L2TP/IPSecとは
「L2TP」と「IPSec」の2つのプロトコルを併用したVPN接続方式。
モバイル端末から、インターネット経由でプライベートネットワークに安全にリモートアクセスする仕組みを提供する。
IPSecとは
「IP Security」「Security Architecture for IP」の略。
TCP/IP や OSI参照モデルのネットワーク層で使用するIPパケット単位で安全な暗号通信を行うプロトコル。
2つのIPSec対応機器(ルーターなど)の間にSA(Security Association)という単方向のコネクションを確立することで、安全な通信を行う。
IPSecの仕組み
AH / ESP / IKEなど複数のプロトコルから構成されている。
AH
AH(Authentication Header)はデータの認証を行うためのプロトコル。
元のIPパケットに対して認証情報を追加して送信する。
受信側はAHの情報を確認して、問題なければ元のIPパケットを取り出して利用する。
ESP
ESP(Encapsulated Security Payload)はデータの暗号化と認証を行うためのプロトコル。
AHではデータの暗号化はされないため、ESPが使われることがほとんど。
一部暗号化によるデータ通信を規制している国が存在するため、その時はAHが使われる。
IKE
IKE(Internet Key Exchange protocol)は安全に鍵交換を行うためのプロトコル。
ISAKMP SA / IPSec SAという2種類のSAを作成して鍵を交換する。
ISAKMP(アイサキャンプ) SA: 制御用SA。通信に先立って、データ交換を安全に行うために暗号化プロトコルや認証アルゴリズムなどの情報を交換し、通信に使う共通鍵を作成。端末間の認証も行う。
IPSec SA: 通信データ用のSA。上り・下りでそれぞれ別のSAを生成して接続を確立。IPSecで使用する暗号方式と暗号鍵を決定する。
L2TPとは
「Layer 2 Tunneling Protocol」の略。
OSI参照モデルのデータリンク層で動作するトンネリングプロトコル。ある機器から別の機器まで仮想トンネルを作成して、データを送受信するためのプロトコル。
暗号化についての規定がないため、インターネットなど信用できない経路を経由する可能性のあるネットワーク上で利用する場合は、IPSecによって伝送路を暗号化する必要がある。