IP : IP アドレッシング サービス

このドキュメントには Flash アニメーションが含まれています。

目次

• 概要
• 前提条件
  • 要件
  • 使用するコンポーネント
• 背景知識
• ダイナミック NAT とオーバーロードの例
  • Flash アニメーション：ダイナミック NAT
• セキュリティと管理
• マルチホーミング
Cisco サポート コミュニティ - 特集対話

• 関連情報

概要

このドキュメントの読者は、おそらくインターネットに接続していて、現在、Network Address Translation（NAT; ネットワーク アドレス変換）を使用中である可能性が高いはずです。

インターネットはかつてだれも想像できなかったほどの規模に成長しました。正確な規模は不明ですが、現時点ではおよそ 1 億台のホストがインターネットに接続し、3 億 5,000 万以上のユーザが使用していると推定されます。これはアメリカ合衆国の全人口を上回る人数です。実際に成長率を見ると、インターネットの規模が年々倍増していることがわかります。

では、インターネットの規模が NAT とどんな関係があるのでしょう。答えは、すべてにおいて関係しています。特定のコンピュータがインターネット上にある他のコンピュータや Web サーバと通信するためには、IP アドレスが必要です。IP アドレス（IP は「インターネット プロトコル」の略）は、ネットワーク上のコンピュータの位置を割り出すための、一意の 32 ビットの数字です。IP アドレスの働きは基本的に、通常の住所と同じです。つまり、現在位置と情報の配信先を正確に特定するための手段ということです。

IP アドレッシングが初めて登場した当初は、どんなニーズをも網羅する十分な数のアドレスがあるはずだとだれもが考えていました。理論的には、4,294,967,296（2³²）個の一意のアドレスを使用できます。実際には、それよりも少ない数のアドレスしか使用できません（およそ 32 億から 33 億の間）。これは、アドレスがクラスに分けられており、マルチキャストやテストといった特定の用途のためにアドレスの一部が確保されているためです。

インターネットの爆発的な普及とホーム ネットワークおよびビジネス ネットワークの増加によって、使用可能な IP アドレスの数は完全に足りなくなりました。明白な解決策は、より多くのアドレスを使用できるようにアドレスのフォーマットを再設計することです。これは IPv6 として現在策定中ですが、インターネットのインフラストラクチャ全体を変更する必要があるため、実装には数年の期間がかかります。

NAT（RFC 1631 ）が解決策となるのは、この点においてです。基本的にネットワーク アドレス変換では、ルータなどの単一デバイスがインターネット（つまり「パブリック ネットワーク」）とローカル（つまり「プライベート」）ネットワークとの間のエージェントの役割を果たします。これは、ネットワークの Outside にあるものに対してコンピュータのグループ全体を表すための、1 つの一意な IP アドレスがあればよいことを意味します。

IP アドレスの不足は、NAT を使用するための理由の 1 つに過ぎません。その他に次の 2 つの理由があります。

• セキュリティ

• 管理

NAT を使用する利点については後述しますが、まず NAT とは何か、および NAT を使って何ができるかについて詳しく説明します。

前提条件

要件

このドキュメントの読者は次の項目に関する知識が必要です。

• IP アドレスとルーティングに関する概念

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景知識

NAT は大規模なオフィスの受付に似ています。仮に、受付に対して、こちらから要望した電話以外は転送しないように指示したとします。その後、見込み客に電話をかけ、折り返し電話をもらえるようメッセージを残しました。受付には、この顧客からの電話を待っているので電話がかかってきたらつないでほしい旨を伝えます。

顧客はオフィスの代表番号に電話をかけます。これは顧客が知っている唯一の番号です。顧客が話したい相手の名を受付に伝えると、受付はルックアップ テーブルでその社員の名前と内線番号に一致するものを確認します。受付はこの社員が依頼した電話であることを確認し、その電話を社員に転送します。

Cisco によって開発されたネットワーク アドレス変換は、内部ネットワークと外部ネットワークの間に位置するデバイス（ファイアウォール、ルータ、またはコンピュータ）で使用されます。NAT にはいくつかの形態があり、動作方法も異なっています。

• スタティック NAT：未登録の IP アドレスを、登録済みの IP アドレスに一対一でマッピングします。特にネットワークの Outside からデバイスにアクセスする必要がある場合に役立ちます。

  スタティック NAT では、192.168.32.10 という IP アドレスが割り当てられたコンピュータは必ず、213.18.123.110 というアドレスに変換されます。

  

• ダイナミック NAT：未登録の IP アドレスを、登録済みの IP アドレス グループの中の登録済みの IP アドレスの 1 つにマッピングします。またダイナミック NAT では、未登録の IP アドレスと登録済み IP アドレス間で一対一のマッピングも確立しますが、通信時にプール内で利用可能な登録済みアドレスによって、マッピングは変化します。

  ダイナミック NAT では、192.168.32.10 の IP アドレスが割り当てられたコンピュータは、213.18.123.100 〜 213.18.123.150 の範囲内で使用可能な最初のアドレスに変換されます。

  

• オーバーロード：未登録の複数の IP アドレスを、さまざまなポートを使うことによって、登録済みの単一の IP アドレスにマッピングするダイナミック NAT の 1 形態。Port Address Translation（PAT; ポート アドレス変換）、単一アドレス NAT、ポートレベル多重化 NAT とも呼ばれます。

  オーバーロードでは、プライベート ネットワーク上の各コンピュータは同一の IP アドレス（213.18.123.100）に変換されますが、ポート番号の割り当ては異なります。

  

• オーバーラップ：内部ネットワークで使われている IP アドレスが別のネットワークで使われている登録済みの IP アドレスである場合、これを代行受信し、一意の登録済み IP アドレスに置き換えることができるように、ルータがそうしたアドレスのルックアップ テーブルを維持する必要があります。注意すべき重要な点は、NAT ルータは「内部」アドレスを一意の登録済みアドレスに変換するだけでなく、「外部」の登録済みアドレスをプライベート ネットワークにとって一意のアドレスに変換する必要がある点です。これを実現するには、スタティック NAT を使用するか、または DNS を使用してダイナミック NAT を実装します。

  内部 IP の範囲（237.16.32.xx）は、別のネットワークで使用されている登録済み範囲でもあります。そのため、ルータは別のネットワークと競合しないようにアドレスを変換します。また情報が内部ネットワークに送信された場合、ルータは登録済みのグローバル IP アドレスを、登録されていないローカル IP アドレスに変換し直します。

  

内部ネットワークは通常は Local Area Network（LAN; ローカルエリア ネットワーク）であり、これは普通スタブ ドメインと呼ばれます。スタブ ドメインは IP アドレスを内部的に使用する LAN です。スタブ ドメイン内のネットワーク トラフィックの大部分はローカルであり、内部ネットワークの外へは流れません。スタブ ドメインには登録済み IP アドレスと未登録 IP アドレスをどちらも含めることができます。当然、未登録 IP アドレスを使用するコンピュータは、ネットワーク アドレス変換を使用して外部ネットワークと通信する必要があります。

NAT はさまざまな動作様式に設定できます。次の例では、NAT ルータは、プライベート（Inside）ネットワークに存在する未登録 IP アドレス（Inside のローカル アドレス）を登録済み IP アドレスに変換するよう設定されています。未登録アドレスの Inside デバイスがパブリック（Outside）ネットワークと通信するときに、この変換が必ず行われます。

• ISP は顧客企業に IP アドレスの範囲を割り当てます。割り当てられたアドレスのブロックは一意の登録済み IP アドレスであり、Inside グローバル アドレスと呼ばれます。未登録のプライベート IP アドレスは 2 つのグループに分けられます。NAT ルータで使用される小さなグループ（Outside ローカル アドレス）と、スタブ ドメインで使用される大きなグループ（Inside ローカル アドレス）です。Outside ローカル アドレスは、パブリック ネットワーク上にあるデバイスの一意の IP アドレス（Outside グローバル アドレス）を変換する際に使用されます。ローカル アドレスとグローバル アドレスの定義についての詳細は、『NAT：ローカルおよびグローバルの定義』を参照してください。NAT で変換されるのは、Inside ネットワークと Outside ネットワーク間でやり取りされるトラフィックで、変換されるように指定されているものだけです。変換基準に一致しないトラフィック、またはルータの他のインターフェイス間で転送されるトラフィックは変換されず、そのまま転送されます。

  IP アドレスは、プライベート ネットワーク（スタブ ドメイン）か、パブリック ネットワーク（インターネット）かによって、またトラフィックを受信しているか発信しているかによって、割り当てが異なります。

  

• スタブ ドメイン上にあるほとんどのコンピュータは、Inside のローカル アドレスを使用して互いに通信します。

• スタブ ドメイン上のコンピュータの中には、主にネットワークの Outside と通信するものがあります。このコンピュータには、変換が不要であることを意味する Inside のグローバル アドレスがあります。

• Inside のローカル アドレスを使用しているスタブ ドメイン上のコンピュータがネットワーク外と通信する場合、デフォルトのゲートウェイへの通常のルーティングによって、NAT ルータのいずれかにパケットが送られます。

• NAT ルータはルーティング テーブルをチェックして、宛先アドレスのエントリがあるかどうかを確認します。宛先アドレスがルーティング テーブルに登録されていない場合、パケットは廃棄（ドロップ）されます。エントリが使用可能な場合、そのパケットが Inside から Outside ネットワークへ向かうものかどうかがチェックされ、次に、そのパケットが変換用に指定された基準に一致しているかどうかがチェックされます。さらにルータはアドレス変換テーブルをチェックして、対応する Inside のグローバル アドレスに関して、Inside のローカル アドレスのエントリが存在しているかどうかを確認します。エントリが検出された場合、ルータは Inside のグローバル アドレスを使って、そのパケットを変換します。スタティック NAT だけが設定されていて、エントリが検出されなかった場合、ルータはパケットを変換せずに送信します。

• ルータは Inside のグローバル アドレスを使用して、パケットを宛先に送信します。

• パブリック ネットワーク上のコンピュータはプライベート ネットワークにパケットを送信します。パケットの送信元アドレスは、Outside グローバル アドレスです。宛先アドレスは、Inside のグローバル アドレスです。

• パケットが Outside ネットワークに着信する場合、NAT ルータはアドレス変換テーブルを検索して、テーブルに宛先アドレスがあるかどうかを特定し、そのアドレスをスタブ ドメイン上のコンピュータにマッピングします。

• NAT ルータは、パケットの Inside グローバル アドレスを Inside ローカル アドレスに変換し、ルーティング テーブルをチェックした後、パケットを送信先コンピュータに送信します。変換テーブルにアドレスのエントリが見つからない場合は必ず、パケットは変換されず、ルーティング テーブルに宛先アドレスがあるかどうかが確認されます。ルーティング テーブルに宛先へのルートが見つからない場合、そのパケットは廃棄されます。

NAT を使ったトランザクションの処理順序についての詳細は、『NAT の処理順序』を参照してください。

NAT オーバーロードでは、TCP/IP プロトコル スタックの一機能である多重化を利用します。これは、複数の TCP または UDP ポートを使って、1 台のコンピュータが、リモート コンピュータとの複数の同時接続を維持できるようにする機能です。IP パケットには次の情報を含むヘッダーがあります。

• 送信元アドレス：送信元のコンピュータの IP アドレス（201.3.83.132 など）。

• 送信元ポート：対象のパケットに対し、送信元のコンピュータが割り当てた TCP または UDP ポート番号（ポート 1080 など）。

• 宛先アドレス：受信側のコンピュータの IP アドレス（145.51.18.223 など）。

• 宛先ポート：送信元のコンピュータが受信側コンピュータに開くように要求している TCP または UDP ポート番号（ポート 3021 など）。

アドレスによって両端にある 2 台のマシンが指定され、ポート番号によって、その 2 台のコンピュータ間の接続に一意の識別情報が付けられます。これら 4 つの番号の組み合せによって 1 つの TCP/IP 接続が定義されます。各ポート番号は 16 ビットを使用しています。つまり、65,536（216）個の値が指定できるということです。実際には、製造元によってポートのマップ方法が若干異なるため、使用可能なポートはおよそ 4,000 個と推定されます。

ダイナミック NAT とオーバーロードの例

Flash アニメーション：ダイナミック NAT

ここでは、ダイナミック NAT がどのように動作するかについて説明しています。

『ダイナミック NAT Flash アニメーション』にアクセスして、緑色のボタンのいずれかをクリックすると、スタブ ドメインで正常なパケットの送受信が実行されます。赤色のボタンの 1 つをクリックすると、パケットが送信されますが、無効なアドレスが原因でルータによって廃棄されます。

• 内部ネットワーク（スタブ ドメイン）に設定されている IP アドレスは、Internet Assigned Numbers Authority（IANA）（IP アドレスを分配する世界的な機関）によってその会社専用に割り当てられたアドレスではありません。これらのアドレスは一意でないため、ルーティング不能と見なされます。このようなアドレスが Inside ローカル アドレスです。

• 会社のルータでは、NAT 機能をイネーブルに設定します。ルータには IANA によってその会社に与えられた一意の IP アドレスの範囲があります。このようなアドレスが Inside グローバル アドレスです。

• スタブ ドメイン上のコンピュータは、Web サーバなど、ネットワークの Outside にあるコンピュータに接続しようとします。

• ルータはスタブ ドメイン上のコンピュータからパケットを受信します。

• ルーティング テーブルのチェックと変換の確認処理の実行後、ルータはコンピュータのルーティング不能 IP アドレスをアドレス変換テーブルに保存します。続いて、その送信元コンピュータのルーティング不能 IP アドレスをルータの IP アドレスに置き換えます。ルータは送信元コンピュータの送信元ポートをアドレス変換テーブル内の、送信元コンピュータのアドレス情報を保存した場所と一致するポート番号に置き換えます。この時点で、コンピュータのルーティング不能 IP アドレスと一意の IP アドレスの 1 つとのマッピングが変換テーブルに作成されます。

• 宛先コンピュータからパケットが戻ってくると、ルータはパケットの宛先アドレスをチェックします。続いてアドレス変換テーブルを参照し、そのパケットがスタブ ドメイン上のどのコンピュータのものであるかを確認します。ルータは宛先アドレスをアドレス変換テーブルに保存されているアドレスに変更し、そのコンピュータにパケットを送信します。テーブル内に一致するエントリがない場合は、パケットが廃棄されます。

• コンピュータはルータからのパケットを受信します。コンピュータが外部システムと通信している間、このプロセスが繰り返されます。

オーバーロードの動作の仕組みを次に示します。

• 内部ネットワーク（スタブ ドメイン）に設定されている IP アドレスはルーティング不能であり、IANA によってその会社専用に割り当てられたアドレスではありません。

• 会社のルータでは、NAT 機能をイネーブルに設定します。ルータには IANA によってその会社に与えられた一意の IP アドレスがあります。

• スタブ ドメイン上のコンピュータは、Web サーバなど、ネットワークの Outside にあるコンピュータに接続しようとします。

• ルータはスタブ ドメイン上のコンピュータからパケットを受信します。

• パケットのルーティングと変換の確認後、ルータはコンピュータのルーティング不能 IP アドレスとポート番号をアドレス変換テーブルに保存します。続いて、その送信元コンピュータのルーティング不能 IP アドレスをルータの IP アドレスに置き換えます。ルータは送信元コンピュータの送信元ポートを、アドレス変換テーブル内の、送信元コンピュータのアドレス情報を保存した場所と一致するポート番号に置き換えます。この時点で、ルータの IP アドレスとともに、コンピュータのルーティング不能 IP アドレスとポート番号とのマッピングが変換テーブルに作成されます。

• 宛先コンピュータからパケットが戻ってくると、ルータはパケットの宛先ポートをチェックします。続いてアドレス変換テーブルを参照し、そのパケットがスタブ ドメイン上のどのコンピュータのものであるかを確認します。ルータは宛先アドレスと宛先ポートをアドレス変換テーブルに保存されているものに変更し、そのコンピュータにパケットを送信します。

• コンピュータはルータからのパケットを受信します。コンピュータが外部システムと通信している間、このプロセスが繰り返されます。

• NAT ルータのアドレス変換テーブルにはすでにコンピュータの送信元アドレスと送信元ポートが保存されているため、接続が持続している間は同じポート番号が使用されます。ルータがテーブルのエントリにアクセスするたびにタイマーがリセットされます。再びエントリにアクセスする前にタイマーが時間切れになると、テーブルからエントリが削除されます。

スタブ ドメイン上のコンピュータが外部ネットワークからどのように見えるかを、次の表に示します。

前述したように、NAT ルータは各コンピュータの IP アドレスとポート番号をアドレス変換テーブルに保存します。続いて IP アドレスをルータ自身の登録済み IP アドレスに置き換え、ポート番号を、パケットの送信元コンピュータの、テーブル内でのエントリ位置に対応するポート番号に置き換えます。これにより、外部ネットワークでは、NAT ルータの IP アドレスと、ルータによって割り当てられたポート番号が各パケットの送信元コンピュータ情報として認識されます。

スタブ ドメイン上には、依然として専用の IP アドレスを使用しているコンピュータがある場合があります。ネットワーク上のどのコンピュータが NAT を必要としているかをルータに通知する IP アドレスのアクセス リストが作成可能です。他の IP アドレスはすべて、無変換のまま受け渡されます。

ルータがサポートする同時変換の数は、主にルータに搭載されている Dynamic Random Access Memory（DRAM; ダイナミック ランダムアクセス メモリ）の量によって決まります。しかし、アドレス変換テーブルの標準的なエントリのサイズはおよそ 160 バイトであるため、4 MB の DRAM を搭載したルータであれば、理論的には 26,214 の同時変換が可能です。これはほとんどのアプリケーションにとって十分な数です。

IANA は、実際には、ルーティング不能な内部ネットワーク アドレスとして使用するために特定の範囲の IP アドレスを確保しています。これらのアドレスは未登録と見なされます（詳細は、これらのアドレス範囲を定義している『RFC 1918: Address Allocation for Private Internets』 を参照してください）。つまり、これらのアドレスの所有権を主張し、パブリック コンピュータ上でそのアドレスを使用する企業や代理店は存在していないということです。こうしたネットワークは私的使用を意味し、Outside への告知は想定されていないため、ルータはパケットを未登録のアドレスへは転送しません。そのため、未登録アドレスのコンピュータからのパケットは、登録済みアドレスの宛先コンピュータに到達できますが、その応答は到達した最初のルータによって廃棄されます。

ネットワーキングに使用される IP アドレスには 3 つのクラスがあり、それぞれの範囲は次のとおりです。

• 範囲 1 はクラス A 用です：10.0.0.0 〜 10.255.255.255

• 範囲 2 はクラス B 用です：172.16.0.0 〜 172.31.255.255

• 範囲 3 はクラス C 用です：192.168.0.0 〜 192.168.255.255

各範囲は異なるクラスに属しますが、内部ネットワークでは必ずしも特定の範囲を使用する必要はありません。ただし、IP アドレスが競合する可能性が小さくなるため、特定の範囲を使用するのが優れた実践例です。

セキュリティと管理

ダイナミック NAT を自動実装すると、使用している内部ネットワークと外部ネットワークまたはインターネット間に、ファイウォールが構築されます。ダイナミック NAT では、スタブ ドメイン内から発生した接続しか許可されません。基本的にこれは、内部ネットワーク上のコンピュータから通信を開始しない限り、外部ネットワーク上のコンピュータは内部ネットワーク上のコンピュータに接続できないことを意味します。そのため、内部ネットワークからはインターネットをブラウズし、サイトに接続できるほか、ファイルをダウンロードすることもできます。しかし、他者が内部のコンピュータの IP アドレスを取得することはまったくできず、それを使用して内部のコンピュータのポートに接続することもできません。

スタティック NAT（着信マッピングとも呼ばれる）では、特定の状況において、外部デバイスがスタブ ドメイン上のコンピュータへの接続を開始できます。たとえば、Inside グローバル アドレスを、使用している Web サーバに割り当てられた特定の Inside ローカル アドレスにマッピングする場合などです。

NAT ルータの中には、広範なフィルタリングとトラフィック ロギングの機能を備えているものがあります。フィルタリングを使用すれば、従業員がどんなタイプの Web サイトにアクセスしてよいかを制御できるため、問題のある Web ページの閲覧を禁止できます。トラフィック ロギングを使用すれば、アクセス先のサイトを記録したログ ファイルが作成され、そのログ ファイルから各種レポートを生成できます。

ネットワーク アドレス変換はプロキシ サーバと混同されることがありますが、両者には明確な違いがあります。NAT は送信元コンピュータと宛先コンピュータに対して透過的です。どちらのコンピュータも、第 3 のデバイスとやり取りしているとは意識しません。しかし、プロキシ サーバは透過的ではありません。送信元コンピュータは、自身がプロキシ サーバに要求を発行していることを認識しており、またそうするように設定されている必要があります。宛先コンピュータは、プロキシ サーバが送信元コンピュータであると認識し、プロキシ サーバと直接やり取りします。また、一般にプロキシ サーバは OSI 参照モデルのレイヤ 4（トランスポート）以上の層で動作するのに対し、NAT はレイヤ 3（ネットワーク）プロトコルです。上位の層で動作するため、ほとんどの場合、プロキシ サーバは NAT デバイスよりも処理速度が遅くなります。

NAT の真の利点はネットワーク管理の面ではっきりと現れます。たとえば、Web サーバや FTP サーバを別のホスト コンピュータに移動する際にも、リンクの切断を心配する必要がありません。着信マッピングをルータの新しい Inside のローカル アドレスに変更するだけで、新しいホストが有効になります。また、ルータに属しているアドレス、またはグローバル アドレス プールから割り当てられるアドレスは外部 IP アドレスだけであるため、内部ネットワークを容易に変更できます。

NAT と DHCP は自然な形で調和しているため、スタブ ドメイン用に未登録 IP アドレスの範囲を選択して、DHCP サーバにより、必要に応じてそれらの IP アドレスを配布できます。また、ニーズの増加に伴うネットワークの拡張も格段に容易になります。IANA に追加の IP アドレスを申請する必要はありません。DHCP で設定されている使用可能な IP アドレスの範囲を増やすだけで、ネットワーク上に追加したコンピュータ用のスペースをすぐに確保できます。

マルチホーミング

ビジネスにおけるインターネットへの依存度がますます高まるにつれて、インターネットへの接続ポイントを複数持つことがネットワーク戦略の不可欠な要素として急速に注目を集めています。マルチホーミングと呼ばれる複数の接続を利用すれば、接続の 1 つに障害が発生した場合でも、致命的な停止が起こる可能性が小さくなります。

マルチホーミングを使用すると、企業は信頼できる接続の維持に加え、1 つの接続を介してインターネットに接続するコンピュータの数を減らすことによってロード バランシングを実行できます。複数の接続を通じて負荷を分散させると、パフォーマンスが最適化され、待ち時間を大幅に短縮できます。

マルチホーム ネットワークは、多くの場合、複数の異なる Internet Service Provider（ISP; インターネット サービス プロバイダー）に接続されます。各 ISP は顧客企業に IP アドレス（または IP アドレスの範囲）を割り当てます。ルータは Border Gateway Protocol（BGP; ボーダーゲートウェイ プロトコル）（TCP/IP プロトコル群の一部）を使用して、異なるプロトコルを使用するネットワーク間のルーティングを行います。マルチホーム ネットワークでは、ルータはスタブ ドメイン側で Internal Border Gateway Protocol（IBGP）を使用し、他のルータとの通信には External Border Gateway Protocol（EBGP）を使用します。マルチホーミングと NAT を併用した場合、NAT ルータは、異なる ISP によって割り当てられた、Inside グローバル アドレスの複数のプールを使って設定されます。トラフィックを送信先にルーティングするプロバイダーに応じて、同じ Inside ローカル アドレスを、設定されたプールからの複数の Inside グローバル アドレスにマッピングする必要があります。これは宛先別 NAT と呼ばれています。詳細は、『NAT：スタティック変換によりルート マップを使用する機能』を参照してください。

マルチホーミングは、実際には ISP への接続の 1 つに障害が発生した場合に効果を発揮します。その ISP に接続するように設定されたルータは、接続がダウンしていることを検出すると同時に、すべてのデータを、他のルータのいずれかを経由するように再ルーティングします。

NAT を使用することで、マルチホームされたマルチプロバイダー接続に対するスケーラブル ルーティングを容易に実行できます。

Cisco サポート コミュニティ - 特集対話

関連情報

• ネットワーク アドレス変換の設定：スタートアップ ガイド
• Cisco IOS ネットワーク アドレス変換（英語）
• Cisco IOS ネットワーク アドレス変換の概要（英語）
• IP アドレスの設定（英語）
• 重複ネットワークでの NAT の使用
• NAT の処理順序
• インターネット プロトコル ジャーナル：NAT に関する問題（英語）
• RFC 1631: The IP Network Address Translator (NAT)
• RFC 1918: Address Allocation for Private Internets
• KnowledgeShare - White Papers: Network Address Translation FAQ
• NAT Technical Discussion
• テクニカルサポートとドキュメント：シスコシステムズ