松本直人/ネットワークバリューコンポネンツ ニュービジネスチーム

 「キャリア・グレードNATを導入する通信事業者は,極力ユーザーの負担を軽減する方向で実装し,サービスを提供するようになる」と筆者は予想しています。キャリア・グレードNATを介したインターネット接続は,新規サービスもしくはサービス品目の変更という形で提供されるようになるのではないでしょうか。

 キャリア・グレードNATを介するインターネット接続サービスの使い方は,現在とほぼ変わらないはずです。ただし,キャリア・グレードNATを介さないインターネット接続と全く同じとはいえません。NAT技術を用いて一つのグローバルIPアドレスを複数のユーザーで共用するために,現在使われている技術のいくつかとの衝突(コンフリクト)が発生します。今回は,そのうちの代表的なものを説明します。

UPnPを使うアプリの動作に不具合が出る可能性

 パソコンなど,ネットワークにつながった機器を自動設定する「UPnP」(universal plug and play)は,使い方によってはキャリア・グレードNAT環境でうまく動かなくなります。その対象になるのは,ブロードバンド・ルーターなどゲートウエイ・デバイスのWAN側のIPアドレスやポート番号をアプリケーションに自動的に設定するケースです。

 現在のインターネット接続では,ゲートウエイ・デバイスのWAN側のIPアドレスにはグローバル・アドレスが割り当てられます。ところがキャリア・グレードNATでは,ブロードバンド・ルーターのWAN側IPアドレス部分はプライベート・アドレスになります。実際にインターネット上で識別できるグローバル・アドレスを割り振られているのは,キャリア・グレードNAT装置です。

 つまりキャリア・グレードNAT環境でUPnPを使うと,ユーザー側のアプリケーションにはプライベート・アドレスとポート番号が設定され,アプリケーションはこれを送信元のIPアドレスおよびポートとして相手先のホスト(サーバー)と通信を開始します。ところが,相手先のホスト(サーバー)のアプリケーションが受け取ったデータ部に書かれている送信元のアドレスはプライベートアドレスなので,送信元にデータを送れず通信は成立しません(図1)。キャリア・グレードNATの環境では,UPnPでアプリケーションの通信設定を行わないようにする必要があるのです。

図1●キャリア・グレードNATではUPnPを使った通信設定をやめる必要がある
図1●キャリア・グレードNATではUPnPを使った通信設定をやめる必要がある

VPNはルーターのパススルーを使っていないか確認を

 VPN(virtual private network)を利用しているユーザーが,キャリア・グレードNATを使うインターネット接続サービスに移行する場合も要注意です。こうしたユーザーは,ファイアウォールなどのゲートウエイ装置で「VPN/IPsecパススルー」という機能を有効にして,VPNのトラフィックを通過させるのが一般的です。

 ところが,キャリア・グレードNATを介してインターネットに接続するようになると,VPN/IPsecパススルーでブロードバンド・ルーターを通過できても,再度プロバイダ側で実施するNATがあるため,結果的にはやはり通信できなくなります。キャリア・グレードNATには,VPNパススルー機能はありません。

 このためユーザーは,IPsecを利用する場合には,IPsecのパケットをUDPパケットにカプセル化して送る「NAT Traversal」を利用するといった対策が必要になります(図2)。

図2●キャリア・グレードNATを介するIPsec通信にはNAT Traversalの使用が向くと予想される
図2●キャリア・グレードNATを介するIPsec通信にはNAT Traversalの使用が向くと予想される

SIPやオンライン・ゲームにも要注意ケースが

 その他,セッション制御に使われるプロトコルの一部にも,通信に支障が出るものがあります。例えばIP電話などで使われるSIP(session initiation protocol)で,「SIPメッセージに記述されたクライアントのIPアドレス」と「パケットの送信元アドレス」が一致しないケースです。

 SIPの場合,ブロードバンド・ルーターの一部に,SIPメッセージをNATに対応するよう書き換える「SIP-NAT」や,SIPのセッションをNATに合わせて張り直す「SIP Proxy」などの機能を備えるものがあります。ただし,こうした環境にキャリア・グレードNAT装置が加わると,再度NATが実施されることがあり通信に支障が出ることが懸念されます。そこで,SIPのようなプロトコルでは,キャリア・グレードNATを実施する通信事業者がネットワーク構成を工夫したり,アプリケーションをキャリア・グレードNATの影響を受けないようにするといった対応策が必要とされます。本連載の第3回でご紹介したアプリケーション・プロトコルのメッセージを書き換える「アプリケーション・レイヤー・ゲートウエイ」の設置などです。

 さらに家庭用ゲーム機をインターネットにつないで利用する際に,ブロードバンド・ルーターでポート番号を指定してポート・フォワード設定をしている場合にも,対応策を取る必要が出てくるでしょう。キャリア・グレードNAT装置は,各ユーザーからの通信の送信元ポートを動的に書き換えてしまうためです。

 次回は,キャリア・グレードNATを介したインターネット接続におけるログ管理の運用について,考慮すべき点を見ていきます。


松本直人 (まつもと なおと)
ネットワークバリューコンポネンツ ニュービジネスチーム
1996年より特別第二種通信事業者のエンジニアとしてインターネット網整備に従事。その後システム・コンサルタント,ビジネス・コンサルタントを経て,2008年より株式会社ネットワークバリューコンポネンツにて新規ビジネス開発を担当。技術開発からビジネス構築までを一気通貫で担当する。システム延命技術の研究開発に取り組む「仮想化インフラ・オペレータズグループ(VIOPS)」発起人のひとりでもある。