ネットワークの設定や通信トラブルを調べていると、よく出てくるのがNATです。
ルータやファイアウォールの設定でも頻繁に登場しますが、最初は「結局何をしているのか分かりにくい」と感じることが多い部分でもあります。
また、NATにはSNATやDNATといった似た用語があり、ここで混乱する人も少なくありません。
実際の現場でも、通信できない原因を調べていくと、ルーティングではなくNAT設定のミスだったというケースはよくあります。
この記事では、NATの基本とSNAT、DNATの違いを初心者向けにわかりやすく解説します。
NATとは
NATとはNetwork Address Translationの略で、日本語では「ネットワークアドレス変換」と呼ばれます。
簡単に言うと、通信する際にIPアドレスを書き換える仕組みです。
ルータやファイアウォールが通信を受け取り、送信元や宛先のIPアドレスを別のIPアドレスへ変換します。
この仕組みによって、社内ネットワークと外部ネットワークの通信が成立します。
なぜNATが必要なのか
NATが必要になる大きな理由は、プライベートIPアドレスがインターネットではそのまま使えないためです。
例えば社内PCに次のようなIPアドレスが設定されているとします。
192.168.1.10
このアドレスはプライベートIPアドレスです。
プライベートIPは社内ネットワークで使用するためのアドレスであり、そのまま外部ネットワークでは通信できません。
そこでルータがIPアドレスを変換して通信できるようにします。
NATの基本イメージ
社内PCが外部ネットワークへ通信するとします。
社内PC
192.168.1.10
ルータ外側IP
10.10.10.1
このときルータは次のような変換を行います。
変換前
送信元IP
192.168.1.10
変換後
送信元IP
10.10.10.1
外部から見ると、通信は192.168.1.10ではなく10.10.10.1から来ているように見えます。
SNATとは
SNATとはSource NATの略です。
送信元IPアドレスを変換するNATのことを指します。
主に社内から外部へ通信するときに使用されます。
例えば社内PCが外部サーバへ通信するとします。
変換前
送信元IP
192.168.1.10
宛先IP
10.20.30.10
変換後
送信元IP
10.10.10.1
宛先IP
10.20.30.10
このように送信元IPだけが変換されます。
SNATが使われる場面
SNATは次のような場面で使用されます。
社内端末がインターネットへアクセスするとき
拠点間通信で送信元IPを変換するとき
戻り通信を正しくルータへ戻す必要があるとき
多くの企業ネットワークでは、このSNATが日常的に使用されています。
DNATとは
DNATとはDestination NATの略です。
宛先IPアドレスを変換するNATです。
外部から社内サーバへアクセスさせたい場合に使用されます。
例えば社内にWebサーバがあるとします。
Webサーバ
192.168.1.50
ルータ外側IP
10.10.10.1
外部ユーザが次のIPへアクセスします。
10.10.10.1
この通信をルータが次のように変換します。
変換前
宛先IP
10.10.10.1
変換後
宛先IP
192.168.1.50
このように宛先IPを書き換えることで、外部から社内サーバへアクセスできるようになります。
DNATが使われる場面
DNATは主に次の用途で使用されます。
社内Webサーバ公開
社内メールサーバ公開
社内システム公開
一般的に「ポートフォワーディング」と呼ばれる設定もDNATの一種です。
SNATとDNATの違い
SNATとDNATの違いをまとめると次のようになります。
SNAT
送信元IPを変換
主に社内 → 外部通信
DNAT
宛先IPを変換
主に外部 → 社内通信
通信方向によって使い分けられます。
NAT設定ミスは通信トラブルの原因になる
ネットワークトラブルでは、NAT設定が原因になることも多くあります。
例えば次のようなケースです。
戻り通信のNAT設定がない
宛先変換だけで送信元変換がない
ルーティングとNATが一致していない
このような場合、通信は途中まで届くものの戻り通信が成立せず、結果として通信できない状態になります。
NATはネットワーク設計において非常に重要な仕組みの一つです。
