平成23年秋期午後問5

さん  
(No.1)
https://www.ap-siken.com/kakomon/23_aki/pm05.html
解説を読んでもいまいち分からなかったので質問します。
問2(2)なのですが
外部ネットワーク機器との通信を行う際に
それぞれのデフォルトゲートウェイがNAPT機能であった場合は通信自体ができないということでしょうか。(pingも通らない?)
2021.03.12 14:27
AgentTakaさん 
AP シルバーマイスター
(No.2)
れさん
こんばんは

デフォルトゲートウェイ
自分が知らないインターネットなどの宛先と通信したい時に転送するバケツリレーの渡し先です。

NAPT機能
この状況設定ではルータ2のLAN側ノートPCのIPアドレスをルータ2のWAN側IPアドレスとポート番号の組み合わせに変換してインターネットなどと通信します。
なんでこんなことするかというと192.168.x.xはクラスCのプライベートIPアドレスでインターネットでは使えません。なのでルータ2のグローバルIPアドレスに変換する必要があります。
単純なIPアドレスの1対1の変換ではノートPC台数分のグローバルIPアドレスが必要ですがIPv4はアドレスが枯渇していますので、そこでポート番号も組み合わせてN対1のアドレス変換を実現させています。
これがNAPTでルータ1でも同じNAPTを使用しています。
なのでまず理解して欲しいのはデフォルトゲートウェイでNAPT機能を有効にしている訳ではありません。
WAN側IPアドレスでNAPT機能を有効にしています。
デフォルトゲートウェイとNAPT機能は別物と思ってください。
ここまでいいでしょうか。

NAPTの利点はまだあって、LAN側のIPアドレスを秘匿出来るというセキュリティを高める効果もあります。
外側からはルータのWAN側IPアドレスしか分かりません。LAN側IPアドレスは見えません。
ということはルータ1のLAN側にいるNASサーバのIPアドレスはノートPCには分かりません。よって通信できない、という訳です。
ノートPCからPingが疎通出来るのはルータ1のWAN側IPアドレスまでになります。

もう23年度の問題まで取り組んでいるんですね。
進捗がよろしい様で。
頑張って下さい!
2021.03.12 19:16
さん  
(No.3)
>>AgentTakaさん
ご回答ありがとうございます。
追加で質問なのですが
1.図1のネットワーク構造ではノートPCからNASサーバへ接続する方法はないのでしょうか。宛先IPをルータ1のWAN側のIPにすれば、ルータ1までは届くと思うのですが、その先が問題ですね。。ポート番号を使えばNASサーバまで届くような気もするのですが。。。
2.NAPTをNATに変換した場合は、ノートPCからNASサーバへ通信できるようになりますか。
2021.03.13 15:53
AgentTakaさん 
AP シルバーマイスター
(No.4)
れさん
こんばんは
真剣ですねー、いいですねー。敬意を表して本気で回答しますよ。

1.図1のネットワーク構成ではノートPCからNASサーバへ接続する方法は問題の状況設定ではありません。宛先IPをルータ1のWAN側のIPにそしてポート番号を使っても無理です。NAPT変換はLAN側からWAN側への通信時にプライベートIPアドレスとグローバルIPアドレス、ポート番号の変換をルータがNAPT変換テーブルという対応表にメモってます。で、行きと戻りの通信を対応表でチェックして正しい戻りの通信の変換を元に戻して通信可能となりますが、ノートPCからルータ1を通してNASへのNAPT変換は行えません。一つのグローバルIPアドレスとポート番号宛ての通信が来てもルータ1はNASサーバ宛ての通信だと分からないです。またNAPTはその様な仕様でもありませんし、そんなことしちゃえばインターネットからLAN側のIPアドレスを秘匿する意味も無いですよね。
うーん、文章だけで分かりやすく表現するのは難しくて理解に苦しむかもしれませんがネットでNAPTで検索して図を見ると理解が深まるでしょう。
2.NAPTをNATに変換しても変わりません。NAPTはプライベートIPアドレスとグローバルIPアドレスをポート番号を変えることによってN対1の変換をしています。NATはプライベートIPアドレスとグローバルIPアドレスの1対1の変換です。どちらを採用してもLAN側のIPアドレスは秘匿されますから図1の構成ではノートPCからNASへの通信は出来ません。

さて、ここで要件5のノートPCからNASサーバへ通信させる要件を満たす方法を考えよう、というのがこの問題の最大の問わんとしている所です。さあー分かりますかー?ルータ1も2もNAPTしていて内部LANが見えないならどうしましょう?だったらノートPCもNASサーバも同じLANにおいてしまえばいいじゃない、というのが設問3です。ルータ2をブリッジ(L2スイッチ)にしてルータ1配下におけば同一セグメントになりNAPTなどややこしいこと考えずに通信可能になりますよ、というのが出題者側の回答して欲しいところです。

ヒントは表1ですね。ここでルータ2の仕様にわざわざ「ルータ機能を無効にしてブリッジとして動作可能」と記載されていることに嗅覚ヒクヒクしたらしめたもんです。過去問題を解いていると普通こんな仕様記載はありませんから、ん?ここなんかあるな!とひっかっかってきますよ。ここはポイントになりそうなのでなんか印でもつけといて後ですぐ読み返せるように出来ていて欲しいですねー。

本題はネットワーク知識のみならずセキュリティ分野にも絡んでくる(具体的にNAPTでLAN側のIPアドレス体系は秘匿されセキュリティが向上する)のでしっかり理解してください。納得できるまで付き合います!
2021.03.13 23:43
さん  
(No.5)
>>AgentTakaさん
長文での回答ありがとうございます!
全文読んで理解することができました。特に
「NAPTはその様な仕様でもありませんし、そんなことしちゃえばインターネットからLAN側のIPアドレスを秘匿する意味も無いですよね」
の回答にものすごく納得できました。セキュリティ上問題ですもんね。
ネットワークの問題難しいですが解いてて楽しいので、これでまた頑張れそうです。
ありがとうございました!
2021.03.14 01:09

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop