前節ではNATを介した一対一のIPsec通信を考えたが、AIPTにルールを追加することで、
NAT配下でのN対NのIPsec通信が行えることを示すため図5-11のようなネットワークを
考える。
AIPT 1
IPsec Host A
IPsec Host B 192.168.1.3
Internet
LAN 1
192.168.2.3
LAN 2 AIPT 2
192.168.1.2
192.168.2.2 IPsec Host α
IPsec Host β 1.1.1.1 2.2.2.2
LAN 3
AIPT 3
IPsec Host X IPsec Host Y
3.3.3.3 IPsec Host C 192.168.1.4
9.9.9.9 IPsec Host ζ
IPsec Host Z
192.168.3.3 192.168.3.2
192.168.3.4
192.168.2.4 IPsec Host γ
図5-11 AIPTが3台の構成
図5-11ではLAN2、LAN3を追加している。 LAN2、3はLAN1と同様にプライベートア
ドレスを用いたネットワークであり、AIPT によって外部ネットワークと接続されている。ま た端末ζはグローバルIP アドレスを持ち、インターネットに直接接続された端末である。こ のネットワークで次のペアのIPsec通信を同時に実施できるように3台のAIPTを設定する。
・端末A(192.168.1.2)⇔端末α(192.168.2.2)
・端末B(192.168.1.3)⇔端末Y(192.168.3.3)
・端末γ(192.168.2.4)⇔端末Z(192.168.3.4)
・端末C(192.168.1.4)⇔端末ζ(9.9.9.9)
このペアを構成する端末はすべて、NAT配下にあるため、従来のIPsec Pass Throughでは これらのペアのIPsec通信を同時に実現することができない。しかし、AIPTではソースIPア ドレスをアドレス変換ルールに用いることで上記のペアが同時に通信することが可能である。
AIPT1、2、3に表5-5~表5-10をそれぞれ設定する。これらのあて先アドレスNATは対向す
るAIPTのIPアドレスをソースIPアドレスとして含むNATルールである。ソースIPアドレ スNATのルールは暗黙的に設定しうるが、説明のために明記した。
表5-5 AIPT1の宛先アドレスNAT
ルール番号 ソースIPアドレス プロトコルとポート番号 転送先IPアドレス
No.1 2.2.2.2 IPsec ESP 192.168.1.2
No.2 2.2.2.2 UDP 500 192.168.1.2
No.3 3.3.3.3 IPsec ESP 192.168.1.3
No.4 3.3.3.3 UDP 500 192.168.1.3
No.5 9.9.9.9 IPsec ESP 192.168.1.4
No.6 9.9.9.9 UDP 500 192.168.1.4
表5-6 AIPT1のソースIPアドレスNAT
ルール番号 宛先IPアドレス プロトコルとポート番号 変換ソースIPアドレス
No.1 any IPsec ESP 1.1.1.1
No.2 any UDP 500 1.1.1.1
表5-7 AIPT2の宛先アドレスNAT
ルール番号 ソースIPアドレス プロトコルとポート番号 転送先IPアドレス
No.1 1.1.1.1 IPsec ESP 192.168.2.2
No.2 1.1.1.1 UDP 500 192.168.2.2
No.3 3.3.3.3 IPsec ESP 192.168.2.4
No.4 3.3.3.3 UDP 500 192.168.2.4
No.1 Any IPsec ESP 2.2.2.2
No.2 Any UDP 500 2.2.2.2
表5-9 AIPT3の宛先アドレスNAT
ルール番号 ソースIPアドレス プロトコルとポート番号 転送先IPアドレス
No.1 1.1.1.1 IPsec ESP 192.168.3.3
No.2 1.1.1.1 UDP 500 192.168.3.3
No.3 2.2.2.2 IPsec ESP 192.168.3.4
No.4 2.2.2.2 UDP 500 192.168.3.4
表5-10 AIPT3のソースIPアドレスNAT
ルール番号 宛先IPアドレス プロトコルとポート番号 変換ソースIPアドレス
No.1 any IPsec ESP 3.3.3.3
No.2 any UDP 500 3.3.3.3
これらのルールによって上記の3つのペアのパケットはアドレス変換されて端末間の IPsec 通信が実現している。具体的にAIPT1を介する通信について適用されるルールを示す。
具体的に端末Aから送信されたIPsecパケットがAIPT1、AIPT2を通過して、端末αに到 達するまでのパケットのヘッダのアドレス変換を図5-12~図5-14に示す。図5-12に示したよ うに、端末Aは端末αとIPsec通信するために、ESPの内部ヘッダ(Inner Header)のソース IPアドレスに192.168.2.2(自身のアドレス)、宛先アドレスに192.168.1.2(端末Aの実アドレ ス)を格納し、外部ヘッダ(Outer Header)のソースIPアドレスに192.168.2.2(自身のアドレス)、
宛先アドレスに1.1.1.1(AIPT1のアドレス)を格納してパケットを送信する。
Source address 192.168.2.2
Destination address 1.1.1.1
ESP
Heeder ESP DATA
Inner Heeder Outer Heeder
Source address 192.168.2.2
Destination address 192.168.1.2 図5-12 端末αからAIPT2へのパケット
AIPT2は表5-8のNo.1に従って受け取ったパケットのソースIPアドレスを自身のグローバ
ルIPアドレス(2.2.2.2)に変換して図5-13に示すパケットをAIPT1に向けてルーティングする。
Source address 2.2.2.2
Destination address 1.1.1.1
ESP
Heeder ESP DATA
Inner Heeder Outer Heeder
Source address 192.168.2.2
Destination address 192.168.1.2 図5-13 AIPT1からAIPT2へのパケット
パケットを受け取ったAIPT1は表5-5のNo.1に従ってあて先を端末Aのアドレス(192.168.
1.2)に書き換えた図5-14に示すパケットを端末Aに送信し、通信が完了する。
Source address 2.2.2.2
Destination address 192.168.1.2
ESP
Heeder ESP DATA
Inner Heeder Outer Heeder
Source address 192.168.2.2
Destination address 192.168.1.2 図5-14 AIPT1から端末Aへのパケット
端末 A から端末αへの通信も同様に処理される。具体的には端末 A から端末αに向かう
IPsecパケットは表5-6のNo.1によりソースIPアドレスが書き変えられ、AIPT2に転送され
る。AIPT2では表5-7のNo.1が適用され、宛先アドレスを変換したパケットが端末αに転送 される。
端末Yから端末Bに向かうパケットはAIPT3では表5-10のNo.1が、AIPT1では表5-5の No.3が適用されて端末Bに到達する。
このようにソースIPアドレスとLAN内の転送先の端末を対応付けることで、上記のIPsec の通信のペアを同時に実現することができる。
ESPについてアドレス変換を述べたが、IKEとUDPカプセル化についても同様に両端末が NATの配下にある環境でも、外部のユーザが選択したIPsec端末に到達させることができる。
このように従来技術では不可能であった、NAT配下の複数の端末が、外部のNAT配下にあ る異なる端末とそれぞれ独立して IPsec 通信を実現することができる。ここまで見たように、
本提案方式によって、提案方式を用いることで、5.1 で述べた、要求条件を満たすネットワー クを構築することができる。