トランスポート・モードとトンネル・モード

オリジナルの IP パケットがどのように変更されるかは、使用するカプセル化モードによって異なります。AH および ESP で使用されるカプセル化モードには、トランスポート・モードとトンネル・モードの 2 つがあります。

トランスポート・モードのカプセル化では、オリジナルの IP ヘッダーがそのまま保持されます。したがって、トランスポート・モードの使用時は、IP ヘッダーは、パケットのオリジナルの発信元と送信先を反映しています。トランスポート・モードが使用されるのは、ホスト対ホストのシナリオ、つまりデータ・エンドポイントとセキュリティー・エンドポイントが同じである場合がほとんどです。トランスポート・モードのカプセル化データグラムは、オリジナル・パケットと同じ方法でルーティングまたはトランスポートされます。

図 1 は、トランスポート・モードで AH を使用してカプセル化される IPv4 パケットを示しています。

図 1. トランスポート・モードで AH を使用してカプセル化される IPv4 パケット
IP ヘッダー、認証ヘッダー、IP ペイロード (すべて認証済み) を示します。

図 2 は、トランスポート・モードで ESP を使用してカプセル化される IPv4 パケットを示しています。

図 2. トランスポート・モードで ESP を使用してカプセル化される IPv4 パケット
IP ヘッド、ESP ヘッド、IP ペイロード、ESP 証跡、ESP 認証データ。IP ペイロード - 暗号化された ESP 証跡。ESP ヘッド - 認証済み証跡

図 3 は、トランスポート・モードで AH を使用してカプセル化される IPv6 パケットを示しています。

図 3. トランスポート・モードで AH を使用してカプセル化される IPv6 パケット
オリジナルの IP ヘッダー、拡張ヘッダー、AH、拡張ヘッダー、IP ペイロード (可変フィールドを除きすべて認証済み)。

IPv6 可変フィールドについては、RFC 2402 を参照してください。 RFC のアクセスについては、関連プロトコル仕様を参照してください。

図 4 は、トランスポート・モードで ESP を使用してカプセル化される IPv6 パケットを示しています。

図 4. トランスポート・モードで ESP を使用してカプセル化される IPv6 パケット
オリジナルの IP ヘッダー、拡張ヘッダー、認証開始、ESP、暗号化開始、拡張ヘッダー、IP ペイロード、暗号化/認証終了、ESP 認証データ

トンネル・モードのカプセル化では、セキュリティー・エンドポイントの発信元アドレスと送信先アドレスを含む新規 IP ヘッダーが作成されます。 トンネル・モードの使用時は、外部 IP ヘッダーは、セキュリティー・エンドポイントの発信元と送信先を反映しています。このセキュリティー・エンドポイントの発信元と送信先は、データ接続のオリジナルの発信元と送信先の IP アドレスと同じである場合も、同じでない場合もあります。トランスポート・モードとトンネル・モードのどちらを選ぶかは、ネットワークの構造によって決まり、エンドポイント間の論理接続により大きく左右されます。IKE ピアの一方が、もう一方のホスト (複数の場合あり) に代わって IPSec を適用するセキュリティー・ゲートウェイである場合は、トンネル・モードが必要です。トンネル・モードでカプセル化されるデータグラムは、このセキュリティー・ゲートウェイを経由してルーティングまたはトンネリングされます。この場合、セキュア IPSec パケットは、オリジナル・データグラムと同じネットワーク・パス上を流れない可能性があります。 アウトバウンド・パケットを正常にカプセル化して送信するには、経路テーブルに、セキュリティー・ゲートウェイへの到達に使用できる経路と共に、データ・エンドポイントへの到達に使用できる経路も含まれている必要があります。IP セキュリティーがアクティブな TCP/IP スタックで、ポリシー・ベース・ルーティングを使用する場合、この 2 つの機能の相互作用を理解することが重要です。詳しくは、ポリシー・ベース・ルーティングと IP セキュリティーを併用する場合の考慮事項を参照してください。

図 5 は、トンネル・モードで AH を使用してカプセル化される IPv4 パケットを示しています。

図 5. トンネル・モードで AH を使用してカプセル化される IPv4 パケット
すべて認証済みの、新規 IP ヘッダー、認証ヘッダー、IP パケット (オリジナルの IP ヘッダーおよび IP ペイロード)。

図 6 は、トンネル・モードで ESP を使用してカプセル化される IPv4 パケットを示しています。

図 6. トンネル・モードで ESP を使用してカプセル化される IPv4 パケット
新規 IP ヘッド、ESP ヘッド、IP パケット、ESP 証跡、ESP 認証データ。IP パケット - 暗号化された ESP トレーラー、ESP ヘッダー - ESP 認証証跡

図 7 は、トンネル・モードで AH を使用してカプセル化される IPv6 パケットを示しています。

図 7. トンネル・モードで AH を使用してカプセル化される IPv6 パケット
新規 IP ヘッド、拡張ヘッド、AH、オリジナルの IP ヘッド、外部ヘッド、IP ペイロード (新規ヘッドの可変フィールドを除き認証済み)

IPv6 可変フィールドについては、RFC 2402 を参照してください。

図 8 は、トンネル・モードで ESP を使用してカプセル化される IPv6 パケットを示しています。

図 8. トンネル・モードで ESP を使用してカプセル化される IPv6 パケット
新規 IP ヘッド。拡張ヘッド。認証開始。ESP。暗号化開始。オリジナルの IP ヘッド。外部ヘッド。IP ペイロード、認証/暗号化の終了。ESP 認証データ

トンネル・モードのカプセル化を、IKE トンネルまたは IPSec トンネルと混同しないようにしてください。このコンテキストでいうトンネルは、IPSec パケットが構成される方式に言及しているだけですが、IKE トンネルおよび IPSec トンネルは、ホスト間のセキュアな論理接続を表す概念として定義されています。IPSec トンネルは、トランスポート・モードおよびトンネル・モードのどちらのカプセル化も使用することができます。

動的トンネルの場合は、カプセル化モードの選択は、IP セキュリティー・ポリシー構成ファイル内で IpDataOffer ステートメントを使用して構成されます。手動トンネルの場合は、IPSec プロトコルの選択は、IP セキュリティー・ポリシー構成ファイル内で IpManVpnAction ステートメントを使用して構成されます。IpDataOffer ステートメントおよび IpManVpnAction ステートメントについて詳しくは、「z/OS Communications Server: IP 構成解説書」を参照してください。

ガイドライン: ホスト対ホストのシナリオでは、一般にトランスポート・モードが使用されます。これは、追加の IP ヘッダーを作成するためのオーバーヘッドを負担する必要がないためです。ただし、トンネル・モードも同様に有効です。
ヒント: IKE エンドポイントとしてセキュア・ゲートウェイを包含する構成では、トンネル・モードが必要です。しかし、IKEv2 が使用されている場合は、自動的にカプセル化モードの選択が実行されます。接続がホスト間で行われていると判断される場合、IKED はトランスポート・モードを使用します。それ以外の場合は、IKED はトンネル・モードのカプセル化を使用します。この動作は、関連付けられた KeyExchangeAction ステートメントの HowToEncapIKEv2 パラメーターを使用してオーバーライドすることができます。詳しくは、「z/OS Communications Server: IP 構成解説書」の KeyExchangeAction ステートメントを参照してください。
規則: シスプレックス・ワイド・セキュリティー・アソシエーションを使用している場合は、動的セキュリティー・アソシエーションでは、DVIPA アドレスを包含するサブネットまたは範囲は使用できません。テークオーバーが一貫して機能するためには、単一 IP アドレスについてのみセキュリティー・アソシエーションをネゴシエーションする必要があります。同じセキュリティー・アソシエーションの対象となっている 2 つの DVIPA が、2 つの異なるバックアップ・スタックにより後で引き継がれた場合、セキュリティー・アソシエーションの対象があいまいになります。その理由は、セキュリティー・アソシエーションは 2 つの異なるスタック上の 2 つの DVIPA にリンクされることになるためです。
親トピック: カプセル化