ESP パケットの作成時に ESP ヘッダーの前に UDP ヘッダーを配置すると、ESP パケットはさらにカプセル化されます。これを UDP カプセル化と言います。 UDP カプセル化は、IPSec トラフィックが正常に NAT デバイスをトラバースできるようにするために使用されます。 NAT トラバーサル (NATT) についての詳細は、IPSec およびネットワーク・アドレス変換デバイスを参照してください。 z/OS® Communications Server は、IPv4 トラフィックのみに対して NAT トラバーサルをサポートします。
z/OS Communications Server は UDP カプセル化のトンネル・モードとトランスポート・モードの両方をサポートします。
図 1 に示すように、UDP カプセル化トランスポート・モードでは、通常のトランスポート・モードの ESP パケットの IP ヘッダーと ESP ヘッダーの間に、UDP ヘッダーが挿入されます。
図 2 に示すように、UDP カプセル化トンネル・モードでは、通常のトンネル・モードの ESP パケットの新規 IP ヘッダーと ESP ヘッダーの間に、UDP ヘッダーが挿入されます。
IPSec UDP カプセル化パケットの作成時に、UDP ヘッダー内の発信元と送信先のポート値は、IKE ポート値 4500 に設定されます。
トランスポート・モードかトンネル・モードかの選択は、IP セキュリティー・ポリシー構成ファイル内で IpDataOffer ステートメントを使用して構成します。IpDataOffer ステートメントについて詳しくは、「z/OS Communications Server: IP 構成解説書」を参照してください。
UDP カプセル化モードを使用するかどうかは、構成によって決定されるのではなく、2 つの IKE デーモン間で NAT 検出時に推定して決定されます。