PR
松本直人/ネットワークバリューコンポネンツ ニュービジネスチーム

 キャリア・グレードNAT装置は,ルーターなど他の通信機器と異なる性質を持ちます。それは,大量のユーザーとサーバー間の通信を仲立ちしていることです。インターネット上のユーザーからは,「ポート番号が大量に開いた複数のサーバー」のように見えるわけです。

 このような特性から,キャリア・グレードNATはDDoS(distributed denial of service)攻撃などの標的になりやすいとも言われています(図1)。利用者が大量におりダウンさせられないシステムですので,今後プロバイダなどの事業者がキャリア・グレードNAT装置を大規模に展開する際のサービス妨害や攻撃への対策は不可欠だといえます。

図1●キャリア・グレードNAT装置はポート番号が大量に開いた複数のサーバーのようなもの
図1●キャリア・グレードNAT装置はポート番号が大量に開いた複数のサーバーのようなもの
多くのユーザーが使うため,落とすわけにはいかない。そのためDDoS対策が必要になる。

ユーザーからのアクセス集中への対処も必要

 「セッション・バースト」という現象に対処することも必要です。セッション・バーストは,ネットワークが一時的な切断から回復した際,あるいはユーザーのPPPoEを終端する「コンセントレータ」という装置が一時的な通信遮断状態から回復した際に,キャリア・グレードNAT装置に一気にユーザーからのアクセスが集中することです(図2)。過負荷になるといった影響が考えられます。

図2●キャリア・グレードNATで起こる可能性がある「セッション・バースト」の概要
図2●キャリア・グレードNATで起こる可能性がある「セッション・バースト」の概要
例えば,ユーザーのアクセスを集約するコンセントレータに一時的な障害が発生して回復したときに,キャリア・グレードNAT装置にアクセスが集中することが考えられる。

 本連載の第4回で触れましたが,キャリア・グレードNAT装置は一気に押し寄せるユーザー・トラフィックをすべてNAT処理し,セッション・テーブルを構築していきます。そのため膨大な作業負荷がかかります。それに加えセッション・バースト対策も考慮すると,キャリア・グレードNAT装置でセッションを作る性能は,さらに向上させていかなくてはならないでしょう。

帯域制御や利用ユーザー数の削減で対応

 それでは,DDoS攻撃やセッション・バーストには,どのように対処すればよいのでしょうか。この問題は,集中するトラフィックの輻輳(ふくそう)を制御することによって改善されることが知られています。例えば,キャリア・グレードNATを通過するすべてのパケット,それからすべてのユーザーの通信に適切に帯域制御を実施することで,問題を小さくできると考えられます。これらの制限は,通信事業者が検討したうえで必要と判断した場合に実施することになるでしょう。制限とは別に,1台のキャリア・グレードNAT装置に集約されるユーザーの規模を少なくすることで,影響範囲を小さくするという手法も考えられます。

 さて次回は,キャリア・グレードNATのサービスが始まったときに,ユーザーとしてどのような選択をすべきかを考えてみることにします。


松本直人 (まつもと なおと)
ネットワークバリューコンポネンツ ニュービジネスチーム
1996年より特別第二種通信事業者のエンジニアとしてインターネット網整備に従事。その後システム・コンサルタント,ビジネス・コンサルタントを経て,2008年より株式会社ネットワークバリューコンポネンツにて新規ビジネス開発を担当。技術開発からビジネス構築までを一気通貫で担当する。システム延命技術の研究開発に取り組む「仮想化インフラ・オペレータズグループ(VIOPS)」発起人のひとりでもある。