ポリシー・ベース・ルーティングでは、ルーティング規則で記述されるトラフィックを、1 つ以上の経路テーブルを使用して経路指定することができます。ポリシー・ベース・ルーティングを使用する TCP/IP スタックで IP セキュリティーがアクティブである場合、この 2 つの機能の相互作用を理解することが重要です。IP セキュリティーがアクティブであるスタックでは、トラフィックは AH、ESP、または UDP カプセル化 ESP ヘッダーにカプセル化することができます。カプセル化されたトラフィックがセキュリティー・ゲートウェイに送信される (つまり、リモート・トンネル・エンドポイントがリモート・データ・エンドポイントと同じではない) 場合、追加の IP ヘッダーを追加できます。カプセル化されていない元のトラフィックの特性に基づいて、一致するルーティング規則が選択されます。
一致するルーティング規則とアクションに関連した経路テーブルが、カプセル化されたトラフィックの経路指定に使用されます。
例えば、次の構成を想定します。
- ソース・アドレス 9.1.1.1 および宛先アドレス 167.0.0.0/8 を持つトラフィックが IPSec 保護を備えるように、IPSec フィルター規則 FilterRule1 が構成される。
トラフィックはカプセル化され、ルーター 9.2.2.2、セキュリティー・ゲートウェイに送信される。
- ルーティング規則 FTPRULE が、ソース・アドレス 9.1.1.1 を持つ FTP トラフィックに対して構成される。関連したアクションは、経路テーブル FTPRTES を使用してトラフィックを経路指定すること、およびメイン経路テーブルを検索しないことを指定する。
この構成を前提とすると、IP アドレス 9.1.1.1 から IP アドレス 167.1.1.1 に送信される FTP トラフィックに対して、以下の処理が実行されます。
- FTP トラフィックはルーティング規則 FTPRULE を突き合わせ、宛先 167.1.1.1 への経路指定に使用される経路テーブル FTPRTES で経路が見つかります。
- FTP トラフィックは、IPSec フィルター規則 FilterRule1 を突き合わせます。
- FTP トラフィックはカプセル化され、宛先アドレス 9.2.2.2 で新しい IP ヘッダーが追加されます。
- カプセル化されたパケットが、経路テーブル FTPRTES で定義された経路に基づいて経路指定されます。トラフィックを正常に送信するには、経路テーブル FTPRTES には、宛先 9.2.2.2 への経路指定に使用される経路も含まれていなければなりません。
含まれていない場合、トラフィックは、宛先 167.1.1.1 に対して検出された経路を使用して送信されます。トラフィックの送信が成功するかどうかは、ネットワークの接続によって決まります。
要件: IPSec カプセル化され、セキュリティー・ゲートウェイに送信される予定のトラフィックに、ルーティング規則が適用される場合、そのルーティング規則とアクションに関連した経路テーブルには、セキュリティー・ゲートウェイへの到達に使用できる経路とともに、元の宛先への到達に使用できる経路も含まれている必要があります。
IP セキュリティーに関する詳細については、IP セキュリティーを参照してください。