オリジナルの IP パケットがどのように変更されるかは、使用するカプセル化モードによって異なります。AH および ESP で使用されるカプセル化モードには、トランスポート・モードとトンネル・モードの 2 つがあります。
トランスポート・モードのカプセル化では、オリジナルの IP ヘッダーがそのまま保持されます。したがって、トランスポート・モードの使用時は、IP ヘッダーは、パケットのオリジナルの発信元と送信先を反映しています。トランスポート・モードが使用されるのは、ホスト対ホストのシナリオ、つまりデータ・エンドポイントとセキュリティー・エンドポイントが同じである場合がほとんどです。トランスポート・モードのカプセル化データグラムは、オリジナル・パケットと同じ方法でルーティングまたはトランスポートされます。
図 1 は、トランスポート・モードで AH を使用してカプセル化される IPv4 パケットを示しています。
図 2 は、トランスポート・モードで ESP を使用してカプセル化される IPv4 パケットを示しています。
図 3 は、トランスポート・モードで AH を使用してカプセル化される IPv6 パケットを示しています。
IPv6 可変フィールドについては、RFC 2402 を参照してください。 RFC のアクセスについては、関連プロトコル仕様を参照してください。
図 4 は、トランスポート・モードで ESP を使用してカプセル化される IPv6 パケットを示しています。
トンネル・モードのカプセル化では、セキュリティー・エンドポイントの発信元アドレスと送信先アドレスを含む新規 IP ヘッダーが作成されます。 トンネル・モードの使用時は、外部 IP ヘッダーは、セキュリティー・エンドポイントの発信元と送信先を反映しています。このセキュリティー・エンドポイントの発信元と送信先は、データ接続のオリジナルの発信元と送信先の IP アドレスと同じである場合も、同じでない場合もあります。トランスポート・モードとトンネル・モードのどちらを選ぶかは、ネットワークの構造によって決まり、エンドポイント間の論理接続により大きく左右されます。IKE ピアの一方が、もう一方のホスト (複数の場合あり) に代わって IPSec を適用するセキュリティー・ゲートウェイである場合は、トンネル・モードが必要です。トンネル・モードでカプセル化されるデータグラムは、このセキュリティー・ゲートウェイを経由してルーティングまたはトンネリングされます。この場合、セキュア IPSec パケットは、オリジナル・データグラムと同じネットワーク・パス上を流れない可能性があります。 アウトバウンド・パケットを正常にカプセル化して送信するには、経路テーブルに、セキュリティー・ゲートウェイへの到達に使用できる経路と共に、データ・エンドポイントへの到達に使用できる経路も含まれている必要があります。IP セキュリティーがアクティブな TCP/IP スタックで、ポリシー・ベース・ルーティングを使用する場合、この 2 つの機能の相互作用を理解することが重要です。詳しくは、ポリシー・ベース・ルーティングと IP セキュリティーを併用する場合の考慮事項を参照してください。
図 5 は、トンネル・モードで AH を使用してカプセル化される IPv4 パケットを示しています。
図 6 は、トンネル・モードで ESP を使用してカプセル化される IPv4 パケットを示しています。
図 7 は、トンネル・モードで AH を使用してカプセル化される IPv6 パケットを示しています。
IPv6 可変フィールドについては、RFC 2402 を参照してください。
図 8 は、トンネル・モードで ESP を使用してカプセル化される IPv6 パケットを示しています。
トンネル・モードのカプセル化を、IKE トンネルまたは IPSec トンネルと混同しないようにしてください。このコンテキストでいうトンネルは、IPSec パケットが構成される方式に言及しているだけですが、IKE トンネルおよび IPSec トンネルは、ホスト間のセキュアな論理接続を表す概念として定義されています。IPSec トンネルは、トランスポート・モードおよびトンネル・モードのどちらのカプセル化も使用することができます。
動的トンネルの場合は、カプセル化モードの選択は、IP セキュリティー・ポリシー構成ファイル内で IpDataOffer ステートメントを使用して構成されます。手動トンネルの場合は、IPSec プロトコルの選択は、IP セキュリティー・ポリシー構成ファイル内で IpManVpnAction ステートメントを使用して構成されます。IpDataOffer ステートメントおよび IpManVpnAction ステートメントについて詳しくは、「z/OS Communications Server: IP 構成解説書」を参照してください。