本節では、提案方式の原理について述べる。前章では、TCP/UDP でサービスを提供してい るLAN内のサーバが外部から接続されるためのNATルールに外部端末のソースIPアドレス を動的に用いる拡張を行った。この拡張によりNAT内部にある同じポート番号を利用する異 なる機器に外部ユーザがそれぞれ独立して同時にアクセスできることを示した。
本章では同じ原理をIPsec通信に用いて、TCP/UDPのサービス同様にIPsecについても複 数の外部端末がLAN内部の異なるIPsec機器との通信を同時に利用できることを示す。
Advanced IPsec Pass Through
(AIPT) 192.168.1.3
IPsec host α IPsec host A
IPsec host B
192.168.1.2
1.1.1.1
Internet
Home LAN
IPsec host β
192.168.1.4 IPsec host C
IPsec host δ 2.2.2.2
3.3.3.3 4.4.4.4 5.5.5.5
Alice Bob
IPsec host γ
Dave
図5-2 AIPTが一台のネットワーク
本節では図5-2のようなネットワークを想定する。図中でAdvanced IPsec Pass Through(以
下 AIPT)は提案する方式を持つ NAT ルータである。まず端末α(2.2.2.2)と内部の端末
A(192.168.1.2)がIPsec通信する場合について述べる。AIPTには、表5-1、
表5-2に示すNATルールを設定する。表5-1は従来のIPsec Pass Throughのルールにソー ス IP アドレスの項目を加えたものである。表中のソース IPアドレスは受信したパケットの ソースIPアドレスを示している。AIPTは外部から受け取ったパケットを表5-1のルールでチ ェックし、ソースIP アドレスとプロトコル種別とポート番号の条件に一致するパケットを受 け取ると、あて先を転送先IPアドレスに書かれたIPアドレスに書き換えてLAN内に転送す
また、従来のIPsec Pass Throughと同様に、内部から外部へ出るパケットのソースIPアドレ スは
表5-2によってAIPTのもつグローバルIPアドレスに変換される。このルールは多くの場合 は暗黙的に設定されるが説明のために本節では明記する。AIPTは内部からESPやIKEのパ ケットを受け取ると、
表5-2のNo.1によってESPパケットのソースIPアドレスを1.1.1.1に書き換えて転送する。
同様にNo.2によってIKEのパケットのソースIPアドレスを1.1.1.1に書き換えて転送する。
表5-1 AIPTの宛先アドレスNAT
ルール番号 ソースIPアドレス プロトコルとポート番号 転送先IPアドレス
No.1 2.2.2.2 IPsec ESP 192.168.1.2
No.2 2.2.2.2 UDP 500 (IKE) 192.168.1.2
表5-2 AIPTのソースIPアドレスNAT
ルール番号 ソースIPアドレス プロトコルとポート番号 変換ソースIPアドレス
No.1 any IPsec ESP 1.1.1.1
No.2 any UDP 500 1.1.1.1
この二つのルールによって、ESP パケットがどのようにアドレス変換されるかを次に示す。
このアドレス変換は従来のIPsec Pass Throughと同様である。端末αはIPTに向けて図5-3 のパケットを送出する。図中のInner HeaderはESPカプセル化されており、Source Address, Destination Address はそれぞれこの通信の最初のパケット送信元と最終的なパケット受け とり先である。Outer Headerは通常のIPパケットのSource AddressとDestination Address である。
Source address 2.2.2.2
Destination address 1.1.1.1
ESP Header
ESP DATA Inner Header
Outer Header
Source address 2.2.2.2
Destination address 192.168.1.2
図5-3 端末αからAIPTへのパケット
図5-3のパケットを受け取ったAIPTは表5-1のNo.1に従って宛先アドレスを書き変えた図 5-4のパケットを端末Aへ転送する。
Source address 2.2.2.2
Destination address 192.168.1.2
ESP Header
ESP DATA Inner Header
Outer Header
Source address 2.2.2.2
Destination address 192.168.1.2
図5-4 AIPTから端末Aへのパケット
次に端末Aが端末αにパケットを送信する場合について述べる。端末Aは図5-5のパケットを 送出する。
Source address 192.168.1.2
Destination address 2.2.2.2
ESP
Header ESP
DATA Inner Header
Outer Header
Source address 192.168.1.2
Destination address 2.2.2.2
図5-5 端末AからAIPTへのパケット
図5-5のパケットを受け取ったAIPTはソースIPアドレスを
表5-2のNo.1のルールに従ってソースIPアドレスを書き変えた図5-6のパケットを端末αに 転送する。
Source address 1.1.1.1
Destination address 2.2.2.2
ESP Header
ESP DATA Inner Header
Outer Header
Source address 192.168.1.2
Destination address 2.2.2.2
図5-6 AIPTから端末αへのパケット IKEについても表5-1、
表5-2に従って同様にNATと転送が行われる。端末αはIPTに向けて図5-7のIKEパケット を送出する。IKE パケットはUDP500番ポートを用いるパケットであり、通常の UDPパケ ットとしてNAT処理される。
Source address 2.2.2.2
Destination address 1.1.1.1
UDP 500
UDP DATA 図5-7 端末αからAIPTへのIKEパケット
図5-7のパケットを受け取ったAIPTは表5-1のNo.2に従って宛先アドレスを書き変えた図 5-8のパケットを端末Aへ転送する。
Source address 2.2.2.2
Destination address 192.168.1.2
UDP 500
UDP DATA 図5-8 AIPTから端末AへのIKEパケット
次に端末Aが端末αにパケットを送信する場合について述べる。端末Aは図5-9のパケットを 送出する。
Source address 192.168.1.2
Destination address 2.2.2.2
UDP 500
UDP DATA 図5-9 端末AからAIPTへのIKEパケット
図5-9のパケットを受け取ったAIPTはソースIPアドレスを
表5-2のNo.2のルールに従ってソースIPアドレスを書き変えた図5-10のパケットを端末α に転送する。
Source address 1.1.1.1
Destination address 2.2.2.2
UDP 500
UDP DATA 図5-10 AIPTから端末αへのIKEパケット
このようにESPとIKEパケットが端末αと端末Aの間でNATを介して通信している状態 からさらに、端末βと端末BをIPsecで通信できるようにする。表5-1へ端末βのIPアドレ スをソースIPアドレスとし、転送先を端末BとするIPsecとIKEに関するNATルール(No.3、
No.4)を追加して表5-3を作成する。このルールは上から順に評価され、ソースIPアドレスと
プロトコルとポート番号が最初に一致したルールを適用する。最後まで評価を行っても、該当 するルールがなければルータ自身に充てたパケットとして処理される。
表5-3 AIPTの宛先アドレスNATルール 2
ルール番号 ソースIPアドレス プロトコルとポート番号 転送先IPアドレス
No.1 2.2.2.2 IPsec ESP 192.168.1.2
No.2 2.2.2.2 UDP 500 192.168.1.2
No.3 3.3.3.3 IPsec ESP 192.168.1.3
No.4 3.3.3.3 UDP 500 192.168.1.3
No.3、No.4のルールにより、端末β(3.3.3.3)からのIPsecパケットとIKEパケットは端末 B(192.168.1.3)へNATされるようになる。端末Bから端末βへのIPsecとIKEのパケットは 表5-2によって、端末Aと同様に、ソースIPアドレスを1.1.1.1に書き変えて転送される。一
方で、端末αから到達したパケットは表5-3のNo.1、2のルールが適用されるため端末αと端 末Aの通信は継続している。このように、ソースIPアドレスをルールに用いることで、NAT 装置のLAN内にある端末A、BのIPsec通信の送受信を同時に実現することができる。さら に、同様のペアを追加することも可能である。次に示すように、ルールを追加することで端末 A がさらに外部端末γ(4.4.4.4)と通信することも可能である。端末γに関するルールを No.5、
6に、ソースIPアドレスにany(任意の値)を含むルールをNO.7、8に追加し表5-4を作成 する。
表5-4 AIPTの宛先アドレスNAT 3
ルール番号 ソースIPアドレス プロトコルとポート番号 転送先IPアドレス
No.1 2.2.2.2 IPsec ESP 192.168.1.2
No.2 2.2.2.2 UDP 500 192.168.1.2
No.3 3.3.3.3 IPsec ESP 192.168.1.3
No.4 3.3.3.3 UDP 500 192.168.1.3
No.5 4.4.4.4 IPsec ESP 192.168.1.2
No.6 4.4.4.4 UDP 500 192.168.1.2
No.7 any IPsec ESP 192.168.1.4
No.8 any UDP 500 192.168.1.4
端末γから送られたIPsecのパケットは表5-4のNo.5のルールにより端末Aに送られる。
この際にも端末αと端末Aの通信はNo.1が適用されているため継続している。
また、No.7とNo.8は従来のIPsec Pass Throughの動作に対応する。すなわち、このルー ルはインターネット上の端末α、β、γを除くすべての端末から来た IPsec パケットと IKE パケットを端末C(192.168.1.4)へ転送するためのものである。図中の端末δから送信されたパ
ケットはNo.7、8によって端末Cへ送信される。
ここまで、ESPとIKEのルールについて述べてきたが、UDP カプセル化はIKEと同様に UDPパケットとして処理されるため、本提案方式は端末がIPsecの通信方式としてUDPカプ セル化を利用する際にも、同様に利用できる。