|
◆ IPsecの通信モード
IPsecにおける通信モードには、トランスポートモードとトンネルモードの2つのモードがあります。
| モード |
特徴 |
NWへの適用例 |
| トランスポートモード |
・ パケットのもとのIPヘッダは変更されない。
・ パケットのLayer4以上のデータ部のみを暗号化する。
・ 認証の範囲はAHとESPにより異なる。(下図を参照 )
・ パケットの元のIPヘッダに基づいてパケットが転送される。
|
IPsecが実装された
ホスト間でのIPsec-VPN |
| トンネルモード |
・ パケットのもとのIPヘッダは暗号化される。
・ パケットのLayer4以上のデータ部も暗号化する。
・ 認証の範囲はAHとESPにより異なる。(下図を参照 )
・ もとのパケットに新たなIPヘッダが付加される。
・ 新たに加えられたIPヘッダに基づいてパケットが転送される。
|
IPsecが実装された
ルータ間でのIPsec-VPN |
以上の内容から分かるとおり、IPsecによる通信はトンネルモードを利用していることが多いと言えます。
このモードでは、VPNゲートウェイを介してPCはIPsecを全く意識せずにLAN間通信を行うことができます。
◆ トランスポートモードとトンネルモードのAHパケット
下図は、トランスポートモードとトンネルモードでのAHカプセル化パケットです。現在では、IPv4でAHはあまり使用されません。
◆ トランスポートモードとトンネルモードのESPパケット
下図はトランスポートモード及びトンネルモードでのESPカプセル化パケットです。ESPが暗号機能と認証機能を有することから
IPsecにおいて最も主流といえるパケット形式と言えます。トンネルモードにおけるESPパケットについては特に理解しましょう。
◆ トランスポートモードとトンネルモードAHとESPの組合せパケット
下図はインターネット上ではあまり紹介されていないパケットフォーマット図ですが、AHとESPを組み合わせたパケット形式です。
ヘッダーが多くなりますが、ESPは暗号化機能に徹せられ 「ESP認証データ」 は不要となります。そしてAHがパケット全体を認証。
|