| AH | 送信元の認証や改ざんされていないことを保証。暗号化はしない。 尚、NAT機能が有効だと改ざんされたパケットとみなされ認証できない。 |
| IKEによる鍵交換(UDPポート500番使用。ISAKMPとも呼ぶ) | IKEにはメインモードとアグレッシブモードが存在する。 ・メインモードは事前共有鍵認証でセキュリティは高いが、事前共有鍵を識別するために固定IPアドレスである必要がある。 ・アグレッシブモードはセキュリティはメインモードよりも落ちるが、動的にIPアドレスが変わる場合でも適用できる。 鍵交換で使用するポート番号は固定されているためNAPTにより書き換えると使用できないので 以下例のような対処方法を取る。 1.VPNパススルー(*)を持つルーターを用いる。 2.ダミーのUDPヘッダを付加するNATトラバーサル方式を採用する。 |
| ESP | 暗号化するデータの前にESPヘッダを用いてカプセル化する方式で以下の2つの方式がある。 ・IPパケット全体を暗号化するトンネルモード ・IPパケットのデータ部のみを暗号化するトランスポートモード ※1:LAN間接続を行う場合には、トンネルモードを使用する必要がある(NAPT等によりIPアドレスが書き変わるため) ※2:ESPヘッダを付けたパケットはポート番号も暗号化され存在しないため、NAPTを動作できないので、 VPNパススルー(*)を持つルーターを用いるかダミーのUDPヘッダを付加するNATトラバーサル方式でないとうまく実現できない。 |
