![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
ネットワーク用語 > トンネルモード
トンネルモード = Tunnel Mode
トランスポートモード/トンネルモード - マルチメディア振興センター
IPsecの通信モード
IPsecの通信モードには、データ部分のみの認証/暗号化を行い、元のIPヘッダは対象としない「トランスポートモード」とIPヘッダも含めて暗号化・カプセル化する「トンネルモード」の2つがあります。
トランスポートモードはエンド・ツー・エンドで認証や暗号化を行う場合に使用し、一方トンネルモードはネットワーク間の通信に対して認証や暗号化を行う場合に使用します。
トンネルモード
IPsecを利用したいネットワーク間のどちらか一方の終端にセキュリティ・ゲートウェイがある場合には、必ずトンネルモードを使用します。
送信元ネットワークのゲートウェイでIPのヘッダ(プライベートIPヘッダ)を含めたIPパケット全体を暗号化してペイロード(送信データ)とした上で、新たにIPヘッダ(パブリックIPヘッダ)をつけて送信します。
それを受信先ネットワークのゲートウェイが復号化し、宛先ホストに転送します。
このように個々のゲートウェイで処理を行うことで、パケットの最終の宛先IPアドレスも隠蔽することができますし、トランスポートモードを使った通信サービスが提供されていないOSを使用したコンピュータであっても暗号化通信が行えます。
AH使用時は新規につけたIPヘッダを含んだ全体が認証対象となりますが、ESP使用時は新規IPヘッダ以降が処理の対象となります。
異なるネットワーク間でIPsecを利用したVPN(Vertual Private Network)を構築する場合にはトンネルモードを使用するのが一般的です。
| 通信モード | ネットワークへの適用例 |
| トランスポートモード | IPsecが実装されたホスト間でのIPsec-VPN |
| トンネルモード | IPsecが実装されたルータ間でのIPsec-VPN |
IPsec - トランスポートモード・トンネルモード -
http://www.infraexpert.com/study/ipsec6.html
