0-1:プライベートアドレスとグローバルアドレス

インターネット用に割り振られたIPアドレスをグローバルアドレスといい、LAN用に割り振られたIPアドレスをプライベートアドレスという。グローバルアドレスは世界中で唯一の番号なのだが、プライベートアドレスには、それぞれの内部ネットワーク(LAN)で好き勝手なアドレスを(外部ネットワークに接続されたLAN内ではプライベートアドレスの付け方にも一応の作法があるが)使えるため、あちこちの会社や学校で同じ番号を使っている。そのため、LANに接続された計算機からインターネットを利用する場合は、プライベートアドレスをグローバルアドレスに変換する必要がある。このしくみをNATという。ただしNAT の場合は、ひとつのプライベートアドレスに対して、ひとつのグローバルアドレスを対応させるため、多少の不都合もある。たとえば個人宅で、数台の計算機をつないで簡易LANを組んでいる。そして、どの計算機からもダイヤルアップ接続でインターネットを使いたい。しかし、プロバイダーとの契約はひとつしかない。といった場合、NATだと同時に複数のパソコンからインターネットを利用できないので、NATではプライベートアドレスの数だけグローバルアドレスが必要なのであり、LANを構築することができない。そこで、グローバルアドレスが一つしか無くても、複数の計算機から同時にインターネットを利用できるIPマスカレードという技術を「ちゃんまるNET」では用いる事にする。(詳細については後述)

0-2:イノセントライクな実験者の保護？からの保護？

本館post-j『何がすばらしいのか』も参照のこと。というより殆んどこれ。
ネットワークにつながっている計算機の数が多ければ多いほどクラッカーの獲物がふえる。専攻サーバでは、来年度(2000年)から「情報実験」がはじまるが(初期の我々のように)計算機のセキュリティに気を使わない利用者もいるだろう。また、インターネット上で、それこそ『何も知らない』ために他のネットワークへ迷惑をかける可能性もある。そのような無垢な計算機使用者のために、LANをインターネットから遮断する必要がある。しかし、そのままでは内部からもwebを見れない。これは困る。そこで、外部から見ると、あたかも１台の計算機がインターネットにつながっているように振舞い、内部からは、それぞれの計算機がインターネットに飛び出せるようにしたい。そのためにFirewallサーバをたちあげ、IPマスカレードという技術を用いる。(詳細は後述)その結果として内部では様々なことを試験的に実装できる。サーバを立ち上げる練習もできる。また、LAN内で複数の計算機同士でファイルを共有できる。そのためのファイルサーバももちろんセキュリティが弱くてかまわない。『そもそも本来利便性と堅牢性（安全性）は相反するものであるが…』(post-j参照)

0-3:LANの御利益(まとめ？)

• その１：プライベートアドレスが自由に使える事(大計への申請が不必要?)
• その２：内部実験機の保護(セキュリティが甘くても良い。様々な事が試せる)

1:構築する将来のLANの構成

では、どの様なLANを構築するのか？電脳大飯店内の全ての機械を内部ネットワークにしてしまうのか。…高度に政治的な判断の結果、テーブル毎に一台ルータを立ち上げ、同じテーブルの残りの計算機をそのルータに接続する事になった。つまり、８台のルータを立ち上げる事となった。(右図のとおり) その理由は以下に述べる通りである。

後進の教育

先代、先々代までのepnetfanな人々の努力により専攻サーバ群は、今のところ無難に稼働している。しかし、将来はどうであろうか？現状を維持できるのだろうか？…つまるところ管理者が不足するのではなかろうか？。この問題を打開すべく複数台のルータを立ち上げる。これは、将来の管理者が立ち上げる事となる。さらに、そのルータを情報実験での範となる計算機に作り上げてもらう。つまり、管理者の修行の場としてLANを構築するのである。何よりもまず、これが最大の目的である。

2:ちゃんまるNETに用いる技術

EPNetFan『TCP/IP ってなんやねんツー』の「OSI基本参照モデル」の項も参照のこと。
ネットワーク上を流れるデータを他のネットワークに中継する機器。
OSI基本参照モデルでいうネットワーク層(第3層)やトランスポート層(第4層)の一部のプロトコルを解析して転送を行う。
ネットワーク層のアドレスを見て、どの経路を通して転送すべきかを判断する経路選択機能を持つ。
また、自分の対応しているプロトコル以外のデータはすべて破棄する。
複数のプロトコルに対応したルータをマルチプロトコルルータと呼ぶ。

1. IPパケットのヘッダから送信先アドレスを取り出す。
   
2. 送信先アドレスとルーティングテーブルの各エントリ中のプレフィクスとを比べる。
   比較はデスティネーションアドレスの先頭からプレフィクスの長さ分のビット列を取り出した上で行う。
   
3. マッチしたもののうち最も長いビット長を持つプレフィクスを持つエントリを選ぶ。
4. 選んだエントリのNextHopフィールドに示されがアドレスに対して、IPパケットを転送する。

2-1-1: ルーティングテーブル

2-1-2: ルータの具体的な作り方。

参考1: IPアドレスの仕組み。

インターネット上では、すべてのデータは適当な大きさに分割され、 IPパケットに格納されて運ばれる。
分割されたパケットには、配送を制御するための情報が、ヘッダと呼ばれる部分に格納される。
ヘッダに含まれる情報でいちばん大事なのが、パケットを送り出したホストとパケットを届ける相手のホストのそれぞれのIPアドレス。
現在一般的なIPv4という規約では、32ビットの数値で表現される。

参考2: ネットワークアドレスと、ホストアドレス、サブネットアドレス。

IPアドレスは、ネットワークアドレスと、ホストアドレスという部分で構成されている。
ネットワークアドレスを表わす時、 192.168.100.0/24 という記述をする事がある。
先頭の24ビットをネットアドレスとして使っている、という指定である。
ホストアドレスのうち、上位の桁を仮想的なネットワークアドレスとして利用する。これを、サブネットアドレスと呼ぶ。
二進数で表わせば、
11000000.10101000.01100100.00000000
ネットワークアドレス サブネットアドレス ホストアドレス

IP マスカレードによるパケットの置き換えの図。
IP マスカレードは、LAN内部からのパケットの送信元アドレスをルータのグローバルアドレスに変換すると同時に、ポート番号も変換する。この時のポート番号は、その時空いている、適当な番号を割り振る。書き換える前のアドレス&ポート番号と、書き換えた後のアドレス&ポート番号をペアにしてある種のテーブルとして記憶しておく。
そして、インターネットからの応答パケットが届くと、応答パケットのポート番号と 一致する物が無いか、テーブルを調べる。
一致するものがあれば、それに対応したプライベートアドレスと、ポート番号に戻して、LANに向けて流す。その後、テーブルから、エントリを削除する。 以上のようにして、何事もなかったかのようにルータの内外でパケットのやりとりがなされる。

2-2-2: DeleGate

参考3: Proxy

内部ネットワークとインターネットの境にあって、直接インターネットに接続できない内部ネットワークのコンピュータに代わって、「代理」としてインターネットとの接続を行うコンピュータのこと。また、そのための機能を実現するソフトウェア。
NATやIP Masqueradeと違って、クライアントソフトウェアの方にプロキシを使うことを設定しないと利用することができない。
WWWを利用するためのHTTPプロキシの中には、外部との回線の負荷を軽減するために、一度読みこんだファイルをしばらく自ら保存しておくキャッシュ機能を持ったものもある。DeleGate は、Proxy サーバを運営管理するソフトウェアの一つである。(!)

2-3: DHCPサーバ

サーバーが持っているＩＰアドレス等の情報をクライアントに一定期間貸し出す。
設定の変更をサーバが自動で行うので、ユーザの負担や失敗が減る。
クライアントの負担が減るという事は、サーバに負担がかかっているという事である。
IPアドレスが動的に割り当てられるので、アクセスポイントが頻繁に変わる ノートPCな人には恩恵がある。その分クライアント側もdhcpcdを導入するなどして設定しなければならない。
二年生のためには、スタティックなアドレスを割り振る。DHCPを使うとIPアドレスの役割などが気にならなくなって勉強にならないから、使わせないようにする。

2-3-1: DHCPサーバの具体的な作り方。