最後にIPアドレスの効率的な割り当てを見ていきます。実際に社内LANで行うことはあまりありませんが、WANサービスを利用する際に考慮するべき考え方となります。企業向けのインターネット接続サービスやIP-VPNなどのWANサービスを使うときは、社内LANでのIPアドレスの割り当てと違った知識が必要となります。つまり、少ないIPアドレスをどのように有効活用するかが必要となります。

グローバル・アドレス

社内でWebサーバやメールサーバなどの公開サーバを置く場合には、それらの機器にIPアドレスを割り当てなければいけません。公開サーバはインターネットに直接繋ぐことになりますので、グローバル・アドレスをプロバイダから割り当ててもらう必要があります。

プロバイダから割り当ててもらうグローバル・アドレスは、ある一定範囲（ブロック）のものを依頼します。つまり、１つだけということはありません。通常は、CIDR表記の「/30」といったサブネット・マスク構成のブロックで割り当てられます。

マスク1ビットでのIPアドレスの数の動向

さて、前頁のサブネットをもう一度復習します。192.168.0.0/24は、192.168.0.0～192.168.0.255の256個のIPアドレスのブロックになります。実際に割り当て可能な数は、これから2を引いた254個です。（192.168.0.0と192.168.0.255は使用不可）

では、サブネット・マスクの1ビットを1個増やして「/25」（255.255.255.128）とすると、ホスト部のほうは8ビットから7ビットに減ることになります。よって、1つのブロックで128個のIPアドレスになり、このうち機器に割り当てられる数は2を引いた126個となります。ここで分かるのが、サブネット・マスクの1ビットを増やすとアドレス・ブロックの大きさは半分になることです。このようなアドレス・ブロックを分割することを「サブネッティング」と言います。

このように考えていけば、192.168.0.0/28のアドレス・ブロックならIPアドレス数は16個、192.168.0.0/29なら8個、192.168.0.0/30なら4個となります。もちろん、いずれも機器に割り当てるのはこれらの数から2を引いたものとなります。

公開サーバへの割り当て

インターネットにサーバを公開するときのネットワーク構成を考えてみましょう。一般的なネットワーク構成は、インターネットにルーターでつなぎ、その内側にファイアウォールを置いて、ファイアウォールの公開セグメント（DMZ)にサーバを設定します。この構成の場合は、ルータとファイアウォールの間の部分と公開サーバを置く部分の2つのサブネットとなり、それぞれにグローバル・アドレスを割り当てます。

この構成では2つのサブネットができるので、プロバイダから取得したIPアドレスを半分に分ける必要があります。最初の例として100.100.100.0/28という16個のIPアドレスを取得したとします。

まず、2つのサブネットのために、取得したアドレス・ブロックを100.100.100.0/29と100.100.100.8/29に分けます。前述したとおり、アドレス・ブロックの最初と最後のアドレスは機器に割り当てられないので、このサブネット内の機器に割り当てられるIPアドレス数はそれぞれ6個になります。

ルータとファイアウォールを繋ぐ部分には、それぞれのインターフェイスに1個ずつ必要ですから、計2個あれば十分です。一方の公開サーバが設定しているセグメント（DMZ)は、1個をファイアウォールのインターフェイス側に割り当てるため、残りの5個に対してサーバに割り当てられます。つまり、インターネットに公開できるサーバの数は最大5台まで可能となります。

次に100.100.100.0/29のブロックを取得したときを考えて見ます。これも2つのサブネットのために半分に分割しなければなりません。そこで、100.100.100.0/30と100.100.100.4/30の2つに分けます。同じように最初と最後のアドレスは機器に割り当てられないので、ネットワーク機器に割り当てられるIPアドレスの数は2個となります。よって、公開できるサーバは1台のみとなります。一般的に、会社がサーバを公開するときはWebサーバ、メール・サーバ、DNSサーバなどを複数台公開します。これから分かるように、ファイアウォールを使って公開する場合は、少なくと/28のアドレス・ブロックを取得する必要があります。

IP-VPNの利用

IP-VPNサービスは、拠点が離れている企業同士を繋ぐときに利用されるWANサービスです。IP-VPNはインターネットを介さないので、セキュリティや通信品質を向上させることができます。IP-VPNの契約者は接続拠点とその拠点で使うサブネット情報を通信事業者に提出すると、IP-VPN網を構成しているルータにその企業のサブネット情報を登録してくれます。そうすることで、拠点同士のIP通信が可能となります。

通常、拠点ごとに/30という大きさのブロックが割り当てられます。これは、拠点に設置したルータと通信事業者のルータを繋ぐ部分にできるサブネットに割り当てるIPアドレスなります。ルータとルータに挟まれた部分に機器を設定しなくても、それも1つのサブネットとして構成されます。

IP-VPNの場合、/30を採用する理由は最も無駄のないIPアドレスを割り当てられるからです。/30のブロックでは、IPアドレスは4個となりますが、そこから利用できないアドレスを引くと2個となります。IP-VPNでは、企業側のルータと通信事業者のルータの2台にIPアドレスを割り当てることになるので、/30のブロックで事足りるのです。

IP-VPNの例を見ていきましょう。WAN側のアドレスとして10.10.0.0/30を取得したとすると、利用可能なIPアドレスは10.10.0.1と10.10.0.2の2つになります。この2つのIPアドレスを企業側のルータと通信事業者のルータに割り当てることになります。このようにルータ同士を1対1で繋ぐケースでは、/30のサブネット・マスクを使って機器にIPアドレスを割り当てることで、IPアドレスの節約ができることになります。

参考文献：日経NETWORK、日経Windowsプロ、IT用語辞典e-words