IPsec通信でのモードは、

トランスポートモードとトンネルモードと２つがあります。

・違い

トランスポートモードは、IPsec実装のPC(クライアント)間で実装する。

トンネルモードについては、VPNゲートウェイ間での実装になります。

前回までいくつかのIPsecに関する内容(ISAKMP SAやIPsec SAの生成)を投稿しましたが、それらはすべてトンネルモードでの内容と捉えてください。

※一般的にトンネルモードを使用する方が多い

トンネルモードの詳細は以下になります。

①パケットの元のIPヘッダは暗号化され、L4以上のペイロード(データ)部も暗号化する

②認証の範囲はAH(認証)やESP(認証/暗号化)により違う

③AHパケット・ESPパケット共通して、元のパケットに新しくＩＰヘッダが追加される

④パケットを転送する際は、元IPヘッダではなく、新たにIPヘッダが追加されたパケット(③のこと)に基づいて転送される

トンネルモードにおけるAHパケット・ESPパケットの中身

トンネルモードにおけるAH(認証のみ)パケット

トンネルモードにおけるESP(認証/暗号化)パケット