(2) ブロードバンドルータの選択
ブロードバンドルータが必要な環境
ルータを使えば、複数台のPCでひとつの回線を共有できます。
ADSLモデムやケーブルモデムには、いろいろな種類の製品がありますが、もっとも一般的なものは、イーサネットのインタフェースを持つタイプです。
アナログモデムやISDN TAのように、最大でも100Kbps程度の速度であれば、PCとの接続にシリアルポートを利用することもできますが、
ブロードバンドでは、数100Kbps~数Mbpsの速度となるため、シリアルポートでは遅すぎてしまいます。
(シリアルポートは標準で115.2Kbps、拡張ボード利用で460.8Kbps)。
このため、ブロードバンド・モデムとPCとの接続には、イーサネットを利用することが多い(イーサネットは10Mbpsあるいは100Mbps)。
ところが、イーサネットのポートを持つからといって、家庭内LANをそのままブロードバンド・モデムに接続しても、LAN上の複数のPCから
インターネットに接続することはできません。
これは、IPアドレスの割り当て数の問題です。。
一般的なインターネット接続サービスでは、1ユーザーに対し1つのIPアドレスが割り当てられています。
インターネットに接続するためには、各PC1台ずつに1つのIPアドレスが必要ですが、1つしか割り当てられない場合は、
そのままでは1台のPCしかインターネットに接続できないことになります。
そこで登場するのが、NAT機能をもつルータです。
NATとはIPアドレスの変換機構のことで、とくにIPマスカレードという技術を用いると、複数台のPCが、1つのIPアドレスを共用することができます。
すなわち、それぞれのPCからインターネットに接続することが可能となります。
また、ルータ機能を搭載したADSLモデムのように、モデム自体がこのルータ機能を搭載していることもあります。
ルータ機能を搭載していないモデムは、ブリッジ・タイプ、搭載しているモデムは、ルータ・タイプと呼ばれています。
以上をまとめると、ブロードバンド事業者によりIPアドレスが1つしか割り当てられなく、なおかつブリッジ・タイプのモデムを使用している環境で、
複数台のPCからインターネットへ接続したい場合に、ブロードバンドルータが必要となります。
ブロードバンドルータのセキュリティ
複数台のPCをインターネットに接続するためのNAT/IPマスカレードですが、実は、このしくみはセキュリティ面でも重要な働きをします。
まず、このIPアドレス変換機構の動作について、詳しくみてみましょう。
LAN内のプライベートIPアドレスのPCが、インターネット上のWebサーバに接続しようとした場合、まず、PCからのパケットがブロードバンドルータに届きます。
ブロードバンドルータ内では、NAT/IPマスカレードにより、パケット内の送信元IPアドレスが、ルータに割り当てられたグローバルIPアドレスに書き換えられます。
このとき、送信元となったPCのプライベートIPアドレスが、ルータ内に記憶されます。
書き換えられたパケットは、インターネット上のWebサーバに向けて送られていきます。
しばらくすると、Webサーバから返信パケットが戻ってきます。
送信元をブロードバンドルータのグローバルIPアドレスに書き換えたため、まずは、ブロードバンドルータに届くことになります。
LAN内には複数のPCが存在していますが、ブロードバンドルータは、どのパケットの返信か判別して、あらかじめ記憶しておいた
送信元PCのIPアドレスに、そのパケットを送りつけます。
このような仕組みによって、LAN内部のPCはインターネットと通信することができます。
さて、今度は、インターネットから誰かが侵入したいと考えたとしましょう。
グローバルIPアドレスが割り当てられているブロードバンドルータに対しては、攻撃用パケットを送りつけることができます。
ところが、ブロードバンドルータに届いたパケットは返信ではないため、ブロードバンドルータは、そのパケットをLAN内部のどのPCに送ってよいか判りません。
結局、このパケットは破棄され、LAN内部のPCには、攻撃用パケットは届かないのです。
仮に、LAN内部のPCにセキュリティホールがあったとしても、返信パケット以外は、外部からパケットが届かないため、
ブロードバンドルータの導入は、セキュリティ面でも有効的だと考えられています。
ブロードバンドルータのインタフェース
例に挙げるのは、メルコの Broad Station BLR-TX4 です。
LAN側 10/100Mスイッチングハブ (4ポート)。
WAN側 100BASE-TX/10BASE-T(1ポート)。
ポートフォワーディング機能搭載。
ネットゲームやストリーム再生型アプリケーションに対応。
NetMeeting音声/動画チャットに対応。
パケットフィルタリング(IPアドレス・ポート番号)、ファイアウォール機能搭載による高セキュリティ。
不明なポ-トのアクセス全てを指定のPCに送信するDMZアドレス設定可能。
DHCPサーバ/クライアント機能搭載。
PPPoE(PPP over Ethernet)対応。
ブロードバンドルータの基本スペック
次に挙げたのは、ブロードバンドルータのスペック表に書かれる代表的な項目です。
① LAN側ポート
家庭内LANに接続するためのポート。
多くの製品は、10BASE-T/100BASE-TX両対応です。
最近では、ハブ内蔵の製品も多く、この場合、4ポート程度を搭載します。
有線LANだけでなく、無線LANに対応した製品もあります。
② WAN側ポート
ADSLモデム/ケーブルモデムなどに接続するためのポート。
多くの製品は10BASE-Tですが、最近は100BASE-TXの製品も登場しています。
③ ポートフォワーディング機能
あるいは、「バーチャルサーバ機能」「静的IPマスカレード」「静的NAT機能」「ローカルサーバ機能」など。
製品によって、さまざまな呼び方がありますが、基本的に同じものです。
ポート番号ごとに、転送先のPCを設定します。
たとえば、wwwのポート番号80を192.168.0.2に転送する設定にすれば、192.168.0.2上のWebサーバを、インターネットに向けて公開することができます。
④ パケットフィルタリング機能
ルールを指定して、一部のパケットの送受信を制限する機能。
ルールは、IPアドレスやポート番号などで指定します。
細かい制御をするためには、送信元・宛先ごとに、IPアドレスやポート番号、プロトコルの種類などを設定できるルータが必要となります。
⑤ DMZ機能
返信以外のすべてのパケットを、指定したPCに転送する機能。
バーチャルサーバ機能で、ポート番号ごとの指定の代わりに、デフォルトの転送先として指定することにより、同じ機能を実現できるルータもあります。
ネットワークゲームの一部は、自分のPCがサーバとして動作することがあります。
この機能の転送先としたPCでは、このようなゲームも使用することができますが、その代わり、攻撃や侵入のためのパケットも届いてしまうため、注意が必要です。
⑥ DHCPクライアント(WAN側)
WAN側のIPアドレスをDHCPで取得します。
CATVインターネットでは、DHCPが使用されることが多い。
⑦ PPPoEクライアント(WAN側)
WAN側のIPアドレスをPPPoEで取得します。
ADSLでは、PPPoEが使用されることが多い。
⑧ グローバルIPアドレス(WAN側)
WAN側のIPアドレスを固定IPアドレスとして指定します。
自動設定でないため、サブネットマスクやゲートウェイアドレスの設定も必要となります。
⑨ ルーティング機能
経路を指定する機能。
通信先によって、通信経路を変えたい場合に使用します。
⑩ 設定方法
最近は、ウェブブラウザで設定する製品が多く、初心者でもなじみやすい。
ただし、業務などで設定内容を一覧として保存したい場合は、コマンド入力の方が便利なときもあります。
また、リモートから制御したい場合は、telnetで設定できる製品が適しています。
Home Page