ネットワークアドレス変換へんかん

この記事きじは検証けんしょう可能かのうな参考さんこう文献ぶんけんや出典しゅってんが全まったく示しめされていないか、不十分ふじゅうぶんです。出典しゅってんを追加ついかして記事きじの信頼しんらい性せい向上こうじょうにご協力きょうりょくください。（このテンプレートの使つかい方かた） 出典しゅってん検索けんさく?: "ネットワークアドレス変換へんかん" – ニュース · 書籍しょせき · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL（2021年ねん3月がつ）

ネットワークアドレス変換へんかん（ネットワークアドレスへんかん）、NAT（Network Address Translation）とは、インターネットプロトコルによって構築こうちくされたコンピュータネットワークにおいて、パケットヘッダに含ふくまれるIPアドレスを、別べつのIPアドレスに変換へんかんする技術ぎじゅつである。

業務ぎょうむ用よう、家庭かてい用ようを問とわず、インターネットに接続せつぞくするために使用しようされるルータや無線むせんLANのアクセスポイントにおいて標準ひょうじゅん的てきに利用りようされている。

IPアドレスに加くわえ、ポート番号ばんごうの変換へんかんも行おこなうものをNAPT（Network Address Port Translation、またはIPマスカレード)と呼よぶ。今日きょうでは、NATと言いえばNAPTのことを指さすのが一般いっぱん的てきである（#NATとNAPTも参照さんしょう）。

インターネットに接続せつぞくし通信つうしんを行おこなうためには、世界せかいで唯一ゆいいつのIPアドレス（グローバルIPアドレス）を使用しようする必要ひつようがある。よって、プライベートネットワーク環境かんきょう下かにおいて、プライベートIPアドレスを割わり当あてられている機器ききは、そのままではインターネットに接続せつぞくすることができない。NATを利用りようすることにより、ゲートウェイを通過つうかするIPパケットの送信そうしん元もとまたは宛先あてさきのIPアドレスは、グローバルIPアドレスまたはプライベートIPアドレスに変換へんかんされる。こうして、LAN内うちの機器ききが、ルータ等とうのゲートウェイを通とおしてインターネットにアクセスできるようになる。

元来がんらいのNATは、送受信そうじゅしんするパケットの送信そうしん元もと・宛先あてさきIPアドレスだけを識別しきべつして変換へんかんするものであったため、複数ふくすうの機器ききが同時どうじに外部がいぶネットワークに接続せつぞくする場合ばあいは、その機器きき数すうと同数どうすうのグローバルIPアドレスが必要ひつようであった。そこで現在げんざいでは、プライベートIPアドレスとグローバルIPアドレスの1対たい1の変換へんかんに加くわえ、ポート番号ばんごうも変換へんかんしてプライベートIPアドレスとグローバルIPアドレスを1対たい多たに変換へんかんするNAPTが用もちいられることが多おおい。NATオーバーロード、オーバーロード変換へんかん、PAT（Port Address Translation、Cisco Systemsによる呼称こしょう）、IPマスカレード（LinuxにおけるNAPTの実装じっそう名めいから。マスカレード（masquerade）は、仮面かめん舞踏ぶとう会かいの意味いみ）などとも呼よばれる。

NAPTでは、IPアドレスに加くわえてポート番号ばんごうの識別しきべつや変換へんかんをすることで、複数ふくすうのホストからローカル外がいのネットワークに接続せつぞくする際さい、異ことなるローカルアドレスを同一どういつのグローバルアドレス配下はいかの異ことなるポートとして表現ひょうげんし、必要ひつようなグローバルアドレスの数かずを減へらすことができる。動的どうてきNAPTは、インターネットプロバイダから利用りよう者しゃに対たいするグローバルIPアドレスの割わり当あて等とうでよく用もちいられる。

NATは、LAN内ないのホストにはプライベートIPアドレスを割わり当あてて、インターネットに接続せつぞくするときだけグローバルIPアドレスを使用しようする技術ぎじゅつであるため、NATを活用かつようすることにより、使用しようするグローバルIPアドレスの数かずを減へらすことができる。

動的どうてき NAT（ダイナミック NAT）とは、LAN 内部ないぶの IP アドレスをあらかじめ用意よういされた外部がいぶ IP アドレスの中なかの 1 個こを選択せんたくしてその IP アドレスに動的どうてきにマップする技術ぎじゅつのことである。動的どうてき NAT はセキュリティや不足ふそくする IP アドレスの問題もんだい解決かいけつに役やくに立たつが、IP アドレスが固定こていされないという問題もんだい点てんがある。例たとえば、LAN 内部ないぶのサーバをインターネットなど、外部がいぶから参照さんしょうする必要ひつようが生しょうじた場合ばあい、外部がいぶから参照さんしょうするためにはグローバル IP アドレスが必要ひつようだが、動的どうてき NAT では解決かいけつできない。

静的せいてき NAT（スタティック NAT）とは、LAN 内部ないぶの IP アドレスを常つねに同一どういつの外部がいぶの IP アドレスに静的せいてきにマップする技術ぎじゅつのことである。この技術ぎじゅつを使用しようすれば、LAN の外部がいぶから常つねに同一どういつの IP アドレスを指定していすることによって内部ないぶサーバにアクセスすることができる。

その一方いっぽう、インターネットが本来ほんらい掲かかげていたピア・ツー・ピアでの接続せつぞくに対たいする障害しょうがいになりうると非難ひなんする意見いけんもある（エンドツーエンド接続せつぞく性せい）。^{[要よう出典しゅってん]}また、FTPや、SIPなどのVoIPを機能きのうさせるためには工夫くふうが必要ひつような場合ばあいもある。

また、複数ふくすうのローカルIPアドレスからのアクセスを、1つのグローバルIPアドレスで共有きょうゆうしているため、外そとからはローカルネットワーク内ないのどのノードがアクセスしたのかまでを特定とくていすることはできない。このためインターネットカフェなどの不ふ特定とくてい多数たすうの人ひとが利用りようするアクセス端末たんまつからの、悪意あくいのある利用りよう（SPAM行為こういや掲示板けいじばん荒あらし、ネット犯罪はんざいなど）がなされた場合ばあい、匿名とくめい性せいが高たかく特定とくていがより困難こんなんになる。

Source NAT（送信そうしん元もとIPアドレス変換へんかん）

• NAPT（Network Address Port Translation）
• IPマスカレード（Linux）
• PAT（Port Address Translation）（Cisco）
• NATオーバーロード（Cisco）
• ダイナミックENAT（Enhanced NAT）（アライドテレシス）
• DIP（Dynamic IP）（Juniper SSG）
• DIPP（Dynamic IP and port）（Palo Alto Networks）

Destination NAT（宛先あてさきIPアドレス変換へんかん）

• ポートフォワーディング
• スタティックENAT（アライドテレシス）
• VIP（Juniper SSG）
• バーチャルIP（Fortinet）

Source and Destination NAT（送信そうしん元もとIPアドレスと宛先あてさきIPアドレスの両方りょうほうを変換へんかんする）

• ダブルNAT（アライドテレシス）
• MIP (Juniper SSG）

NATはアドレスやポート番号ばんごうを変換へんかんする様々さまざまな仕組しくみに実装じっそうされている。そして、それぞれのアプリケーションの通信つうしんプロトコルに異ことなった影響えいきょうを及およぼす。IPアドレスの情報じょうほうを使用しようするいくつかのアプリケーションプロトコルはマスカレードに用もちいられる外部がいぶのアドレスを決定けっていする必要ひつようがある。そしてさらに、しばしば与あたえられたNAT機器ききに用もちいられるマッピングの種類しゅるいを発見はっけんし、分類ぶんるいする必要ひつようがある。このために、Simple traversal of UDP over NATs（STUN）protocol は開発かいはつされた。STUNはNATの実装じっそうをFull cone NAT、Restricted cone NAT、Port restricted cone NAT、もしくはSymmetric NAT^[1][2] に分類ぶんるいし、この分類ぶんるいに応おうじて機器ききを検査けんさするための1つの手法しゅほうを提案ていあんした。しかしながら、その後ごこれらの手順てじゅんはスタンダードステータスから除外じょがいされた。なぜならこれらの方法ほうほうは不完全ふかんぜんで、多おおくの機器ききを正ただしく評価ひょうかするには不十分ふじゅうぶんであると判明はんめいしたからである。新あたらしい方法ほうほうはRFC 5389（2008）に記述きじゅつされており、STUNの頭文字かしらもじは現在げんざい、この仕様しようの新あたらしいタイトルを表あらわすSession Traversal Utilities for NATである。

Full cone NAT（または1対たい1NAT) 内部ないぶアドレス（iAddr:port1）は外部がいぶアドレス（eAddr:port2）にマップされた時点じてんで、iAddr:port1 から来きた任意にんいのパケットは eAddr:port2 から送おくられる。任意にんいの外部がいぶホストはパケットを eAddr:port2 宛あてに送おくることによって iAddr:port1 に送おくることができる。
(Address-)Restricted cone NAT 内部ないぶアドレス（iAddr:port1）は外部がいぶアドレス（eAddr:port2）にマップされた時点じてんで、iAddr:port1 から来きた任意にんいのパケットは eAddr:port2 から送おくられる。外部がいぶホスト（hostAddr:任意にんい）は iAddr:port1 が hostAddr:任意にんい にパケットを送おくったことがある場合ばあいにのみ、eAddr:port2 にパケットを送おくることによって、パケットを iAddr:port1 に送おくることができる。"任意にんい" はポート番号ばんごうが何なんでもよいということを意味いみする。
Port-Restricted cone NAT Address-Restricted cone NATのように振ふる舞まうが、ポート番号ばんごうも制限せいげんされる。 内部ないぶアドレス（iAddr:port1）は外部がいぶアドレス（eAddr:port2）にマップされた時点じてんで、iAddr:port1 から来きた任意にんいのパケットは eAddr:port2 から送おくられる。外部がいぶホスト（hostAddr:port3）は、 iAddr:port1 が hostAddr:port3 にパケットを以前いぜんに送おくった場合ばあいにのみ、 eAddr:port2 にパケットを送おくることによって、パケットを iAddr:port1 に送おくることができる。
Symmetric NAT 同どう一いち内部ないぶIPアドレスとポートから特定とくていの宛先あてさきIPアドレスに対たいする要求ようきゅうは全すべて、唯一ゆいいつの外部がいぶソースIPアドレスとポートにマップされる 異ことなる宛先あてさきに対たいしては、同どう一いち内部ないぶホストがたとえ同おなじソースアドレスとポートでパケットを送おくっても、異ことなるマッピングが使つかわれる。 内部ないぶホストからのパケットを受うけ取とった外部がいぶホストのみがパケットを送おくり返かえすことができる。

この用語ようごは多おおくの混乱こんらんを招まねく原因げんいんであった。なぜならそれは現実げんじつのNATの振ふる舞まいを記述きじゅつするには不適切ふてきせつであると判明はんめいしたからである。^[3] 多おおくのNATの実装じっそうはこれらの種類しゅるいを組くみ合あわせている。従したがってCone/Symmetricという用語ようごを使つかう代かわりに、それぞれ固有こゆうのNATの振ふる舞まいに言及げんきゅうする方ほうがよい。特とくに、大抵たいていのNAT変換へんかん装置そうちは外部がいぶに出でて行いく方向ほうこうへの接続せつぞくに対たいするSymmetricNATと静的せいてきポートマッピングとを組くみ合あわせている。外部がいぶアドレスとポートに入はいってくるパケットは特定とくていの内部ないぶアドレスとポートにリダイレクトされる。いくつかの製品せいひんは、例たとえば何なん台だいかのサーバの間あいだに負荷ふかを分散ぶんさんするために、複数ふくすうの内部ないぶホストにパケットをリダイレクトできる。しかしながら、これは多おおくの相互そうご接続せつぞくパケットが存在そんざいするような、より複雑ふくざつな通信つうしんの場合ばあいに問題もんだいを引ひき起おこす。従したがって滅多めったに使つかわれることはない。RFC 4787では、観測かんそくされた動作どうさに関かんする標準ひょうじゅん的てきな用語ようごを導入どうにゅうすることで、混乱こんらんの緩和かんわを試こころみている。

多おおくのNATの実装じっそうはポート維持いじ設計せっけいに従したがう。 ほとんどの通信つうしんにおいて、NATは内部ないぶと外部がいぶのポート番号ばんごうとして同おなじ値ちを使つかう。 しかしながら、2つの内部ないぶホストが同おなじポート番号ばんごうを使つかって同おなじ外部がいぶホストと通信つうしんしようとするならば、2番目ばんめのホストによって使つかわれる外部がいぶポート番号ばんごうはランダムに選えらばれる。このようなNATは、時ときにはRestricted cone NATのように見みえ、別べつの時ときにはSymmetric NATのように見みえる。

NATやNAPTではFTPやSIPなどのVoIPなどうまく動作どうさしないアプリケーションがあるため、さらにコネクションとトラッキングすることでそれらに対処たいしょした技術ぎじゅつ。Linuxのiptablesなどで実装じっそうされている。

住友電工すみともでんこう製せいのADSLモデムに内蔵ないぞうのルータに実装じっそうされたDMZを実現じつげんする機能きのうの名称めいしょう[1]。 1つのグローバルIPアドレスしか提供ていきょうされないIP接続せつぞくサービス環境かんきょう下かにおいて、DHCPによりローカルの一ひとつのコンピュータにグローバルIPアドレスを割わり当あてて、それ以外いがいのコンピュータにはローカルIPアドレスを割わり当あてる。これによって、グローバルIPアドレスを割わり当あてられたコンピュータは、グローバルIPアドレスを直接ちょくせつ使用しようしなければならないネットワークアプリケーションを動作どうささせることができる。

UPnPのインターネットゲートウェイデバイス（IGD)仕様しように準拠じゅんきょしたNATルータは，それに対応たいおうしたアプリケーションから様々さまざまな操作そうさ（Action)を受うけ付つけることが可能かのうである。この動作どうさの中なかに、ポートマッピングを作成さくせい・削除さくじょ・情報じょうほう取得しゅとくを行おこなう操作そうさ（Action)がある。UPnP NAT Traversalとも呼よばれる。

これにより、使用しようするアプリケーションがポートマッピングを要求ようきゅうする場合ばあい、従来じゅうらいはユーザーがNATルータに例たとえばwebブラウザからアクセスするなどして、手動しゅどうで設定せっていを加くわえなければならなかったものが、アプリケーション自身じしんが直接ちょくせつルーターにアクセスしポートマッピングのエントリーを追加ついか・削除さくじょできるようになった。

市場いちばに出回でまわる「ブロードバンドルータ」などの商品しょうひん名めいのもので「UPnP機能きのう搭載とうさい」や「UPnP NAT Traversal対応たいおう」などと書かかれている製品せいひんがこれに当あたる。

2007年ねん現在げんざい、IPアドレス枯渇こかつ問題もんだいで足たりないとされているIPv4のIPアドレスであるが、将来しょうらい的てきにはIPv6のIPアドレス体系たいけいに移行いこうすれば、枯渇こかつ問題もんだいは解決かいけつすると見みられている。しかし、その移行いこう期間きかんにおいてはIPv4とIPv6の双方そうほうのネットワークが混在こんざいすることになり、両りょうネットワークを接続せつぞくするNAT（プロトコル変換へんかんも行おこなうためゲートウェイと呼よぶのが妥当だとう)が必要ひつようとなる。実際じっさいのゲートウェイの実装じっそう方法ほうほうがRFC 2766によって提案ていあんされている。

• エンドツーエンド接続せつぞく性せい
• IPアドレス枯渇こかつ問題もんだい
• NAT traversal
• キャリアグレードNAT

• RFC 1631 - The IP Network Address Translator (NAT)
• RFC 2766 - Network Address Translation - Protocol Translation (NAT-PT)
• RFC 3022 - Traditional IP Network Address Translator (Traditional NAT)
• RFC 3235 - Network Address Translator (NAT)-Friendly Application Design Guidelines
• RFC 4787 - Network Address Translation (NAT) Behavioral Requirements for Unicast UDP
• RFC 5902 - IAB Thoughts on IPv6 Network Address Translation
• LinuxのConnection Tracking機能きのう説明せつめい
• NATとNAPTは何なにが違ちがう？