実務でネットワーク構成について学んだこと

こんにちは、大人気男性アイドルグループSnowManの目黒蓮と年も生年月日も全く同じHESの川添です。
今回は、実際の顧客対応を通じて学んだネットワークの話をまとめてみたいと思います。私は普段はデータセンタ業務に携わっており、サーバやストレージの機器手配を行ったり、ハウジング案件にも関わったりしております。

背景と発端

あるハウジング案件で、顧客から「/24のIPアドレスを払い出してほしい」と依頼があり、私たちはその通りにIPアドレス（10.178.182.0/24）を確保・割り当てしました。
しかしその後、顧客側でのネットワーク構成調整により、「/27のサイズで十分だった」との連絡がありました。とはいえ、私たちは/24の前提で見積もり・契約を行っており、顧客にもその点をご理解いただき、機器設定上もマスク長は/24で設定いただくようお願いしました。

/24と/27で使えるIP数の違い

IPアドレスの末尾（ホスト部）のビット数によって、実際に使えるIPの数は異なります。
/24（ホスト部：8ビット） → 2^8 - 2 = 254個 のIPが利用可能
/27（ホスト部：5ビット） → 2^5 - 2 = 30個 のIPが利用可能
※「-2」しているのは、ネットワークアドレス（すべて0）とブロードキャストアドレス（それぞれ1つずつアドレスが消費される）のアドレス分を差し引いています。

1. 【図解】サブネットマスクとは？初心者向けに分かりやすく３分で解説（参照：2025-07-17）
2. サブネットマスク計算（参照：2025-07-17）

顧客はIPアドレスを多めに見越して見積したが、実際には使わないことがわかったがすでにその数ですでに注文していたため多めの費用がしょうがなく発生することになりました。

ハウジング作業実施日

ハウジング作業実施日はこちらが提供しているネットワーク環境と顧客が用意したパブリッククラウド
の対応機器のPING確認ができず急遽リスケになりました。
その後、顧客から以下のような連絡が来ました。

パブリッククラウド側のファイアーウォールにてNATを設定し、AWS側と通信するが、ARPを応答できないためルート情報の設定が必要です。
実際には10.178.182.8/29・10.178.182.16/29・10.178.182.24/29を10.178.182.4へ送信するルート情報を設定して欲しい。この設定がないと対向機器へのPING確認もできない
そのため、データセンター側でスタティックルートを設定してもらいたい。

当初、私は「パブリッククラウド側のファイアウォールでNATを設定しているため、ARPに応答できない構成になっている」と理解していました。
しかし先輩社員から「NATを行っているのはファイアウォールではなく、実際にはルータやL3スイッチなどのデフォルトゲートウェイの役割をしている機器であることが多い」と指摘を受けました。
調べてみると、ファイアウォールの主な役割はパケットの通過を制御することであり、IP変換（NAT）やARP応答のような処理は、ルータなどの役割であるということがわかりました。

• デフォルトゲートウェイ：ネットワーク外への通信を中継するルータなどのこと。各機器は、目的地が不明な通信をこのゲートウェイへ送る。

3. デフォルトゲートウェイ（参照：2025-07-17）

• ファイヤーウォール
  ファイアウォールは、外部から送られてくるパケット（ネットワークを流れるひとかたまりのデータ）の情報から、社内ネットワークへの通過を許可するか遮断するかという判断をします。不正なアクセスであると判断した場合には、通過を拒否し、管理者に通報します。

4. ファイアウォール(Fire Wall)とは? 設定方法､しくみや種類を簡単に解説（参照：2025-07-17）

NATとARPとスタティックルート

今回は、実際の構成トラブルを通じて学んだ「NAT配下でARPができない理由」について、自分なりに整理してみました。

1. そもそもARPとは？

ARP（Address Resolution Protocol）は、
「IPアドレス」から「MACアドレス（機器固有のアドレス）」を調べるための仕組みです。
たとえば、あるPCが「192.168.1.10 にデータを送りたい」と思ったとき、
その宛先のMACアドレスが分からなければデータを送れません。
そこでPCはこうします:
「このネットワークにいる 192.168.1.10 さん、あなたのMACアドレスを教えてください！」というARPリクエスト（ブロードキャスト通信）をネットワークに投げます。
5) ARPとは（参照：2025-07-17）

2.EthernetとL2の制限

ARPリクエストは「Ethernetフレーム（L2）」という形式で送られます。
EthernetフレームはルータなどのL3機器（ネットワークの境界）を越えることができません。
つまり、ARPリクエストは同じネットワークセグメント内にしか届かない。

イーサネットフレーム（Ethernetフレーム）とは: イーサネットって規格に従って通信するときにやり取りされるデータのこと。LANで使われる通信の仕組み（プロトコル）の1つ。「どんな形でデータを送るか？」という決まりごとです。
イーサネット（Ethernet）とは:LANに採用されている通信規格でありLANで使われる「物」に関する決まり事。
L2（レイヤ2）とはOSI参照モデルの第2層（データリンク層）のこと。
この層ではMACアドレスを使って通信相手を判断します。

6. イーサネットフレーム（Ethernetフレーム）（参照：2025-07-17）
7. イーサネット（Ethernet）（参照：2025-07-17）
8. IPアドレスからMACアドレスを調べるARPはどこまで有効？（参照：2025-07-17）

3.NAT配下ではなぜARPできない？

ここで、NAT（Network Address Translation） の話に入ります。

NATとは：プライベートIPアドレスとグローバルIPアドレスを相互に変換する仕組み
つまり、NATの背後にある機器の「本当のIP」や「MACアドレス」は外部から見えないようにされています。このとき、ARPはどうなるか？

• 外部ネットワークから見ると、NAT配下の機器のIPは「NAT後のIP」
• しかし、ARPはNAT後のIPのMACアドレスを知る術がない
• さらに、ARPリクエストはL2通信なので、ルータを越えて届かない
  このため、NAT配下の機器に対してARPが通らず、通信が成立しないことがあるというわけです。

9. IPアドレスからMACアドレスを調べるARPはどこまで有効？（参照：2025-07-17）
10. arp　同じLAN内にある機器の一覧を確認する、基本コマンド（参照：2025-07-17）

4.対応策：スタティックルートの設定

ARPでMACアドレスが取得できない場合でも、通信が必要なときは「スタティックルート」で解決します。こうすることで、ARPに頼らずに通信を成立させることができます。

スタティックルートとは：特定のIPアドレス帯に対する通信を、どのゲートウェイ（中継先）に送るかを明示的に設定すること

実際に設定が必要だったルート

顧客からの具体的な指示はこうでした：
以下の3つのネットワーク（/29）に対して、すべて 10.178.182.4 宛にルーティングしてほしい

10.178.182.8/29
10.178.182.16/29
10.178.182.24/29

この3つの/29ネットワークは、それぞれ使えるIPが6個（2^3 - 2）ずつ、合計18個のIPです。
ルーターなどのネットワーク機器では、これらの通信が発生した際、ARPで解決できないため、
目的地が上記3つのいずれかのIPアドレスだったら、全部10.178.182.4に向けてね！
という明示的なルールが必要になる、ということでした。

自分の気づきと学び

• 「ARPができない理由」はEthernetフレームの性質とネットワークの境界を越えれないことにあった
• NATがあることでIPが変わる → 本来のMACにたどり着けないのも納得
• 通信経路の設計ではARPやL2/L3の知識が必須だと感じた

まとめ

今回、実際の顧客対応を通して「NAT配下ではARPできない → スタティックルートが必要」という現場ならではの課題に触れられたのは大きな学びでした。
実際の構成や要件、背景があることで「なぜそうするのか？」が理解できるようになったと感じています。
今後も、こうした実際のやりとりを通して「知識」だけでなく「現場の感覚」も身につけていきたいと思います。