VPN(トランスポートモード・トンネルモード)
IPSecでは、次の2つのモードが選択できるようになっています。
| モード | |
| トランスポートモード | 元のIPヘッダをそのまま使い、パケットのカプセル化を行わない。 【利用形態】 VPNを構成する機器が、エンドツーエンドで接続する場合に使用します。  |
| トンネルモード | プライベートIPアドレスを持つパケットの先頭にグローバルIPアドレスを持つヘッダを付加して、パケットのカプセル化を行う。 【利用形態】 VPNを構成する機器がゲートウェイになる場合に使用します。  |
トンネリングのメリット
- マルチプロトコル
- プライベートアドレスの通信が可能
トンネリングのデメリット
- プライベートアドレスが衝突する恐れがある
- カプセル化、デカプセル化によるスループットの低下
- 追加したヘッダでフラグメント化が発生しスループットが低下する。
カプセル化の指定(AH・ESP)
認証と暗号化に「AH」と「ESP」が選択できるので4通りのパケットのカプセル化が指定できます。
- AHトランスポートモード
- AHトンネルモード
- ESPトランスポートモード
- ESPトンネルモード
AH:パケットの認証をサポート
ESP:パケットの認証と暗号化をサポート
AHトランスポートモード
AHトンネルモード
ESPトランスポートモード
ESPトンネルモード
NATとの相性
IPSecとNATとの相性はよくありません。NATは、アドレス変換を行うと同時にTCPヘッダ内のチェックサムも変更するため、NAT側で暗号化されたTCPヘッダ部にアクセスできず、認証データと整合性がとれず認証され現象が発生します。
次の「VPN(暗号化・認証アルゴリズム)」では、IPSecで使用する暗号化アルゴリズムと認証アルゴリズムを紹介します。