20041203 (2004/12/03)
Ver. 1.0

2004年12月3日

栗野俊一

kurino@math.cst.nihon-u.ac.jp

http://edu-gw2.math.cst.nihon-u.ac.jp/~kurino/2004/ccna/ccna.html

ccnaの2004年12月3日のメモ

Fire Wall と NAT 技術

IP Address は本当に枯渇しているか ?

IP接続の要求は今後も増大傾向:その為にはIP Addressも必要
Class A/B Network Addressは確かに枯渇

しかし..

増えているのは、Client
必要なのはNetwork AddressでなくIP Address⁽¹⁾

一つのIP Addressの利用のためにまとまった大きさのNetwork Addressが必要になるのは、単に、管理とRouting Protocolの問題でしかない(つまり、本質的な問題といえない...まあ、Forwarding Tableの増大の問題は残るが.. )。

IP Address を節約するための二つの流れ

Routing Protocolの発展(cf. 前回の資料 )
Fire Wall技術

Fire Wall 技術

企業のおける Internet 利用のジレンマ

企業のComputerを(The) Internetから直接利用できるのは、危険過ぎる。
(The) Internet利用もinternet技術の利用も⁽²⁾、いまや必須。

いわゆる、全世界的なNetworkであるThe Internetに対し、IP ( Internet Protocol )を用いて通信を行うnetworkもinternetと呼ぶ。The Internetもinternetの一つだが、全てのinternetがThe Internet (の一部)であるわけではない。

後に述べるように、Private NetworkはinternetだがThe Internetの一部ではない。

安全を保ちつつ、internet を利用したい。

利用対象の限定:通信を特定なServerに限定
利用方法の限定:通信を特定なApplicationのClient利用に限定

Fire Wall

災害(火災)を食い止めるための防壁
N : Mの通信をN:1と1:Mに分解:チョークポイントの設置
- 通信の監査
- アクセス制限の適用
次の二つの組み合わせで実現
- 通信を制限する技術(大雑把に塞いで.. )
- 制限された状況で、望みの通信を可能にする技術(細かく通す.. )
Fire Wallという特殊な中継装置
- Network層: Router + Filtering (塞ぐ技術)
  - RouterにFilteringの設定を行うことによって、特定な通信を遮断する。
  - Routerの機能のみで実現できるので、実装が容易。
  - 基本的に、通信の内容まで、確認できないので、危険を看過してしまう可能性が高い。
    
    一般には、以下のapplication gatewayなどと併用する。
  - 元々は、Network層( Routerなので.. )の機能だったが、今では、Transport層(ソケット⁽³⁾レベル)でのFilteringを行うようになっている。
- Application層: Application Gateway/Proxy (通す技術:その1 )
  - E-Mail ( smtp/pop )
  - Web Proxy ( http/https/cache proxy )
  - その他( new, ftp, etc.. )
  中継サービスを損うアプリケーションにそれぞれgateway/proxy Serverを設置する。
  
  アプリケーション毎に用意する必要があるが、アプリケーションに依存したきめの細かいサービスを提供することができる。
  
  smtp/pop/new/DNSのように、元々Protocolが中継を想定している場合には、容易に実現できる。
  
  そうでないProtocolは、工夫が必要⁽⁴⁾。
- Transport層: Nat (通す技術:その2 )
  - (Nat) Routerが、中継するPacket内のソケット番号を書き換えることにより、Connectionを実現すr。
  - 通信を行っているHostには、特に追加設定がいらない(透過的)。
  - IP Addressの利用を大幅に倹約できる。

IP Address (Network層のAddress)とPort Number (Transport層のAddress)の対。つまりTCP/IP。
httpは、元々p2p (point-to-point)を想定して設計されているため、後から、Proxy (中継)の為の機能が追加された。

FW と Private Network Address

FW とイントラネット

(The) Intnetと通信しないが、internet技術は利用したい。
私的な( The Internetと直接接続しない) internet ( IPで通信するNetwork ) =イントラネット。
IP Addressは必要だが、( The Internetに対して.. ) uniqueである必要はない。
本当に継がらないならば、何のIP Addressを利用してもよい。
将来The Internetと関係ができても困らない為に... Private Network Address ⁽⁵⁾を用いる。

Private Network Addressは、The Internetでは、Routingされないことが保障されている(ので、自由に利用しても問題ない.. )。
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
このIP Addressを持つHostは、The Internetと、直接のIP通信を行うことができない。

重複して利用しても構わない。
Internetで利用できるIP Address : Global Network Address

重複しないように、管理、割り当て作業が必要(有限な資源)。

The Internet内で一意。
FWの内側では、Private Network Addressを利用する。
Private Networkを持つHostがThe Internetに継がるためには、何らかの工夫が必要

「繋ぐ技術」

IP Address 比較
属性	Global	Private
範囲	Privateでないほとんどのclass /A/B/CのIP Address	RFC1918で定まっている範囲( 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 )
利用場所	The Internet	The Internet以外のinternet ( IPを使ったLAN )
The InternetでのRouting	される	されない
The InternetでのIP通信	できる	できない( NAT等を利用する必要がある)
Uniqueness	必要(重複は許されない)	不要(異なるinternetでは、同時に複数利用可能)
割り当て	割り当て機関で、管理され、申請制になっている。	自由に利用してよい。

RFC1918

Nat : Private Network の運用技術

Pure/Static NAT : Network Address Translation

Internetとintrnetの境界Routerが、Global IP AddressとPrivate IP Addressを1-to-1に変換しながら中継する。

Dynamic NAT : IP Address の対応を動的に行う

少数のIP Address Blockを多数のHostで共有できる。

IP Masquarade

一つのIPを複数のHostで共有。このために、TCP Port Numberも変換。

NAPT:Network Address Port Translation

Network Address/Port Numberを自由に書き換えるえて中継する技術⁽⁶⁾。

NAPT(RFC2663)

NAT技術によって、IP Addressの枯渇は当分回避。

20041203 (2004/12/03)Ver. 1.0

目次