こんな人向け
- IPsec、トランスポートモード、トンネルモードを聞いたことがある
- でも詳しくは知らない
トランスポートモードとは
- 元のIPヘッダが暗号化されない
トンネルモード
- 元のIPヘッダが暗号化され、新しいIPヘッダが付加される
(どちらもグレー部分が暗号化されます)
使い分け
用途の共通点
この記事ではIPsecでVPNを構築することを前提に、二つのモードの用途の違いを考えます。つまり、プライベートIPアドレス同士でネットワークを超えて(安全に)通信したい場合です。
プライベートIPアドレスはネットワークを超えられないため、グローバルIPアドレス同士で通信できるようにカプセル化する必要があります。
用途の違い
VPNを構築するための用途の違いは、ネスぺ参考書によると、以下になります。
- トランスポートモードは、新IPヘッダを付与する必要がない場合に使う
- 例:他のプロトコルによって既に新IPヘッダが付与されている
- トンネルモードは、新IPヘッダを付与する必要がある場合に使う
トランスポートモードを使う場合
リモートアクセスによるVPNが想定されます。これはPPPパケットをL2TPでカプセル化し、IPsecで更にカプセル化するケースです。L2TPパケットはIPヘッダをもつため、IPsecでIPヘッダを付与する必要がありません。
詳しく
端末のIPアドレスが動的に変化する
→接続ごとに認証を行い、サーバがプライベートIPアドレスを端末に割り当てる必要がある
→認証を行うためにPPPを用いる
→PPPはデータリンク層なので、L2TPでカプセル化する
→L2TPには暗号化機能がないので、IPsecを利用する
→L2TPパケットは新IPヘッダをもつため、IPsecで新IPヘッダを付与する必要がない
→トランスポートモードを利用する
トンネルモードを使う場合
拠点間VPNが代表例です。これは送信元/宛先IPアドレスがプライベートIPアドレスのパケットをIPsecでカプセル化するケースです。プライベートIPアドレスはネットワーク外とやり取りできないため、新IPヘッダを付与する必要があります。
詳しく
端末のIPアドレスが動的に変化しない
→サーバが端末にプライベートIPアドレスを割り当てる必要がない
→PPPやL2TPで認証する必要がない
→送信元/宛先IPアドレスがプライベートIPアドレスのパケットをIPsecでカプセル化する
→IPsecで新IPヘッダを付与して、グローバルIPアドレス同士で通信できるようにする
→トンネルモードを利用する
(ゲートウェイ1のグローバルIPアドレスが動的に変化する拠点間VPNでは、トランスポートモードを利用します)
参考
うかる!ネットワークスペシャリスト2023年版 | 翔泳社
-
ゲートウェイ:IPsecの機能を持つIPノード。IPsecで暗号化される経路の始点または終点。 ↩