2-3.宅内ルータとIPアドレス変換

2019年8月3日

宅内ルータとIPアドレス変換

スマホからWebサーバにアクセスした場合のIPアドレス変換について以下の図を用いて説明します。厳密には通信を行うためにはDNSにより宛先グローバルIPアドレス取得など多くの処理がありますがIPアドレス変換に特化して説明します。
スマホから送信元に「プライベートIPアドレスD」を宛先に「グローバルIPアドレスA」を設定したDからA宛【D→A】のパケットを送信します。このパケットは宅内ルータを通過するとパケットの送信元Dは「グローバルIPアドレスB」に変換され(ﾛ)【B→A】のパケットになります。

これはWebサーバが返答する場合に届いたパケットから送信元を通信相手として、宛先として返答するため必ず送信元もグローバルIPアドレスを利用する必要があります。Webサーバは応答として送信元A、宛先Bのパケット(ﾊ)【A→B】を送信します。宅内ルータは到着したパケットの宛先をBからD【A→D】に変更しスマホに送信します。宅内ルータではこのようにIPアドレスの変換が行われ通信を実現しています。
通常、宅内ルータはIPアドレスだけでなくポート番号も変更しています。なぜなら１つのグローバルIPアドレスで複数の端末をインターネットで通信するため、宅内端末が同じポート番号を利用しても宅内ルータのグローバルIPアドレス側のポート番号で振り分けることで実現しています。ただ、説明を簡略化するためIPアドレスの変換について説明していきます。

変換テーブルとSPI機能

宅内からインターネットに向けて通信する場合はアドレス変換に際して送信元アドレスをグローバルIPアドレスに変換するので特に変換テーブルは必要ありませんが、インターネットから宅内へ戻る通信に関しては宅内ルータに届くパケットをどの端末に送信するか識別するための宅内ルータ内に「変換テーブル」が必要です。
インターネットから宅内ルータに届いたパケットについて変換テーブルに存在しない場合は宅内の宛先端末がわからないため通信できず廃棄されます。このため、宅内ルータ内は一定のセキュリティが担保されます。
この変換テーブルは宅内からインターネットへ通信が開始される際にIPアドレスとポート番号の組み合わせで作成され、インターネットからの戻り通信ができるようになります。自動で変換テーブルができ、戻り通信を可能にする仕組みのことをSPI(Stateful Packet Inspection)機能と読んでいます。