VPN(トランスポートモード・トンネルモード)

IPSecでは、次の2つのモードが選択できるようになっています。

モード
トランスポートモード 元のIPヘッダをそのまま使い、パケットのカプセル化を行わない。
【利用形態】
VPNを構成する機器が、エンドツーエンドで接続する場合に使用します。
トンネルモード プライベートIPアドレスを持つパケットの先頭にグローバルIPアドレスを持つヘッダを付加して、パケットのカプセル化を行う。
【利用形態】
VPNを構成する機器がゲートウェイになる場合に使用します。
トンネリングのメリット
  • マルチプロトコル
  • プライベートアドレスの通信が可能
トンネリングのデメリット
  • プライベートアドレスが衝突する恐れがある
  • カプセル化、デカプセル化によるスループットの低下
  • 追加したヘッダでフラグメント化が発生しスループットが低下する。

カプセル化の指定(AH・ESP)

認証と暗号化に「AH」と「ESP」が選択できるので4通りのパケットのカプセル化が指定できます。

  • AHトランスポートモード
  • AHトンネルモード
  • ESPトランスポートモード
  • ESPトンネルモード

AH:パケットの認証をサポート
ESP:パケットの認証と暗号化をサポート

AHトランスポートモード

AHトンネルモード

ESPトランスポートモード

ESPトンネルモード

NATとの相性

 IPSecとNATとの相性はよくありません。NATは、アドレス変換を行うと同時にTCPヘッダ内のチェックサムも変更するため、NAT側で暗号化されたTCPヘッダ部にアクセスできず、認証データと整合性がとれず認証され現象が発生します。

 次の「VPN(暗号化・認証アルゴリズム)」では、IPSecで使用する暗号化アルゴリズムと認証アルゴリズムを紹介します。

関連コンテンツ