNAT機能を設定する必要があります。選択基準を以下 に示します。

NAT 機能が必要な場合

• 端末型ダイヤルアップ接続する場合

• プロバイダから割り当てられたグローバルアドレスより多くのパソコン(端末)を接続する場合(ここでい う端末には本装置も含まれます)

• 既存のネットワークのアドレスをそのまま使用する場合

• 自側のネットワークのアドレスを隠す場合 - 基本NATで十分な場合

- 端末型ダイヤルアップ接続で、同時に接続するパソコン台数が1台の場合

- ネットワーク型接続で、同時に接続するパソコン台数がグローバルアドレス数以下の場合 - 動的NATが必要な場合

- 端末型ダイヤルアップ接続で、同時に複数のパソコンから接続する場合 - 同時に接続するパソコンの台数がグローバルアドレス数を超える場合 - 静的NATが必要な場合

- 外部にサービスを公開する場合(WWWサーバ、FTPサーバなど)

- IPアドレスを意識して動作するアプリケーションを使用する場合

• インターネットVPN などで、IPsec通信のほかにインターネット上のサーバなどとの通信がある場合、マル チNAT 機能を使用する必要があります。このとき、VPNで使用するアドレスがNATのアドレスプールに含ま れる場合は、静的NATを指定してください。これはIPsec通信に用いられるアドレスが正しく変換されるよ うに、関係するプロトコルやポート番号ごとに設定します(ESP(プロトコル番号:50)やIKE(ポート番号 UDP:500)など)。

• IPsec がAggressive Modeの場合、InitiatorだけがマルチNAT機能を使用しているときはIPsec SA自体を確

立できますが、その後ResponderからIPsecパケットを送信しなければNATテーブルが作成されず、通信で きません。ResponderでマルチNAT機能だけを使用しているとIPsec SAも確立されません。Main Modeの 場合は、IKE のネゴシエーションを双方から開始するので、マルチNAT機能だけを使用していてもIPsec SA は確立されます。ただし、IPsec通信はNATテーブルが双方に作成されるまで不可能となります。

Si-Rシリーズ コマンド設定事例集「2.16 マルチNAT機能(アドレス変換機能)を使う」(P.299 Si-Rシリーズ Web設定事例集「2.16 マルチNAT機能(アドレス変換機能)を使う」(P.715

VoIP NATトラバーサル機能

81

ドキュメント内 Si-Rシリーズ 機能説明書 (ページ 77-81)
今ダウンロードする "Si-Rシリーズ 機能説明書"

Outline

関連したドキュメント