6/1に投稿した内容の中から、SA(Security Association)について詳しく見ていきます。

6/1の投稿 : https://www.miraclejob.com/recommend/detail?cd=3871
【投稿内容】
///////////////////////////////////////////////////////////////////////////////////
またIPsecでは、AHやESPを実装するためにVPN間でコネクションを確立する必要がありますが、このコネクションの事をSA(Security association)と言います。

SAコネクションを確立後、認証(AH)、暗号化(AH/ESP)などを行えるようになります。
SAのコネクションを確立する段階では、鍵交換(IKEv1/v2)を使用します。
※厳密に言うと、更にフェーズ1(ISAMPの生成)とフェーズ2(IPsec SAの生成)に分けられます。
///////////////////////////////////////////////////////////////////////////////////

今回はSAコネクションを確立した後に、SAがどんな挙動するのかを確認しましょう。

※SAのコネクションの確立方法は別途投稿

IPsecはこのSAのコネクションを使用して全ての通信を行います。
またSAはAHによるパケットやESPによるパケットを送受信するために、受信用のSAと送信用のSAの2つを作る必要があります。

※AHやESPとでは、受信用も送信用もSAを分ける必要があります。
 なので、AHパケットとESPパケットが1つずつある場合は合計で4つ(AHの送受信2つ、ESPの送信元2つ)のSAが必要になります。

SAコネクションはVPNゲートウェイで確立します。
VPNゲートウェイはAHによるパケットかESPによるパケットを判断しなければなりません。

これをどうやって判断するのかと言うと、AHやESPのパケット内にあるSPI(Security Parameter Index)を確認することです。

以下は、AHとESPのパケットの内部です。

一旦AHかESPかは、SPIで確認できるんだなということを覚えてもらえたら大丈夫です。

AHパパケットの内部

Next Header	Payload Length	Reserved
SPI (Security Parameters Index)
Sequence Number
Authentication Data

ESPパケットの内部

SPI (Security Parameters Index)
Sequence Number
Payload Data
Padding	Pad Length ※Padding内	Next Header  ※Padding内
Authentication Data

VPNゲートウェイは、SAD(SA Database)というをローカルでのDB内に、確立したSAコネクションを保存します。

SADを双方が適切に管理されていることにより、IPsecによるパケット通信が可能になります。

今回は、SAコネクションを確立した後のSAの挙動について見ていきました。

次回はこのSAコネクションがどうやって確立できるのか、見ていきしょう。

※IKEv1/v2を使います

以上です。