フレッツ光上にトンネル技術を使って構築する仮想ネットワークとその注意点 (フレッツ光の解説つき) #Network

私たちの組織（Menhera.org，一般社団法人生活情報基盤研究機構）では，拠点間VPN（仮想専用線技術，平たくいうとトンネリング，別なネットワーク上に通信をカプセル化して仮想化されたネットワークを構築すること）を利用して拠点間のネットワークを構築しています。このような技術は，高価な専用線を用意することのできない資金の弱い組織，中小企業などにとっては福音です。

私たちは高品質な拠点間接続を安価で可能にする，NTT東西のフレッツ光網をこのトンネル接続に利用しています。以下では，まずフレッツ光がどのようなネットワークで，なぜ適しているのかという説明から始めます。

この記事では新たにネットワークを学び始めた方でも概要を読み取れるように，簡単な概念の説明もしてあります。既に理解されている方は，そのような説明は読み飛ばしていただいて結構です。

COI (Conflict of Interest; 利益相反)情報：筆者は，NTT東西とフレッツ光を利用している以外に資金面などの特別な利益関係を持たず，この記事の執筆には一切の外部からの出資はありません。この記事は，筆者が自組織のネットワークを構築する中で得られた知見に基づいています。

フレッツ光とは何なのか

現行のフレッツ光（東日本および西日本）は，簡単にいうと IPv6 (IP; Internet Protocol¹，のバージョン6) を使って構築された閉域網（インターネットにつながっていない完結したネットワーク）です。えっ，フレッツ光ってインターネットサービスじゃないの? と思われた方は先をお読みください。

実際には，ひかり電話（SIP というプロトコルを使用している，詳細はNTT東西の技術資料参照²）などの IPv4 を使用するサービスもあるのですが，一般人の目にはフレッツ光網は IPv6 だけでできているように見えます。

グローバルアドレスとプライベートアドレスについて

IPアドレスには，全世界で統一され，使うには割り当てを受ける必要のある代わりにどこでも同じように使えて直接インターネットでも使える「グローバルアドレス (グローバルIPアドレス)」と，全世界で統一されておらず，各組織や個人が勝手に割り当てて自分のネットワークの中だけで使える「プライベートアドレス (プライベートIPアドレス)」があります。

フレッツ網内で使用される IPv6 アドレスを，プライベートアドレスであると説明する記事が多いですが，これは実は IPv6 アドレスの分類としては 2000::/4 に含まれるグローバル IPv6 アドレスで，正規に割り当てを受けている，他の組織に使われていないアドレスです。フレッツ光の内部にある IPv6 アドレスは，インターネットと接続していないことが「原則」である (後述) ことから，プライベートアドレスであるとする説明が多いものと思われます。

グローバル IPv6 アドレスを使用する理由として，

フレッツ光はインターネットに直接接続されていないネットワークですが，IPv6 のプライベートアドレス（ULA; unique local addresses）はこのような世界最大級の閉域ネットワークに使用するにはあまりにも小さすぎる。
IPv6 にはこのようなキャリアグレードのネットワークに特段使用するプライベートアドレスは設定されていない。
IPv6 ではインターネットからの接続の可否によらずグローバル IPv6 アドレスを使用することが推奨されている。

などが推測されています。

ここで説明したのは，IPv6 アドレスの割り当て上の話です。IPv6 アドレスの scope という意味では，プライベートアドレスである ULA も（リンクローカルなどではないという意味で）グローバルに分類されます。

ではいつ IPv6 ULA を使うのか

広く信じられた話として，IPv6 では常にグローバルアドレスを使用するべきで，ULA や NAT 技術³を使うのは禁じ手である，というのがあります。

この話の背景として，IPネットワークの「本来の姿」についての考え方が影響しています。

IPネットワークの「本来の姿」

ひとつのアドレスを多数のアドレスと結びつける技術である NAPT⁴ (PAT，IPマスカレードなどとも呼ばれる）などは，IPネットワーク本来の姿である 「ホストとアドレスの1対1関係」 を壊し，end-to-end 通信を困難にするので好ましくない（IPv4 ではアドレスが枯渇しているので，好ましくないものの使用する必然性があるが，IPv6 ではアドレスが豊富にある以上使うべきではない），という考え方。
従来の IPv4 ネットワークでは NAPT が，プライベートネットワークを隠蔽し，外部からの接続を防ぐセキュリティだと考えられてきたが，本来 NAPT を含む NAT を単体でセキュリティと考えるべきではなく，適切なファイアーウォールを常に設定するべきである，というネットワークセキュリティに関する基本的な考え方。

これにより，基本的にインターネットから直接アクセスできないネットワークも含めた(ほぼ)すべてのネットワークにグローバル IPv6アドレスを割り振ってプライベートアドレスをなるべく根絶しよう，みたいな考え方が派生してきます。

これは IPv6 の思想，あるいは広く本来のインターネットの思想としてはかなり正しいですが，重要な例外があります。 (広義の) NAT は， NAPT だけではないからです。

あるIPアドレスのポートを他のアドレスのポートに転送するポートフォワーディングなどは広く使われている。
一般家庭ではあまり見ないが，ひとつのアドレスをたくさんのアドレスと対応づけるのではなく，アドレスを1対1で対応づける NAT (本来の NAT) があり，これは例えば重複する IPアドレスを内部に割りあてている複数のネットワークが会社の合併などで接続するときに，もともと設定されていた IPアドレスを一気に変える手間なしに，境界で重複しないアドレスに変換する NAT (これは双方向の NAT という) など，重要な用途がある。
IPv6 にとって最も重要なのが，IPv6 は NPTv6 といって，IPv6 ネットワークを LAN (サブネット) 単位で1対1で対応づける NAT が標準化されており，これは a) ステートレスであり (ルータや L3スイッチが内部に状態を管理する必要がない) ， b) チェックサムの再計算が必要でない——という通常の NAT にはない良い性質を持っており，従来の NAT の欠点を克服したものとなっている点である。
- これにも重要な用途があって，例として，BGP⁵ やポータブルアドレス (プロバイダ非依存(PI)アドレス，APNIC や JPNIC などから直接割り当てを受けた，接続事業者に関係なく使える固有のアドレス) を「使用しない」マルチホーミング (複数の別なプロバイダのインターネット接続を持つこと) において，通常だと接続先が代わるたびに内部の IPv6 アドレスを振り直す必要があるが， ULA と NPTv6 を使用することによって，ひとつのユニークな ULA アドレス帯を，どの回線を使用した場合にも統一して使用することができる……などの利用法が挙げられる。BGP を使用してインターネット上の独立したネットワーク (AS) を構築することは常に必要なわけではなく，無駄になることもあるため，これは重要な使用法である。

そもそもフレッツ光がインターネットと直接つながっていないわけ

これには NTT グループの住み分け，古く言えば歴史的な事情が関係しています。

NTT はもともと，広く知られるように，電電公社といって，国営の電話会社でした。この国の力のもと，全国に回線を引き，事実上の独占状態にありました。この影響で，現在でも，この回線網を引き継いだ NTT東日本/西日本は ラスト1マイル と呼ばれる顧客敷地までの回線において，日本最強の地位にあります。これを公共的な財とみる考え方から，NTT東西は，この回線を広く開放し，各社のいろいろなサービスに利用させる義務を負っているのです。実際，フレッツ光系でない各社のインターネットサービスや専用線の中にも，光回線をNTTから借り受けて提供しているものが多くあります。

もともと，NTT東西は回線会社という位置付けで，その制約は大変厳しいもので，接続範囲は各都道府県の範囲内とされていました。県境を超える通信は現在の NTTコミュニケーションズが行っていたのです。現在ではその制約は緩和されていますが，フレッツ光ネットワーク (NGN) は東日本と西日本に分割されています。

回線事業者である NTT東西は，インターネット接続事業者ではありませんから，音声通話 (公衆電話交換網 PTSN) を含めてすべてを IPネットワーク化，さらには光回線化しようという話になったときも，あくまでもその網上で各社がインターネット接続を提供することのできる，「回線のみ」を提供することになったのです。そのため，フレッツ光のネットワークは NTT東西の手によって直接インターネットにつながることはありませんでした。

フレッツ光上のインターネット接続サービス

インターネットに直接つながっていないフレッツ光のネットワークでは，従来，ダイヤルアップ接続の遺産である PPP (Point-to-Point Protocol) をイーサネット上で走らせる， PPPoE という技術を利用してインターネット接続サービスを各社が提供していました。もともと電話回線網であったわけなので，自然な流れですね。

これは旧時代の遺産なので，非効率な点が多く，通信事業者としては新しいものが欲しかったわけです。また同時にインターネットの普及により，グローバル IPv4アドレスの枯渇という切迫した問題も立ち上がってきました。

これを同時に解決するのが，現在日本では「IPoE (IP over Ethernet)」と呼ばれる，PPP を使わないで Ethernet 上を直接 IPv6 を走らせ，(フレッツ光は IPv6 だけのネットワークなので) IPv4 は IPv6 上に仮想化してトンネルするという方式です。この方式のサービスでは，(通常) グローバル IPv4アドレスを丸々1個割りあてず，ひとつのグローバル IPv4アドレスをポートで区切って (この方式にはいくつかあります) 提供することとしたので，これにより IPv4 の枯渇という頭の痛い問題も解決されることとなりました。PPPoE にはそのような一般的な標準は定義されていなかったので，新技術によって可能になったことです。

IPoE を契約すると，フレッツ網から降ってくる IPv6 アドレスが，フレッツ網だけで使われているものから，VNE と呼ばれる，フレッツ網を IPv6 インターネットに接続している事業者が提供するものに変わります。これもフレッツ網内部で使用するものとして定められたアドレスであるという点で同じなのですが，こちらのアドレスを使用すると VNE の設備を経由してインターネットに接続できるという点が異なります。これにより，フレッツ光の内部にあるアドレスでありながら，仮想的に IPv6 インターネットと接続していることになります。通常，フレッツ光内部の IPv6アドレスはインターネットからアクセスできませんが，この契約による IPv6 アドレスは実質的にインターネットにつながっている，ということになります。

そもそも IPv4 をやめて IPv6 だけを使わないわけ

IPv4 と IPv6 は基本的には互換性のない別なプロトコルです。IP はインターネットの根幹であり，すべてがこれに依存しているため，ただちにすべてを移行するということができず，IPv4 にしか対応していない Web サービスや，IPv4 でしか接続できないインターネット接続のようなものが，IPv6 の普及がかなり進んだ2023年現在でもたくさん残っています。将来的には IPv6 にすべてを対応させることが目指されますが，現状，利用者に文句を言われないインターネット接続と言えるためには，IPv4 接続性が必須です。

新しくて都合の良い代替が出現したことにより，通信事業者の投資も IPoE のほうに集中してきました。これにより取り残された PPPoE はあまり投資されない状態になり (実際にはあまりにも回線が逼迫しているので投資は行われています) ，IPoE が速く， PPPoE は遅い，と言われる現在の状態になりました。

まとめ

フレッツ光を利用するサービスにおける一般的なインターネット接続の早さ：

IPoE (IPv6) > IPoE (IPv4) > PPPoE (IPv4, IPv6)

フレッツ光ではどのような IPv6 アドレスが割り当てられるのか

PPPoE の IPv6 で割りあてる IPv6 アドレスは各インターネット接続事業者のサービスの詳細によるので，ここでは IPoE IPv6 のアドレスの説明をします。

IPoE の IPv6 アドレス (フレッツ光の回線につなぐだけで降ってくる IPv6 アドレス) は，前述したように割り当て上は常にグローバル IPv6 アドレスです。

このグローバル IPv6 アドレスが，IPoE 事業者と契約しているとインターネットとつながり，契約が無いと網内だけで使えるアドレスとなります。なお，IPoE の契約の有無を問わず，域内折り返し通信は同じようにできます。

フレッツ光における IPoE サービスにおいて，IPv4 提供方式には各種ありますが (DS-Lite，MAP-E などを聞いたことがあるかもしれません)，IPv6 はフレッツ光として標準化されており，フレッツ光に対応している機器であれば刺すだけで使えるものとなっています。

この自動で割りあてられる IPv6 アドレスは契約によって方式が異なり，以下の表のようになります。

サービス	ひかり電話の契約	IPv6提供方式
フレッツ光ネクスト (従来の 100M–1Gbps のサービス)	あり	DHCPv6-PD, IPv6 `/56` のプレフィックス
フレッツ光ネクスト (従来の 100M–1Gbps のサービス)	なし	IPv6 RA (Router Advertisement) による SLAAC (自動設定)， `/64` のサブネット (LAN) ひとつだけ
フレッツ光クロス (10Gbps のサービス)	有無を問わない	DHCPv6-PD, IPv6 `/56` のプレフィックス

この表は一般によく広まっていますが，なぜ従来のフレッツ光ネクストにおいて，ひかり電話を契約すると DHCPv6-PD を利用するのかについてあまり説明がないのでここで説明します。ひかり電話では SIP という VoIP プロトコルを使用するのですが，この SIP サーバのアドレスなど設定に必要な情報を DHCP で配布するのです。厳密には RA による SLAAC に併用して DHCP を走らせることもできるのですが，複雑になるということなのか，採用されていません。⁶

IPv6 において， /64 のネットワークは，通常ひとつの LAN に使われる大きさで， /56 は標準的にはひとつの拠点 (サイト) に割りあてる大きさとされています (数字が小さいほど大きいネットワークです)。/64 は SLAAC (IPv6 アドレスの自動設定) が機能する唯一の大きさのネットワークで，従って一般的には LAN をひとつ作るには /64 がひとつ必要です。

なお，DHCPv6-PD で /56 のネットワークを受けとったルータは，配下にこの /56 から取り出した /64 の LAN を割り当てるので同じように思えますが， /56 からは /64 の LAN をいくつも作ることができること，またこの受けとったアドレスはフレッツ網とは独立して，別のセグメントに割りあてることができるため，IPv6 を利用するためにフレッツ網と LAN を L2 でブリッジしたり，その代替として，NDP proxy を走らせて中継したりする必要がなくなることなどから，柔軟性が高く，設計がしやすいことから，好まれるもので，次世代のフレッツ光クロスではすべての場合にこれを使用することとしたものです。

NTTから提供される標準のひかり電話ルータ，フレッツ光クロスルータは，この DHCPv6-PD が利用できる場合，自分が網から受け取った /56 から /60 のネットワークを取り出して配下の子ルータにまた DHCPv6-PD で再配布するという機能を持ちます。この機能は現行の YAMAHA 社のルータなどでは利用できないもので，自動的に配ったネットワークに対する経路を設定する機能を持つため， NAT を使用することなく NTT ルータの下にネットワークを増やすことのできるというとても便利なものです。

なお，ひとつの /56 からは最大で 16 個の /60 を作ることができ，ひとつの /60 からは最大で 16 個の /64 の通常の LAN を割り当てることができます。

筆者が自組織で検証したところによると，複数のひかり電話ルータにおいて，子ルータに DHCPv6-PD でアドレスは再配布されるものの，経路が適切に設定されず，子ルータ配下の LAN から IPv6 インターネットに接続できなくなる事象が頻繁に観測されています。この機能はあまり広く知られた機能ではないため，このことを頭に入れた上でこの機能を利用する際には十分な検証が必要です。(フレッツ光クロスでの検証は行っていません。)

フレッツ光を利用した仮想ネットワーク

このようなインターネットに直接つながっていないフレッツ光ネットワークですが，世界最大級のインターネット以外のIPネットワークであるだけでなく，莫大な帯域を持っており，この中での通信は逼迫するインターネット通信と比べて余裕があり，安定しているという特徴があります。

これを活かし，NTT東西などでは，企業向けに複数の拠点間をフレッツ光上の仮想イーサネットで結ぶ，広域イーサネットサービスを提供しています。

実は，フレッツ光の IPv6 NGN 網上で提供される域内折り返し通信（v6オプション）を使い，この上に L2VPN を構築することで広域イーサネットとほぼ同じことが自前でできます。通常この折り返し通信の有効化には追加の費用は発生せず，最近の IPoE IPv6 接続の普及により標準的に提供されるようになってきています。これを利用しない手はありません。（同等の通信品質を実現できるかどうかは，構成や各組織の要件によるので，実際には各組織での実証が必要です。）

v6オプションや IPoE を利用するときの注意点

フレッツ網から端末のある LAN に至るまでのどこかのルータや L3スイッチ，ファイアウォールまたは UTM で IPv6 のパケットフィルタリング/ファイアウォールが有効になっているかどうかを必ず確認してください。IPv6 では一般的に，グローバルIPv6アドレスが割り当てられるので (NAT がない)，パケットフィルタリングや適切なファイアウォールが設定されていないと，全世界，あるいはフレッツ網に接続したネットワーク全体からの脅威に LAN がさらされることになります。

家庭や小拠点で利用される標準の NTT から提供されるルータは，デフォルトで配下の LAN の IPv6 アドレスへのフレッツ網の外からのアクセスを遮断するようにパケットフィルタリングがなされています。この配下で，IPv6 インターネットにサーバを公開する，または IPv6 インターネットを経由したトンネリングを設定するときにはこのパケットフィルタリングを解除する必要がありますが，その場合は，絶対にその LAN に通常の端末を置かず，その下に別な子ルータなどを置き，そこでファイアウォールなどを有効にし，そのさらに下の LAN に接続させるようにしてください。

また，この標準 NTT ルータのデフォルト設定ではフレッツ網の中からの通信は許可してしまうのですが，これはフレッツ網に接続したネットワーク全体からの脅威に LAN がさらされることになるので，危険であるという意見が強くあります。この危険は IPv6 インターネット接続や IPoE がなくてもあります。このため，フレッツ光域内からの内向きの通信を特に許可する必要がない場合は，最低限 NTT ルータの IPv6 パケットフィルタリング設定を「強」などのそのような通信を許可しない設定にすることを強く推奨します。また，一般家庭では難しいですが，少なくとも IT 担当者がいる組織では NTT ルータを含むなんらかの機器やソフトウェアのファイアウォールを信頼する前に，その仕様を最低限確認し，要件を満たせるか確認した上で，実際にテストを行うべきです。

このような技術を使用することで，プロバイダ契約の必要なく，フレッツ光回線を「回線のみ」契約することで，支社などを本社と同じネットワークに接続することができます。これにより，(ケチな会社ではw) 支社ではプロバイダ契約をせず，本社に接続した上でそこのインターネット接続を使う，といった使い方もでき，通信費の節約や，インターネット契約の一本化といったメリットを享受できます。

トンネル技術の実際

では，このような仮想ネットワークはどのように構築されているのでしょうか。

まず，IP 上の VPN 全般にいえる前提として，トンネル接続をする2地点間は，何らかのネットワーク (インターネットであったり，フレッツ光網であったりする) によって IP 到達性 (L3 到達性) が確保されている必要があります。これは何ら難しい話ではなく，ping が通る必要があるという意味です。

以下ではフレッツ網上にトンネルを構築するという例で進めていきます。

IP がつながっているということは，データのやりとりができるということであり，「トンネル技術」など使用する必要はなく，そのまま接続すれば2つのネットワークを接続できるのではないか，と思われる方もいるかもしれません。

しかし，フレッツ光には，フレッツ光網から直接割り当てられた IPv6 アドレス以外に対する経路を設定する機能はありません。従って，IPoE でもらったもの以外のアドレスを利用した IPv6 ネットワーク，あるいは IPv4 ネットワーク同士は，フレッツ光網を通して直接接続することはできません。

インターネット VPN においても同様のことがいえ，一般のブロードバンドや中小企業が利用するインターネット接続では，割り当てられたアドレス以外のアドレス (例：LAN のプライベートアドレス) に対する経路は設定されません。また，インターネット上では BGP 接続をしたとしても，プライベートアドレスに対する経路は広告できませんから，トンネリングを使用する必要があります。

そもそも，インターネットは信頼できない経路ですから，企業内部のイントラネットのようなネットワークを接続する際には暗号化を使用するべきです。暗号化するには通常トンネリングを使用します (IPsec では，宛先を変えずに暗号化だけを行うモードもありますがこれもトンネリングの一種です)。 Google のような企業も，各国政府による通信の監視が明るみに出てからは，通信のプライベート具合によらず，自社の通信を大規模に暗号化しています。暗号の基礎知識ですが，暗号化は，通信を秘密にするだけがその機能ではありません。やりとりするデータの改ざんを防ぐという重要な役割もあります。

こうしたネットワーク同士を，いかなる IP ネットワークを経由しても通信可能にするのがトンネリングです。トンネリングの際には，暗号化など追加の機能 (VPN では多用されます) を利用することもありますが，いちばんの基本としては，以下のようになります。

            +----------+                      +----------+
Network A --+ Router A | - (Flet's Network) - | Router B +-- Network B
            +----------+                      +----------+

このように2拠点のネットワークがあるものとします。

フレッツ網は，Router A と Router B への経路は知っていますが， Network A と Network B のことは知りません。Router A と Router B は，フレッツ網を経由して互いに IPv6 で ping できるものとします。

IP では，データはパケットという単位で送信されます¹。Network A から Network B 宛てのパケットが送信されたものとします。IP におけるパケットには宛先が記載されています。このとき，これを受け取った Router A は，フレッツ網が経路を知っている Router B がフレッツ光からもらった IP アドレスに宛先を変換するのですが，これだけだと NAT をするだけで十分なように思われます⁷が，Network B のどこに行くかという，本来の宛先情報を残さないといけません。

そこで，通常は，Router A は Network A から受け取ったパケット (本来の宛先と本来の差出人を含む) を新たな IP パケットで包んで，差出人に Router A がフレッツ網から割り当てられた IPv6 アドレスを，宛先に Router B がフレッツ網から割り当てられたアドレス IPv6 を記載し，これをフレッツ網に送り出すのです。このような操作をトンネリングと言います。

差出人と言っていますが，実際には送信したホスト (コンピュータやネットワーク機器) の IPアドレスのことです。

包まれたパケットには，フレッツ網の知っている Router A の IPアドレスが差出人， Router B の IP アドレスが宛先として記載されていますから，フレッツ網はこれを正常に転送します。

包まれたパケットをフレッツ網から受け取った Router B は，包まれたパケットを取り出し， Network B に転送します。転送されたパケットは最初に送信されたのと同じ形で，Network B にあるホストに届きます。

逆向きの通信では，同じことを逆の向きでやります。

これにはいろいろな「包み方」がありますが，基本は同じで，これは IPv4 を知らないフレッツ網上で，IPoE IPv4 インターネット接続 (DS-Lite や MAP-E など，これらは異なるトンネル方式のこと) を提供するのにも使われている仕組みです。

これは L3VPN (IP パケットを包むトンネリング) ですが，L2 であるイーサネットフレームに対しても同じことができ，これを L2VPN といい，これで複数の拠点間を同一の L2 ネットワークで結ぶのが広域イーサネットの仕組みです。

トンネル技術を利用したネットワーク構築の注意点

トンネルに利用するネットワークのアドレスが変化する場合

フレッツ光はこれに当てはまります。フレッツ光に接続すると割り当たる IPv6 アドレス (IPoE アドレス) は， 「半固定」 とされています。これは一般家庭の PPPoE で割りあたるような IPv4アドレスのように「動的」と言われるほど変わらないけれども，長い間接続しないでまた接続した場合，あるいはフレッツ網内部で構成を変更するようなメンテナンスが行なわれた場合 (通常アナウンスされます) ，アドレスが変化することがある，くらいの意味です。

また，フレッツ光から割り当てられる IPv6 アドレスは，当然ですが， IPoE を契約/解約したり，IPoE のプロバイダを乗り換えたりすると変わります。

このことから，このアドレスを利用してトンネルを構築するときには，この変化する可能性を頭に入れた上で，以下のいずれかの対応を取る必要があります。

トンネル接続に使用するアドレスに対して DDNS (動的 DNS) を設定し，アドレスを直接使用するのではなく，この DNS 名で接続する。
DNS 名でのトンネル構築は使用するソフトウェアやルータ機器によってはできないことがある。従って，頻繁に変わるものでないことから，ネットワーク監視を実施し，変わったときには速やかに再設定する対応を取る。

フレッツ光に対応した DDNS について

NTT東日本のフレッツ光の場合，IPv6 ダイナミック DNS を申しこむことで，NTT東日本公式の商用レベルのDDNSが利用可能です。

別なルータからの経路が流れ込む場合

トンネルを構築したい経路とは別の経路から，ルーティングプロトコル (経路情報を交換するプロトコル。 BGP，OSPF，RIP などがある) などによって，トンネル操作を行うルータにフレッツ光の IPv6 アドレスに対する経路情報が流入すると，トンネル化されたパケットが正常に到達できなくなって，トンネルが接続断します。

このような場合，一番確実で安全なやり方は，トンネル操作を行うルータを経路情報を交換するルータとは別にして，トンネルの終端のみに集中させることです。

おわりに

フレッツ光に関する他の記事もあります：

誤りや改善点を見つけた場合など，体験の共有など，意見や編集リクエストなどぜひお待ちしています!

インターネットを通信可能にしている中心となるプロトコル (通信のやりかたを定めた手続き)。パケットと呼ばれる単位に分割されたデータをルータ同士でやり取りすることで，全世界のネットワークをひとつにつなぎ，インターネットを構成している。 ↩ ↩²
完全な資料を手に入れるためには，NTT東西と契約を結んで資料の提供を受ける必要があり，本記事ではその内容については具体的に触れない。概要版は Web で公開されている。 ↩
Network Address Translation; IPアドレスを変換する技術。変換元のIPアドレスを変換によって別のIPアドレスと対応させる。 ↩
広義の NAT の一種。ポートのマッピングを利用し，ひとつの IPアドレス(通常はグローバルアドレス) を多数のIPアドレス(通常はプライベートアドレス) と対応づける。これによりインターネット側から，内部のネットワークにあるホストにアクセスすることが困難になるという性質がある。これらの性質から，IPv4インターネットでは，貴重なグローバルIPv4アドレスを節約するために，またインターネットから区画されたプライベートネットワークを構築するために，広く使われている。 ↩
インターネットを独立したポリシーを持つ各組織のネットワーク (AS; Autonomous System——自律システム) に分け，これを1単位として経路情報の交換を行う，インターネットの経路を確立する要となるプロトコル。 ↩
このくらいの情報は，NTT東西の資料の開示を受けなくても，インターネット上で一般に公開されている記事からも知ることができる。実際にフレッツ光ルータやひかり電話を利用したソフトウェアを設計するには，資料の開示を受ける必要がある。また，公衆電話交換網の一種と見做されるひかり電話に独自のソフトウェアや機器を接続するには，基準を満たした上で認定を受ける必要があるので注意が必要であるが，ここでは詳細は記述しない。 ↩
実際，理論上は NAT (直接宛先や差出人を書き換え，新たなパケットで包むことをしない) でも要件によっては2つの離れたネットワークを結ぶこともできますが，IPv4 は IPv4 上でしか， IPv6 は IPv6 上でしか転送できないこと，1対1の NAT を利用するなら LAN に存在しているアドレスの数だけグローバルIPアドレスが必要になってしまい，NAPT を使用しても1つのアドレスあたりに利用できるポートが限られていて，複数のアドレスをひとつのアドレスに変換すると利用できるポートが限られてしまうこと，などからトンネリングとは用途が異なり，同じようには利用されていません。 ↩