IPsec通信でのモードは、
トランスポートモードとトンネルモードと2つがあります。
・違い
トランスポートモードは、IPsec実装のPC(クライアント)間で実装する。
トンネルモードについては、VPNゲートウェイ間での実装になります。
前回までいくつかのIPsecに関する内容(ISAKMP SAやIPsec SAの生成)を投稿しましたが、それらはすべてトンネルモードでの内容と捉えてください。
※一般的にトンネルモードを使用する方が多い
トンネルモードの詳細は以下になります。
①パケットの元のIPヘッダは暗号化され、L4以上のペイロード(データ)部も暗号化する
②認証の範囲はAH(認証)やESP(認証/暗号化)により違う
③AHパケット・ESPパケット共通して、元のパケットに新しくIPヘッダが追加される
④パケットを転送する際は、元IPヘッダではなく、新たにIPヘッダが追加されたパケット(③のこと)に基づいて転送される
トンネルモードにおけるAHパケット・ESPパケットの中身
通常のIPv4パケット
トンネルモードにおけるAH(認証のみ)パケット
トンネルモードにおけるESP(認証/暗号化)パケット