ADHDの転職と資格取得

【図解&早見表】送信元・宛先IPアドレスの書き換え完全ガイド|NAT・VRRP・プロキシ17技術を一挙解説

「このパケット、いったい誰から誰へ届くことになっているんだろう?
応用情報技術者試験やネットワークスペシャリストの問題では、キャプチャ図を示し「①〜③に入る IP アドレスを答えよ」という設問が定番です。ところが NAT/NAPT や VRRP をはじめとするさまざまな機能が入り混じると、送信元(src)・送信先(dst)ともに何度も書き換わり、頭がこんがらがる──そんな経験はありませんか?

さらに混乱を招くのが MAC アドレス の存在です。IP レイヤではアドレスが不変でも、同じ区間で L2 の送信元/宛先 MAC が変わるケースは日常茶飯事。ARP や VLAN、トンネル終端装置などが関わると「IP はそのまま、でもイーサの宛先が別」という二重構造になります。

本記事では、

  1. IP アドレス変遷 を問う代表的な 17 技術を 5 カテゴリに分類
  2. MAC アドレスが関係する代表パターン も併せて整理
  3. すべてを テキスト図・早見表 で俯瞰

という流れで、「どの層で何が書き換わるのか」 を視覚的に理解できるようにまとめました。これを読めば、キャプチャ問題で空欄に迷わないだけでなく、現場トラブルシュートでも「いま見るべきヘッダ」が素早く判断できるようになります。

目次

1. 基礎知識とわかりやすい解説

# カテゴリ 主な技術例 IP 変化 MAC 変化 主な試験出題点
変換 (Translation) NAT/NAPT, CGNAT, NAT64 送信元・宛先とも書換あり 区間ごとに再解決 変換前後の対応表
冗長化 (Redundancy) VRRP, HSRP, GLBP IP=仮想IPで固定 仮想MACが切替 マスタ切替時の src 判定
代理 (Proxy) フォワード/リバースプロキシ, L7 LB クライアント/サーバ間で宛先が変化 再転送時に新 MAC HTTP CONNECT 例外
トンネル/オーバレイ GRE, IPsec, VxLAN, SSL-VPN 外側 IP は別
内側は保持		 外側ヘッダの MAC が変化 二重ヘッダの区別
制御・診断 DHCP, ARP/NDP, ICMP 要求/応答で特殊 IP ブロードキャスト MAC など 0.0.0.0 → 255.255.255.255

ASCII ライクな図解(送信元 IP/宛先 IP・MAC の変遷)

┌──────────────────────────────┐
│① 変換(NAT / NAPT)          │
│ 送信元IPが書き換わる例        │
├──────────────────────────────┤
│[クライアント] 192.168.0.10                     │
│        │ 送信  (src 192.168.0.10 → 203.0.113.5)│
│        ▼                                        │
│[NAT装置]   203.0.113.5                         │
│        │ 転送 (dst 198.51.100.20 のまま)       │
│        ▼                                        │
│[サーバ]     198.51.100.20                      │
└──────────────────────────────┘

┌──────────────────────────────┐
│② 冗長化(VRRP)               │
│ 宛先IPは仮想IP、MACが切り替わる │
├──────────────────────────────┤
│[ホストPC]                                        │
│   │ 宛先IP 10.0.0.1 / 宛先MAC 00:00:5E:00:01:01 │
│   ▼                                              │
│[現マスター] 10.0.0.253                          │
│   │ フェイルオーバ後                            │
│   ▼                                              │
│[新マスター] 10.0.0.254 (仮想MACを引継ぎ)        │
└──────────────────────────────┘

┌──────────────────────────────┐
│③ 代理(リバースプロキシ)      │
│ クライアントとサーバで宛先IPが変わる │
├──────────────────────────────┤
│[ブラウザ]  →(宛先) プロキシIP                      │
│[プロキシ]  →(宛先) アプリサーバIP                │
└──────────────────────────────┘

┌──────────────────────────────┐
│④ トンネル(GRE / IPsec)      │
│ 「外側ヘッダ」と「内側ヘッダ」が別 │
├──────────────────────────────┤
│[エンドポイント] —— (内側: src 10.1.1.1 dst 10.2.2.2)   │
│         │ 包装                                          │
│         ▼                                              │
│[GRE GW] —— (外側: src 203.0.113.10 dst 203.0.113.20)   │
└──────────────────────────────┘

┌──────────────────────────────┐
│⑤ 診断(ICMP/Traceroute)       │
│ TTL 超過応答の送信元が変わる     │
├──────────────────────────────┤
│[Traceroute] → (TTL=1) → [Router]                      │
│             ← (ICMP Time Exceeded, src: Router IP)    │
└──────────────────────────────┘

2. 過去の出題例と解説

ねらい:実際の試験で「送信元 IP/宛先 IP を答えよ」と問われた代表問題を 3 題ピックアップし、空欄を埋める思考プロセス を示します。自分で手を動かして図を追うことで、区間ごとの書き換えポイントが定着します。

2-1 令和6年秋 ネットワークスペシャリスト 午前 問14
テーマ:NAPT+Traceroute

┌── 内部 PC ──┐
│src 192.168.1.10│
│dst 198.51.100.20│
└────┬────┘
     ▼ (TTL=1)
┌─ NAPT ルータ ─┐
│変換後 src → 203.0.113.5│
│ICMP Time Exceeded: src 203.0.113.5│
└────┬────┘
     ▼
┌─ 公開サーバ ─┐
│dst 198.51.100.20│
└─────────┘

解き方メモ

  1. Traceroute は “応答 ICMP の 送信元 が区間の機器 IP” と覚える。
  2. NAPT 後は src がグローバル(203.0.113.5) に変化。
  3. ICMP の src も同じく 203.0.113.5
空欄 正答
① TTL 超過 ICMP の送信元 203.0.113.5
② NAPT 後の送信元 IP 203.0.113.5

2-2 令和5年春 応用情報技術者 午前 問37
テーマ:VRRP フェイルオーバ

      ┌─ 予備ルータ (10.0.0.254) ┐
      │  仮想 IP 10.0.0.1        │
      └───────────┬─────┘
                   ▼
┌── スイッチ ──┐  ← 宛先 MAC 00:00:5E:00:01:01
│               │
└── PC (10.0.0.10)
空欄 正答
(1) マスター切替前 ARP 要求の宛先 MAC 00:00:5E:00:01:01
(2) 切替後パケットの宛先 MAC 00:00:5E:00:01:01

ポイント:VRRP は IP は固定(10.0.0.1)/MAC は仮想 MAC。切替後も PC は同じ仮想 MAC へ送信します。

2-3 平成31年春 ネットワークスペシャリスト 午後Ⅰ 問2
テーマ:リバースプロキシ+L4ロードバランサ

ブラウザ → 203.0.113.100 (Reverse Proxy)
                 │
                 ▼
          ┌──── L4 LB ────┐
          │VIP 10.1.0.1    │
          └─┬──────┬──────┘
            ▼      ▼
        Web1     Web2
        10.1.0.11 10.1.0.12
区間 src IP dst IP src MAC (概念) dst MAC
ブラウザ → Proxy 192.0.2.5 203.0.113.100 PC Proxy
Proxy → LB 203.0.113.100 10.1.0.1 Proxy LB
LB → Web1 (例) 10.1.0.1 (VIP) 10.1.0.11 LB Web1

要点:

  • リバースプロキシ=「宛先を肩代わり」→ ブラウザから見える宛先は Proxy の IP。
  • L4 LB は VIP を送信元にしてバックエンドへ転送。
  • 「ブラウザから見た宛先 IP は?」なら 203.0.113.100
    「Web サーバが受け取る宛先 IP は?」なら 10.1.0.11 / 10.1.0.12

まとめ — 過去問を解くコツ

  1. 区間をブロック図に切り分け、src/dst を書き込む。
  2. IP と MAC を 別レイヤで追跡。VRRP のように「IP 不変/MAC 変化」パターンを見抜く。
  3. Traceroute・ICMP 問題では “応答パケットの送信元” を必ず確認

3. つまずきポイント徹底解説

ねらい:送信元/宛先 IP と MAC を追う際に受験者が陥りやすい 「罠」 を、原因→対策の流れで整理します。覚え違いが起きるパターンを先に知っておけば、試験本番でのケアレスミスを防げます。

3-1 「送信元だけ?宛先だけ?」――両方変わるパターンの見落とし

┌───── NAT64 GW ─────┐
│ 内側 IPv6: 2001:db8::a  | src 2001:db8::a │
│ 外側 IPv4: 203.0.113.5  | src 203.0.113.5 │
└──────────────┬──┘
               ▼
        ┌── 公開サーバ (198.51.100.20) ──┐
  • 原因:NAT64 は「IPv6↔IPv4 変換」で 送信元・宛先ともにアドレス族が変わる。IPv6→IPv4 の双方向通信で戻りパケットを誤答しやすい。
  • 対策:問題文に Prefix 64:ff9b::/96 のようなヒントがあれば「両方向とも変換あり」と即断する。

3-2 VRRP:IP 不変/MAC 変化を逆に覚える

[PC] → dstIP 10.0.0.1 / dstMAC 00:00:5E:00:01:01
                     │ (マスター切替)
                     ▼
           [新マスター] IP 10.0.0.254
  • 原因:「仮想 IP が動く」と思い込み、切替後に 10.0.0.254 を宛先にする誤答が頻発。
  • 対策:VRRP = Virtual IP は固定、MAC が移動 と語呂で暗記。宛先 IP は常に 10.0.0.1

3-3 プロキシ経由のレスポンス経路を取り違える

[ブラウザ]                    [Webアプリ]
  │      HTTP REQUEST            │
  ▼                              │
[リバースプロキシ]────→(内部転送)
  ▲                              │
  │      HTTP RESPONSE           │
  • 原因:「レスポンスはサーバからクライアントへ直帰」と思い込み、プロキシを無視する回答。
  • 対策:HTTPヘッダの X-Forwarded-For が出たら「応答もプロキシ経由」と即座に結び付ける

3-4 トンネル終端での MAC 再解決を忘れる

[送信元 PC] ── GRE ──► [終端GW] ─► [宛先サーバ]
        内側dstIP 10.2.2.2        ARP再解決!
  • 原因:「内側 IP のまま直接サーバへ届く」と誤認し、GW→サーバ間の MAC アドレスを書かない。
  • 対策:外側トンネルを剥がす=L3 再配送→L2 ARP/NDP 解決のワンステップを図に書き足す。

3-5 Traceroute:ICMP の送信元をルータではなく「宛先」と答える

[Traceroute] (TTL=1) ─► [Router]
               ◄─ ICMP Time Exceeded (src = Router IP)
  • 原因:「目的地サーバが応答する」と思い込み、Router の IP ではなくサーバ IP と回答。
  • 対策:Type 11 (Time Exceeded) を見たら必ず “ルータの IP” が送信元と条件反射。

まとめ ― 失点回避のチェックリスト

  1. 「両方変わる/片方変わる」を 必ず区別
  2. VRRP=IP 固定・MAC 可変、NAPT=両方向変換、Traceroute=ICMP src=ルータ。
  3. トンネル終端後は「ARP 解決→新 MAC」の 1 ステップを忘れない。

4. 今後の出題予想と例題

ねらい:最新シラバスや業界トレンドを踏まえ、次回以降の応用情報・高度 IT 試験で狙われそうなテーマを予測します。Anycast CDN や ゼロトラスト VPN など 「IP が動的に変わる/二重になる」 ケースを中心に、予想例題+模範解答 を用意しました。

4-1 予想テーマ一覧(2025〜2027 年度)

カテゴリ 具体トピック 狙われる観点
動的ルーティング Anycast CDN
マルチリージョン DNS Fail-over		 同一 IP が複数 POP に割当
TTL 超過 ICMP の送信元が変わる
トンネル拡張 SASE / Zero-Trust
SSL-VPN over QUIC		 外側 IP(SASE POP)と内側 IP(社内セグメント)の二重化
ポート番号の多段変換
IPv6 移行 NPTv6
464XLAT(NAT64+CLAT)		 送信元・宛先の が IPv4↔IPv6 で都度変換
サービスメッシュ Envoy / Istio Sidecar が L4/L7 プロキシとして宛先を書き換え

4-2 予想例題 ① ― Anycast CDN

【シナリオ】
  クライアントPC (192.0.2.10) が www.example.com を名前解決すると
  A レコードとして 203.0.113.1 が返る(Anycast)。
  実際には地域ごとに POP-A, POP-B があり、両方が 203.0.113.1 を広告。

  (1) クライアントが POP-A へ接続した際の TCP 3 Way-Handshake パケットの
      送信元 IP、送信先 IP を答えよ。
  (2) その後 POP-A で TTL=1 となり ICMP Time Exceeded が返る場合、
      ICMP の送信元 IP は何か。

模範解答と解説

空欄 正答 理由
(1) 送信元 IP 192.0.2.10 PC 自身のグローバル IP
(1) 宛先 IP 203.0.113.1 DNS が返した Anycast アドレス(POP-A/B 共通)
(2) ICMP 送信元 IP POP-A のルータ IP(例:203.0.113.12) TTL 超過応答は 区間のルータ が src になる

4-3 予想例題 ② ― ゼロトラスト VPN(SASE)

【シナリオ】
  リモート端末 (10.10.10.5) は SASE ポップ (198.51.100.50) へ
  TLS VPN を張り、社内サーバ (172.16.0.20) にアクセスする。

  (1) 端末 → SASE POP 間の「外側パケット」の送信元 IP と宛先 IP。
  (2) POP → 社内サーバ間の「内側パケット」の送信元 IP と宛先 IP。
  (3) 端末が受け取る戻りパケットの 送信元ポート番号 は、
      実際のサーバポートと同じか、異なるか?(同/異)

模範解答と解説

空欄 正答 理由
(1) 送信元 IP 10.10.10.5 端末のプライベート IP
(1) 宛先 IP 198.51.100.50 SASE POP の公開 IP(VPN 終端)
(2) 送信元 IP 10.10.10.5 POP でデカプセル後、内側ヘッダの src は端末 IP を保持
(2) 宛先 IP 172.16.0.20 社内サーバの IP
(3) 送信元ポート番号 POP で NAPT(Source Port Rewrite) が入るため

4-4 答え合わせ早見表

例題 区間 src IP dst IP 備考
Anycast CDN PC → POP-A 192.0.2.10 203.0.113.1
ICMP 応答 203.0.113.12 192.0.2.10 TTL Exceeded src=POP-A
SASE VPN 外側トンネル 10.10.10.5 198.51.100.50 TLS/443 等
内側パケット 10.10.10.5 172.16.0.20 社内セグメント

まとめ — 新傾向対策のポイント

  • Anycast:同一 IP が複数ノードで広告される → 「ICMP src は最寄り POP」 をセットで覚える。
  • SASE / ゼロトラスト VPN外側 IP ≠ 内側 IP の二重構造+NAPT が絡む。ポート番号の書き換え有無も確認。
  • NPTv6 & 464XLAT:IPv4↔IPv6 の族変換は “両方向か片方向か” を必ず問題文で確認。

5. 派生語・関連キーワード早見表

ねらい:本編で扱わなかったものの、試験で「用語だけ」聞かれやすい派生技術をピックアップ。
各キーワードについて 「送信元/宛先 IP・MAC がどこでどう変わるか」 を 1 行で示します。

# キーワード 区分 IP/MAC 変化ポイント(1 行まとめ)
1 CGNAT 変換 宅内→ISP 境界で src IP を共有グローバル に書換(ポート多重)。
2 NPTv6 変換 IPv6 プレフィックスのみ変換、ホスト部不変。双方向で src/dst が書換わる。
3 GENEVE トンネル 外側 UDP/IP ヘッダ追加。内側 IP は保持/外側 IP は GW 同士
4 DNS ラウンドロビン 冗長化 DNS 応答で 宛先 IP が都度変わる。実パケットは書換なし。
5 Anycast 冗長化 同一宛先 IP を複数ルータが広告。src/dst は変わらず、経路で POP が分岐
6 LISP(Locator/ID Sep) トンネル ID(内側 IP)と Locator(外側 IP)が分離。カプセル化区間で二重ヘッダ
7 PBR(ポリシーベースルーティング) 制御 IP は変化せず、送信元 IP で経路選択だけ変える。
8 SNAT / DNAT 変換 SNAT:送信元のみ書換/DNAT:宛先のみ書換。NAPT の単方向版。
9 QinQ(802.1ad) L2 拡張 VLAN タグ二重化。IP は不変/MAC も基本不変、L2 ヘッダが追加。
10 L4SLB 代理 VIP を 送信元 IP に採用 してバックエンドへ転送、宛先 IP が実サーバ。

まとめ ― 派生語対策ワンポイント

  • キーワードを見た瞬間に「IP が動くのか、動かないのか」を連想できるかが得点差。
  • 変換系(CGNAT/NPTv6)は「どちら向きが書き換わるか」、冗長化系(Anycast/DNS RR)は「経路だけ動く」点に留意。
  • トンネル系(GENEVE/LISP)は内側ヘッダ保持+外側ヘッダ追加が基本型。

6. まとめ

ネットワーク問題で「送信元 IP/宛先 IP(あるいは MAC)がどう変わるか」を問う設問は、パケットが通過する“機能”を理解すれば怖くありません。本記事の要点を最後にギュッと凝縮します。

6-1 暗記より“5 カテゴリ×変化パターン”の把握

  • 変換系(NAT/NAPT/CGNAT…)=IP が書き換わる
  • 冗長化系(VRRP/Anycast…)=IP は固定、MAC または経路が動く
  • 代理系(プロキシ/LB)=区間ごとに宛先 IP が変わる
  • トンネル系(GRE/IPsec/VxLAN…)=外側 IP が追加、内側 IP は保持
  • 制御・診断系(DHCP/ICMP)=特殊 IP/ブロードキャスト MAC が出現。

6-2 試験直前チェックリスト

  1. 問題文の図を区間に分け、各ヘッダを書き込みながら解く。
  2. IP と MAC を別レイヤで追う(特に VRRP・トンネル終端)。
  3. Traceroute/ICMP 問題は「応答の送信元=ルータ」を忘れない。
  4. DNS ラウンドロビン/Anycast は宛先 IP が動く or 経路が変わるだけで、ヘッダ書換は無し。
  5. 変換系は「どちら向きで書換わるか」を変換テーブルで確認する。

6-3 次に学ぶべき関連分野

  • IPv6 固有機能(SLAAC、Segment Routing、SRv6 Policy)
  • アプリ層プロキシ(gRPC Gateway、API Gateway)
  • ゼロトラスト・SASE(政策・実装ベストプラクティス)

6-4 総括

送信元/宛先アドレス問題は、「どの層で何が起きるか」を頭の中でレイヤ分離できれば、一問あたり 30 秒で正答が可能です。
最後にもう一度、機能を 5 カテゴリにマッピングし、自作の変換早見表をノートに貼っておきましょう。

―― Good luck & Happy Packet Tracing! ――

-ADHDの転職と資格取得