NATテーブルの管理(その1)

インターネットに接続する端末が増えてくると、インターネットへの接続が重く感じることが増えてきます。

以下のようなことが原因として考えられます。

  • NAT機能が扱えるセッション数の上限に近付いている。
  • ファイアウォール機能が扱えるセッション数の上限に近付いている。

代表的なYAMAHAルータのNATとファイアウォールのセッション数の上限は下表のようになっています。

機種NATファイアウォール
RTX10004,0962,000
RTX11004,0962,000
RTX120020,00020,000
RTX300040,00040,000

ここでは、NATのセッション数について考えていきます。

ネットワークの構成は、下図の通りです。

R1は、動的フィルタリングの設定を行っています。

●R1のコンフィグ

console prompt R1
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.1/24
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname (PPPoE接続ID) (PPPoE接続パスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp secure filter in 1 2
 ip pp secure filter out dynamic 1 2 3 4 10 11
 ip pp nat descriptor 1
 pp enable 1
ip filter 1 pass * * icmp * *
ip filter 2 reject * * * * *
ip filter 3 pass * * tcp * smtp,pop3
ip filter 4 pass * * tcp * ident
ip filter dynamic 1 * * domain
ip filter dynamic 2 * * www
ip filter dynamic 3 * * ftp
ip filter dynamic 4 * * filter 3 in 4
ip filter dynamic 10 * * tcp
ip filter dynamic 11 * * udp
nat descriptor type 1 masquerade
dns server pp 1
dns private address spoof on

NATのコネクション数を確認

ブラウザを起動します。

「Yahoo!」にアクセスし閲覧します。

Web管理画面に接続し、NATの状態を表示します。

常駐アプリケーションの数と種類にもよりますが、端末1台当たり、30~40セッション程度です。

NATテーブルをクリアします。

# clear nat descriptor interface dynamic pp 1

NATテーブルがクリアされて、0になります。

今度は、「Googleマップ」にアクセスし、アクセスし閲覧します。

端末1台当たり、60前後のセッションが使われていることが確認できます。

NATテーブルをクリアします。

# clear nat descriptor interface dynamic pp 1

今度は、「Amazon」にアクセスし、アクセスし閲覧します。

端末1台当たり、90前後のセッションが使われていることが確認できます。

NATテーブルをクリアします。

# clear nat descriptor interface dynamic pp 1

 今度は、動画サイトにアクセスします。代表的な動画サイト「YouTube」にアクセスして動画を1つ再生します。

端末1台当たり、80前後のセッションが使われていることが確認できます。

NATテーブルをクリアします。

# clear nat descriptor interface dynamic pp 1

それでは、「YouTube」の動画を5つぐらい再生してみます。

端末1台当たり、200を超えるセッションが使われています。

最近のブラウザはタブブラウザが主流です。

それでは、少しタブをたくさん増やして一生懸命にネットサーフィンをしてみて下さい。

端末1台当たり、軽く300~500のセッションが使われることになります。

 Skypeもありますし、各種アプリケーションのアップデートプログラムも常駐しています。最近のアプリケーションは、結構、たくさんのコネクションを利用してネットワークに接続しています。

 P2Pソフトウェアや分割ダウンロードソフトウェアは、ネットサーフィンより、たくさんのコネクションを浪費します。

 このように、一生懸命にネットサーフィンを行う端末が10台程度あるだけで、4,000セッションを使い切ってしまいます。P2Pソフトウェアや分割ダウンロードソフトウェアの利用があると場合によっては、1台だけでも端末が存在するだけで、ネットワークが不安定になってしまいます。

次の「NATテーブルの管理(その2)」では、NATを管理するコマンドについて紹介していきます。