図4 SecureNATのしくみ<BR>PacktiX VPNネットワーク上で,アドレス変換(NAT)機能を備えたブロードバンド・ルーターと同じしくみを実現する。中継用ソフトがLAN側からインターネット上の仮想HUBに接続する形をとれるので,NAT越えを容易に実現できファイアウォールに穴を開けたりせずに済む。管理者権限が不要な一般のアプリケーションとして動作できるので,ソフトのバグによって不正アクセスを受ける危険も減らせる。
図4 SecureNATのしくみ<BR>PacktiX VPNネットワーク上で,アドレス変換(NAT)機能を備えたブロードバンド・ルーターと同じしくみを実現する。中継用ソフトがLAN側からインターネット上の仮想HUBに接続する形をとれるので,NAT越えを容易に実現できファイアウォールに穴を開けたりせずに済む。管理者権限が不要な一般のアプリケーションとして動作できるので,ソフトのバグによって不正アクセスを受ける危険も減らせる。
[画像のクリックで拡大表示]

アドレス変換してLAN側に中継

 次は(2)のSecureNAT機能*を見ていこう。SecureNAT機能とは,ひと言で表すと「アドレス変換(NAT*)機能を持つブロードバンド・ルーターを仮想的に実現する」機能である。先ほどの仮想L3スイッチと似ている機能かと想像する人がいるかもしれないが,その利用目的やしくみは異なる。

 例えば,LAN同士をつなぐとき,お互いが使っているIPアドレスの範囲が重複して困るケースがある。こんなときSecureNATが有効だ。

 具体的なしくみは以下のようになる。まず,SecureNAT機能が動いている*LAN内部のパソコン(仮想ホストと呼ぶ)を,インターネット上にある仮想HUBにVPN接続する*図4[拡大表示])。次に,LAN内部にアクセスしたいクライアントを,仮想LANカードを使って同じく仮想HUBにVPN接続する。すると,クライアントには仮想HUBを経由してSecureNAT機能の「仮想DHCP*サーバー」からIPアドレスが割り当てられる(同(2))。このとき,デフォルト・ゲートウエイ*のIPアドレスとして仮想ホストのIPアドレスも併せて通知される。これでクライアントは,仮想HUBと仮想ホストを経由してLAN内部にIPパケットを送る準備ができたことになる。

 クライアントが,LAN内にあるパソコンのIPアドレスを指定してIPパケットを送信すると(同(3)),パケットはSecureNAT機能が動く仮想ホストに届く。仮想ホストでは,受け取ったパケットをLAN側に中継する。このとき,SecureNATのNAT機能が働き,クライアントが使っていた送信元IPアドレスとポート番号を仮想ホストがLAN側で使っているIPアドレスとポート番号に変換してパケットを中継する(同(4))。通信の向きは逆だが,ブロードバンド・ルーターでインターネットにアクセスするときの動きと同じだ。