RTシリーズのNATとIPマスカレードに関するFAQ

pingのパケットを観測する方法を教えてください。

[ 目次 ]

1. pingのしくみ
2. テスト環境
3. IPアドレスを指定してpingする…pingのパケットで発呼
4. DNS名を指定してpingする…DNSの問い合せで発呼

[ pingのしくみ ]

• しくみ

  pingは、通信が可能かどうか（到達可能性）を調べる機能で、 「Echo Request」のICMPパケットを相手に送信し、 「Echo Reply」のICMPパケットが戻ってきたら、 通信可能と判断します。 この時の「Echo Request」のICMPパケットを送信してから 「Echo Reply」のICMPパケットを受信するまでの 時間を測定して、応答時間(遅延時間)とします。

• プロトコル
  • Echo Request (エコー要求)

    ICMPメッセージのタイプ番号が8であるICMPパケット。
    正確には「ICMP Echo Request Message」と表記される
    

  • Echo Reply (エコー応答)

    ICMPメッセージのタイプ番号が0であるICMPパケット。
    正確には「ICMP Echo Reply Message」と表記される
    

  • ICMP…Internet Control Message Protocol(RFC792)

• pingパケットと応答時間の関係

    [ IP機器(A):ping要求側 ] ┃                    ┃ [ IP機器(B):ping応答側 ]
                             ┃                    ┃
  ・ICMP Echo Requestを発信し┃                    ┃
    時間測定を開始する       ┃                    ┃
    ↓                       ┃  ICMP Echo Request ┃
    ↓                       ┃  →→→→→→→→  ┃
    ↓                       ┃                    ┃・ICMP Echo Requestを受信
    ↓＜応答時間の測定中＞   ┃                    ┃　応答パケットである
    ↓                       ┃                    ┃  ICMP Echo Replyを送信
    ↓                       ┃  ICMP Echo Reply   ┃
    ↓                       ┃  ←←←←←←←←  ┃
  ・ICMP Echo Replyを受信する┃                    ┃
                             ┃                    ┃  
  ・測定した時間を応答時間と ┃                    ┃
    する                     ┃                    ┃
                             ┃                    ┃  
  

• DNS名を指定したときのping

    [ IP機器(A):ping要求側 ] ┃                    ┃ [ IP機器(B):DNSサーバ ]
                             ┃                    ┃
  ・ping相手のIPアドレスをDNS┃                    ┃
    名から調べる為DNSサーバに┃                    ┃
    問い合わせる             ┃                    ┃
                             ┃      DNS Query     ┃
                             ┃  →→→→→→→→  ┃
                             ┃                    ┃・DNSの問い合せに対して
                             ┃                    ┃  応答する
                             ┃    DNS Response    ┃
                             ┃  ←←←←←←←←  ┃
  ・ping相手のIPアドレスが判 ┃                    ┃
    明した。                 ┃                    ┃  
                             ┃ 
                             ┃ 
                             ┃                    ┃ [ IP機器(C):ping応答側 ]
  ・ICMP Echo Requestを発信し┃                    ┃
    時間測定を開始する       ┃                    ┃
    ↓                       ┃  ICMP Echo Request ┃
    ↓                       ┃  →→→→→→→→  ┃
    ↓                       ┃                    ┃・ICMP Echo Requestを受信
    ↓＜応答時間の測定中＞   ┃                    ┃　応答パケットである
    ↓                       ┃                    ┃  ICMP Echo Replyを送信
    ↓                       ┃  ICMP Echo Reply   ┃
    ↓                       ┃  ←←←←←←←←  ┃
  ・ICMP Echo Replyを受信する┃                    ┃
                             ┃                    ┃  
  ・測定した時間を応答時間と ┃                    ┃
    する                     ┃                    ┃
                             ┃                    ┃  
  

[ テスト環境 ]

• 環境条件
  • ダイヤルアップサーバとNAT&IPマスカレード機能を持ったルータを ISDN回線か、ISDN擬似交換機で接続
  • RT(A): RTシリーズ
  • RT(B): RTシリーズ…ログの採取にはRTA50i(Rev.3.03.29)を使用
  • IPホスト#A: サーバ…WebサーバやDNSサーバなど
  • IPホスト#B: ネットワーク端末…ログの採取には、Windows98を使用
  • アクセス回線: ISDN回線…ログの採取には、擬似交換機を使用

• 構成例

     +-------------+
     | IPホスト#A  | (www.rtpro.yamaha.co.jp)
     +------+------+
            | 133.176.200.51    133.176.200.0/24
     -------+-----------------------------------
            | 133.176.200.67
     +------+------+
     |    RT(A)    | (ダイヤルアップ・サーバ)
     +-------------+
            : 10/Celery
            :                     ISDN擬似交換機またはISDN回線
  　〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
            :
            : 20/Tomato
     +-------------+                             (133.176.200.68)
     |    RT(B)    | (端末型ダイヤルアップ)             ↑ IPマスカレード
     +------+------+                         192.168.0.1-192.168.0.254
            | 192.168.0.1         192.168.0.0/24
     -------+-----------------------------------
            | 192.168.0.2
     +------+------+
     | IPホスト#B  | (Windows98)
     +-------------+
  

• config例 (Rev.2系、Rev.3系)
  • RT(A)…端末型ダイヤルアップ・サーバ

    isdn local address 10/Celery
    ip lan address 133.176.200.67/24
    ip lan proxyarp on
    pp select anonymous
    ip pp remote address pool 133.176.200.68 133.176.200.69
    pp auth request chap-pap
    pp auth username test-user test-password
    ppp ipcp msext on
    pp enable anonymous
    dns server 133.176.200.51
    dns domain rtpro.yamaha.co.jp
    

  • RT(B)…端末型ダイヤルアップ・クライアント

    isdn local address 20/Tomato
    ip lan address 192.168.0.1/24
    pp select 1
    isdn remote address call 10/Celery
    ip pp route add net default 1
    pp auth accept chap pap
    pp auth myname test-user test-password
    nat use on
    nat masquerade on
    ppp ipcp ipaddress on
    ppp ipcp msext on
    pp enable 1
    dhcp service server
    dhcp scope 1 192.168.0.2-192.168.0.254/24
    dns server 133.176.200.51
    dns domain rtpro.yamaha.co.jp
    dns private address spoof on
    

• config例 (Rev.4系)
  • RT(A)…端末型ダイヤルアップ・サーバ

    isdn local address 10/Celery
    ip lan address 133.176.200.67/24
    ip lan proxyarp on
    pp select anonymous
    ip pp remote address pool 133.176.200.68 133.176.200.69
    pp auth request chap-pap
    pp auth username test-user test-password
    ppp ipcp msext on
    pp enable anonymous
    dns server 133.176.200.51
    dns domain rtpro.yamaha.co.jp
    

  • RT(B)…端末型ダイヤルアップ・クライアント

    isdn local address 20/Tomato
    ip lan address 192.168.0.1/24
    nat descriptor type 1 masquerade
    pp select 1
    isdn remote address call 10/Celery
    ip pp route add net default 1
    pp auth accept chap pap
    pp auth myname test-user test-password
    ip pp nat descriptor 1
    ppp ipcp ipaddress on
    ppp ipcp msext on
    pp enable 1
    dhcp service server
    dhcp scope 1 192.168.0.2-192.168.0.254/24
    dns server 133.176.200.51
    dns domain rtpro.yamaha.co.jp
    dns private address spoof on
    

• Windows98のMS-DOSプロンプトからRT(B)に相当するRTA50i(192.168.0.1)へpingをする操作

  ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  ┃
  ┃C:\WINDOWS> ping 192.168.0.1
  ┃
  ┃Pinging 192.168.0.1 with 32 bytes of data:
  ┃
  ┃Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
  ┃Reply from 192.168.0.1: bytes=32 time=2ms TTL=64
  ┃Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
  ┃Reply from 192.168.0.1: bytes=32 time=1ms TTL=64
  ┃
  ┃Ping statistics for 192.168.0.1:
  ┃    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
  ┃Approximate round trip times in milli-seconds:
  ┃    Minimum = 1ms, Maximum =  2ms, Average =  1ms
  ┃
  ┃C:\WINDOWS>
  ┃
  ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  

• Windows98のMS-DOSプロンプトから接続先のホスト(133.176.200.51)へpingをする操作

  ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  ┃
  ┃C:\WINDOWS> ping 133.176.200.51
  ┃
  ┃Pinging 133.176.200.51 with 32 bytes of data:
  ┃
  ┃Reply from 133.176.200.51: bytes=32 time=146ms TTL=253
  ┃Reply from 133.176.200.51: bytes=32 time=13ms TTL=253
  ┃Reply from 133.176.200.51: bytes=32 time=14ms TTL=253
  ┃Reply from 133.176.200.51: bytes=32 time=13ms TTL=253
  ┃
  ┃Ping statistics for 133.176.200.51:
  ┃    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
  ┃Approximate round trip times in milli-seconds:
  ┃    Minimum = 13ms, Maximum =  146ms, Average =  46ms
  ┃
  ┃C:\WINDOWS>
  ┃
  ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  

• この「133.176.200.51へのpingにより発呼して1分後に切断した」ときの通常のログ。

  1999/06/23 09:28:51: PP[01] IP Commencing: ICMP 192.168.0.2 > 133.176.200.51 : echo request
  1999/06/23 09:28:51: PP[01] Calling 10 with 1B mode
  1999/06/23 09:28:51: PP[01] PPP/IPCP up
  ...
  1999/06/23 09:29:54: PP[01] Disconnect complete
  1999/06/23 09:29:54: PP[01] Disconnected cause [No error.]
  1999/06/23 09:29:54: PP[01] Disconnected by [User]
  1999/06/23 09:29:54: PP[01] Charge is 10 yen
  ...
  

• 実験メモ
  • 同一LAN内の機器同士でpingを行なうとそれなりに速い。
  • WAN間のpingは、回線速度やパケットサイズなど応じて応答速度に違いがでる。(はず！)
  • WAN回線を接続すると1個目のパケットは、 接続に掛った時間の分だけ余計に掛っている。
  • 擬似交換機を使用している環境と実環境では微妙に異なる

[ IPアドレスを指定してpingする ]

• LANインタフェースにpass-logフィルタを適用するコンソール操作

  ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  ┃
  ┃# ip filter 1 pass-log * * * * *
  ┃# ip lan secure filter in 1
  ┃# ip lan secure filter out 1
  ┃# syslog notice on
  ┃# clear log
  ┃
  ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  

• 他のパケットも多く流れて繁雑になるのでpingのパケットだけをログするように絞 り込む対策
  1. pass-logフィルタのプロトコルに「icmp」を設定する。

     ip filter 1 pass-log * * icmp * *
     

  2. pass-logフィルタのプロトコルに「icmp-info」を設定する。

     ip filter 1 pass-log * * icmp-info * *
     

• Windows98のMS-DOSプロンプトから接続先のホスト(133.176.200.51)へpingをする操作

  ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  ┃
  ┃C:\WINDOWS> ping 192.168.0.1
  ┃
  ┃Pinging 192.168.0.1 with 32 bytes of data:
  ┃
  ┃Reply from 192.168.0.1: bytes=32 time=3ms TTL=64
  ┃Reply from 192.168.0.1: bytes=32 time=4ms TTL=64
  ┃Reply from 192.168.0.1: bytes=32 time=3ms TTL=64
  ┃Reply from 192.168.0.1: bytes=32 time=3ms TTL=64
  ┃
  ┃Ping statistics for 192.168.0.1:
  ┃    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
  ┃Approximate round trip times in milli-seconds:
  ┃    Minimum = 3ms, Maximum =  4ms, Average =  3ms
  ┃
  ┃C:\WINDOWS>
  ┃
  ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  

• このときのpass-log

  # show log
  1999/06/23 13:22:19: LAN1 Passed at IN(1) filter: ICMP 192.168.0.2 > 192.168.0.1 : echo request
  1999/06/23 13:22:19: LAN1 Passed at OUT(1) filter: ICMP 192.168.0.1 > 192.168.0.2 : echo reply
  1999/06/23 13:22:20: LAN1 Passed at IN(1) filter: ICMP 192.168.0.2 > 192.168.0.1 : echo request
  1999/06/23 13:22:20: LAN1 Passed at OUT(1) filter: ICMP 192.168.0.1 > 192.168.0.2 : echo reply
  1999/06/23 13:22:21: LAN1 Passed at IN(1) filter: ICMP 192.168.0.2 > 192.168.0.1 : echo request
  1999/06/23 13:22:21: LAN1 Passed at OUT(1) filter: ICMP 192.168.0.1 > 192.168.0.2 : echo reply
  1999/06/23 13:22:22: LAN1 Passed at IN(1) filter: ICMP 192.168.0.2 > 192.168.0.1 : echo request
  1999/06/23 13:22:22: LAN1 Passed at OUT(1) filter: ICMP 192.168.0.1 > 192.168.0.2 : echo reply
  ...
  

• 実験メモ
  • フィルタの適用有無で多少時間的に遅れがある。
  • フィルタを適用するとpingのICMPパケットが観測できる。
  • pingのパケットサイズを大きくするとフラグメントされたパケットも観測できる。(はず！)

[ DNS名を指定してpingする ]

• LANインタフェースにpass-logフィルタを適用するコンソール操作

  ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  ┃
  ┃# ip filter 1 pass-log * * * * *
  ┃# ip lan secure filter in 1
  ┃# ip lan secure filter out 1
  ┃# syslog notice on
  ┃# clear log
  ┃
  ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  

• Windows98のMS-DOSプロンプトから接続先のホスト(133.176.200.51)へpingをする操作

  ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  ┃
  ┃C:\WINDOWS> ping www.rtpro.yamaha.co.jp
  ┃
  ┃Pinging www.rtpro.yamaha.co.jp [133.176.200.51] with 32 bytes of data:
  ┃
  ┃Reply from 133.176.200.51: bytes=32 time=26ms TTL=252
  ┃Reply from 133.176.200.51: bytes=32 time=16ms TTL=252
  ┃Reply from 133.176.200.51: bytes=32 time=16ms TTL=252
  ┃Reply from 133.176.200.51: bytes=32 time=17ms TTL=252
  ┃
  ┃Ping statistics for 133.176.200.51:
  ┃    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
  ┃Approximate round trip times in milli-seconds:
  ┃    Minimum = 16ms, Maximum =  26ms, Average =  18ms
  ┃
  ┃C:\WINDOWS>
  ┃
  ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  

• このときのpass-log

  # show log
  1999/06/23 15:20:07: LAN1 Passed at IN(1) filter: UDP 192.168.0.2:1039 > 192.168.0.1:53 (DNS Query [www.rtpro.yamaha.co.jp])
  1999/06/23 15:20:07: PP[01] IP Commencing: UDP 192.168.0.1:53 > 133.176.200.51:53 (DNS Query [www.rtpro.yamaha.co.jp] from 192.168.0.2)
  1999/06/23 15:20:07: PP[01] Calling 10 with 1B mode
  1999/06/23 15:20:07: PP[01] PPP/IPCP up
  1999/06/23 15:20:11: LAN1 Passed at OUT(1) filter: UDP 192.168.0.1:53 > 192.168.0.2:1039 (DNS response)
  1999/06/23 15:20:11: LAN1 Passed at IN(1) filter: ICMP 192.168.0.2 > 133.176.200.51 : echo request
  1999/06/23 15:20:11: LAN1 Passed at OUT(1) filter: ICMP 133.176.200.51 > 192.168.0.2 : echo reply
  1999/06/23 15:20:12: LAN1 Passed at IN(1) filter: ICMP 192.168.0.2 > 133.176.200.51 : echo request
  1999/06/23 15:20:12: LAN1 Passed at OUT(1) filter: ICMP 133.176.200.51 > 192.168.0.2 : echo reply
  1999/06/23 15:20:13: LAN1 Passed at IN(1) filter: ICMP 192.168.0.2 > 133.176.200.51 : echo request
  1999/06/23 15:20:13: LAN1 Passed at OUT(1) filter: ICMP 133.176.200.51 > 192.168.0.2 : echo reply
  1999/06/23 15:20:14: LAN1 Passed at IN(1) filter: ICMP 192.168.0.2 > 133.176.200.51 : echo request
  1999/06/23 15:20:14: LAN1 Passed at OUT(1) filter: ICMP 133.176.200.51 > 192.168.0.2 : echo reply
  ...
  

• 実験メモ
  • DNSサーバへの問い合せのパケットがDNSリカーシブサーバに届き、 DNSリカーシブサーバがさらに上位のDNSサーバに問い合せることが 発呼要因になっている。
  • WAN回線を接続すると1個目のパケットは、接続に掛った時間分余計に 掛る筈だが、大きな差が無い。発呼要因となるパケットが、DNSへの 問い合せだった為であろう。1個目のpingの応答速度が少し遅いのは、 経路上のルータのARPや効率的ルーティング処理など影響が考えられる。
  • DNSサーバへの問い合せのパケットの応答の後、pingのパケットが流れている。 フィルタの適用有無で多少時間的に遅れがある。

[ 関連情報 ]

• Windows: 「MS-DOSプロンプト」は、どうやって出すのですか？(command.com)
• Windows: Windows95で、PINGは何を使ったらいいですか？(ping.exe)
• NAT使用時のUDPパケットはどう処理されますか？
• NAT使用時のTCPパケットはどう処理されますか？
• IPマスカレード使用時のUDPパケットはどう処理されますか？
• IPマスカレード使用時のTCPパケットはどう処理されますか？

[ 関連RFC ]

• STD5…IPv4(RFC791,RFC950,RFC919,RFC792,RFC1112)
• STD13…DNS(RFC1034,RFC1035)

[ FAQ for RT-Series ]
[ FAQ for IP Packet Filter / files / TCP/IP ]