Copyright (C) 200 Copyright (C) 200 Copyright (C) 200
Copyright (C) 2003333 All rights reserved , by Matsushima &YamadaAll rights reserved , by Matsushima &YamadaAll rights reserved , by Matsushima &YamadaAll rights reserved , by Matsushima &Yamada
I
P
s
e
c
2003/12/3
2003/12/3
2003/12/3
2003/12/3
株式会社ディアイティ
株式会社ディアイティ
株式会社ディアイティ
株式会社ディアイティ
セキュリティビジネス推進室
セキュリティビジネス推進室
セキュリティビジネス推進室
セキュリティビジネス推進室
山田 英史
山田 英史
山田 英史
山田 英史
T10
T10
T10
T10:
::
:IPSec
IPSec
IPSec
IPSec ~
~
~
~技術概要とセキュアなネットワークの実現手法~
技術概要とセキュアなネットワークの実現手法~
技術概要とセキュアなネットワークの実現手法~
技術概要とセキュアなネットワークの実現手法~
第
第
第
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
2
22
2
第二部の内容
第二部の内容
第二部の内容
第二部の内容
1.
1.
1.
1. IPsec
IPsec
IPsec
IPsec VPN
VPN
VPN
VPNの設計ポイント
の設計ポイント
の設計ポイント
の設計ポイント
2.
2.
2.
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
3
33
3
T10:IPSec ~技術概要とセキュアなネットワークの実現手法~
第二部
1.
1.
1.
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
4
44
4
1
11
1-
--
-1.
1.
1.
1. 要求仕様の確認
要求仕様の確認
要求仕様の確認
要求仕様の確認
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
5
55
5
要求事項の確認
要求事項の確認
要求事項の確認
要求事項の確認
•
導入の目的
導入の目的
導入の目的
導入の目的
•
既存ネットワークの構成(ルータ、
既存ネットワークの構成(ルータ、
既存ネットワークの構成(ルータ、
既存ネットワークの構成(ルータ、
NAT
NAT
NAT
NAT、
、
、Firewall
、
Firewall
Firewall等
Firewall
等
等
等 既存機器の確
既存機器の確
既存機器の確
既存機器の確
認)
認)
認)
認)
•
WAN
WAN
WAN
WAN側の回線種、
側の回線種、
側の回線種、
側の回線種、LAN
LAN
LAN
LAN側の回線
側の回線
側の回線
側の回線
種
種
種
種
•
アドレス体系
アドレス体系
アドレス体系
アドレス体系
•
トポロジー(スター型、メッシュ型、
トポロジー(スター型、メッシュ型、
トポロジー(スター型、メッシュ型、
トポロジー(スター型、メッシュ型、
一方向、双方向)
一方向、双方向)
一方向、双方向)
一方向、双方向)
•
VPN
VPN
VPN
VPNを利用するホストやネットワー
を利用するホストやネットワー
を利用するホストやネットワー
を利用するホストやネットワー
クの数
クの数
クの数
クの数
•
VPN
VPN
VPN
VPNと一般インターネットアクセ
と一般インターネットアクセ
と一般インターネットアクセ
と一般インターネットアクセ
スの併用
スの併用
スの併用
スの併用
•
アプリケーションの種類
アプリケーションの種類
アプリケーションの種類
アプリケーションの種類
•
流れるプロトコルの種類
流れるプロトコルの種類
流れるプロトコルの種類
流れるプロトコルの種類
•
パケットサイズ
パケットサイズ
パケットサイズ
パケットサイズ
•
アクセス制限や
アクセス制限やNAT
アクセス制限や
アクセス制限や
NAT
NAT
NATなど
など
など
など
•
品質(タイムアウト、遅延、障害時
品質(タイムアウト、遅延、障害時
品質(タイムアウト、遅延、障害時
品質(タイムアウト、遅延、障害時
の対応時間)
の対応時間)
の対応時間)
の対応時間)
•
トラフィック量の時間変化
トラフィック量の時間変化
トラフィック量の時間変化
トラフィック量の時間変化
•
管理者の有無
管理者の有無
管理者の有無
管理者の有無
•
保守体制(
保守体制(24
保守体制(
保守体制(
24
24h365d xx
24
h365d xx
h365d xx時間内)
h365d xx
時間内)
時間内)
時間内)
•
導入スケジュール
導入スケジュール
導入スケジュール
導入スケジュール
•
予算
予算
予算
予算
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
6
66
6
製品の
製品の
製品の
製品の“機能
機能
機能”と
機能
と
と“性能
と
性能
性能
性能”を見極める
を見極める
を見極める
を見極める
• 機能面と性能面を評価し、ニーズに合った
機能面と性能面を評価し、ニーズに合った
機能面と性能面を評価し、ニーズに合った
機能面と性能面を評価し、ニーズに合った
製品を選択
製品を選択
製品を選択
製品を選択
– 機能面
機能面
機能面
機能面
• IPsec
IPsec
IPsec
IPsecの実装レベル
の実装レベル
の実装レベル
の実装レベル
• 拡張機能
拡張機能
拡張機能
拡張機能
– 性能面
性能面
性能面
性能面
• スループット
スループット
スループット
スループット
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
7
77
7
IPsec
IPsec
IPsec
IPsec機器の形態
機器の形態
機器の形態
機器の形態
• 製品形態による特性も考慮
製品形態による特性も考慮
製品形態による特性も考慮
製品形態による特性も考慮
– IPsec
IPsec
IPsec専用装置
IPsec
専用装置
専用装置
専用装置
• 高スループット、低い故障率
高スループット、低い故障率
高スループット、低い故障率
高スループット、低い故障率
•
単機能
単機能
単機能
単機能
– IPsec
IPsec
IPsec機能付きファイアウォール
IPsec
機能付きファイアウォール
機能付きファイアウォール
機能付きファイアウォール
• 機能の統合、アクセス制限
機能の統合、アクセス制限
機能の統合、アクセス制限
機能の統合、アクセス制限
•
煩雑な管理、障害切り分けの難しさ
煩雑な管理、障害切り分けの難しさ
煩雑な管理、障害切り分けの難しさ
煩雑な管理、障害切り分けの難しさ
– IPsec
IPsec
IPsec機能付きルータ
IPsec
機能付きルータ
機能付きルータ
機能付きルータ
• 機能の統合、低い故障率
機能の統合、低い故障率
機能の統合、低い故障率
機能の統合、低い故障率
•
低スループット、機器自身のセキュリティ
低スループット、機器自身のセキュリティ
低スループット、機器自身のセキュリティ
低スループット、機器自身のセキュリティ
– IPsec
IPsec
IPsec client
IPsec
client
client
clientソフト
ソフト
ソフト
ソフト
• モバイル環境、低価格
モバイル環境、低価格
モバイル環境、低価格
モバイル環境、低価格
•
低スループット、分散管理
低スループット、分散管理
低スループット、分散管理
低スループット、分散管理
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
8
88
8
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
9
99
9
ポイント
ポイント
ポイント
ポイント
(1)
(1)
(1)
(1) トラフィックの質と量の把握
トラフィックの質と量の把握
トラフィックの質と量の把握
トラフィックの質と量の把握
(2)
(2)
(2)
(2) 既存ネットワークへの影響
既存ネットワークへの影響
既存ネットワークへの影響
既存ネットワークへの影響
(3)
(3)
(3)
(3) スループット
スループット
スループット
スループット
・パフォーマンス
・パフォーマンス
・パフォーマンス
・パフォーマンス
(4)
(4)
(4)
(4) SA
SA
SA
SAの検証
の検証
の検証
の検証
(5)
(5)
(5)
(5) 経路上のルータの設定
経路上のルータの設定
経路上のルータの設定
経路上のルータの設定
(6)
(6)
(6)
(6) IP
IP
IP
IPアドレスの運用
アドレスの運用
アドレスの運用
アドレスの運用
(7)
(7)
(7)
(7) フラグメンテーション
フラグメンテーション
フラグメンテーション
フラグメンテーション
(8)
(8)
(8)
(8) 認証方法の選択
認証方法の選択
認証方法の選択
認証方法の選択
(9)
(9)
(9)
(9) NAT
NAT
NAT併用の注意点
NAT
併用の注意点
併用の注意点
併用の注意点
(
((
(10
10
10
10)
))
) Firewall
Firewall
Firewall
Firewall併用時の注意点
併用時の注意点
併用時の注意点
併用時の注意点
(
((
(11
11
11
11)
))
) その他ソリューションとの併用
その他ソリューションとの併用
その他ソリューションとの併用
その他ソリューションとの併用
の注意点
の注意点
の注意点
の注意点
(
((
(12
12
12
12)
))
) IPsec
IPsec
IPsec
IPsec client
client
client
clientの仕様
の仕様
の仕様
の仕様
(
((
(13
13
13
13)
))
) 管理・監視機能
管理・監視機能
管理・監視機能
管理・監視機能
(
((
(14
14
14
14)
))
) 障害対応
障害対応
障害対応
障害対応
(
((
(15
15
15
15)
))
)
輸出規制に関する注意点
輸出規制に関する注意点
輸出規制に関する注意点
輸出規制に関する注意点
(
((
(16
16
16
16)
))
) 保守体制
保守体制
保守体制
保守体制
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
10
10
10
10
(1)トラフィックの質と量の把握
(1)トラフィックの質と量の把握
(1)トラフィックの質と量の把握
(1)トラフィックの質と量の把握
• トラフィック量は時間の経過によって変化す
トラフィック量は時間の経過によって変化す
トラフィック量は時間の経過によって変化す
トラフィック量は時間の経過によって変化す
る。
る。
る。
る。
– 日常業務のどの時間帯にトラフィックが
日常業務のどの時間帯にトラフィックが
日常業務のどの時間帯にトラフィックが
日常業務のどの時間帯にトラフィックが
最大になり、どのホストあるいはセグメン
最大になり、どのホストあるいはセグメン
最大になり、どのホストあるいはセグメン
最大になり、どのホストあるいはセグメン
トに集中するのかを把握
トに集中するのかを把握
トに集中するのかを把握
トに集中するのかを把握
– 流量に合わせたキャパシティを持つ製品
流量に合わせたキャパシティを持つ製品
流量に合わせたキャパシティを持つ製品
流量に合わせたキャパシティを持つ製品
を選択
を選択
を選択
を選択
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
11
11
11
11
(1)トラフィックの質と量の把握
(1)トラフィックの質と量の把握
(1)トラフィックの質と量の把握
(1)トラフィックの質と量の把握
• 流れるパケットの大きさとアプリケーション
流れるパケットの大きさとアプリケーション
流れるパケットの大きさとアプリケーション
流れるパケットの大きさとアプリケーション
のタイムアウトといった求められるトラフィッ
のタイムアウトといった求められるトラフィッ
のタイムアウトといった求められるトラフィッ
のタイムアウトといった求められるトラフィッ
クの質に注目
クの質に注目
クの質に注目
クの質に注目
– IPsec
IPsec
IPsec処理はオーバヘッドが大きい
IPsec
処理はオーバヘッドが大きい
処理はオーバヘッドが大きい
処理はオーバヘッドが大きい
• ショートパケットに弱いものもある
ショートパケットに弱いものもある
ショートパケットに弱いものもある
ショートパケットに弱いものもある
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
12
12
12
12
(2)既存ネットワークへの影響
(2)既存ネットワークへの影響
(2)既存ネットワークへの影響
(2)既存ネットワークへの影響
• IPsec
IPsec
IPsec
IPsec-
--
-VPN
VPN
VPN
VPNを導入するネットワークを図に起
を導入するネットワークを図に起
を導入するネットワークを図に起
を導入するネットワークを図に起
こし、
こし、
こし、
こし、IPsec
IPsec
IPsec
IPsec機器の設置箇所を吟味
機器の設置箇所を吟味
機器の設置箇所を吟味
機器の設置箇所を吟味
• 特に既存のネットワークへの影響やサービ
特に既存のネットワークへの影響やサービ
特に既存のネットワークへの影響やサービ
特に既存のネットワークへの影響やサービ
スへの影響を考慮する
スへの影響を考慮する
スへの影響を考慮する
スへの影響を考慮する
• 既存の機器との併用
既存の機器との併用
既存の機器との併用
既存の機器との併用
– ファイアウォールや
ファイアウォールや
ファイアウォールやNAT
ファイアウォールや
NAT
NAT
NATルータなどと
ルータなどと
ルータなどと
ルータなどと
の併用
の併用
の併用
の併用
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
13
13
13
13
(3)スループット・パフォーマンス
(3)スループット・パフォーマンス
(3)スループット・パフォーマンス
(3)スループット・パフォーマンス
• ショートパケットが頻発するコンテンツ(音声や動
ショートパケットが頻発するコンテンツ(音声や動
ショートパケットが頻発するコンテンツ(音声や動
ショートパケットが頻発するコンテンツ(音声や動
画)を対象にする場合は、実測によるスループット
画)を対象にする場合は、実測によるスループット
画)を対象にする場合は、実測によるスループット
画)を対象にする場合は、実測によるスループット
の確認が望ましい
の確認が望ましい
の確認が望ましい
の確認が望ましい
パケットロス率(%)
パケットロス率(%)
パケットロス率(%)
パケットロス率(%)
負荷(
負荷(
負荷(
負荷(Mbps)
Mbps)
Mbps)
Mbps)
20
20
20
20
40
40
40
40
60
60
60
60
80
80
80
80
100
100
100
100
2
22
2
4
44
4
6
66
6
8
88
8
10
10
10
10
64
64
64
64byte
byte
byte
byte長パケット送出
長パケット送出
長パケット送出
長パケット送出
(カタログスペック
(カタログスペック
(カタログスペック
(カタログスペック10
10
10
10Mbps
Mbps
Mbps
Mbpsの製品)
の製品)
の製品)
の製品)
パケットロス率(%)
パケットロス率(%)
パケットロス率(%)
パケットロス率(%)
負荷(
負荷(
負荷(
負荷(Mbps)
Mbps)
Mbps)
Mbps)
20
20
20
20
40
40
40
40
60
60
60
60
80
80
80
80
100
100
100
100
2
22
2
4
44
4
6
66
6
8
88
8
10
10
10
10
1440
1440
1440
1440byte
byte
byte長パケット送出
byte
長パケット送出
長パケット送出
長パケット送出
(カタログスペック
(カタログスペック
(カタログスペック
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
14
14
14
14
(3)スループット・パフォーマンス
(3)スループット・パフォーマンス
(3)スループット・パフォーマンス
(3)スループット・パフォーマンス
• 現実のパフォーマンス
現実のパフォーマンス
現実のパフォーマンス
現実のパフォーマンス
– Mbps
Mbps
Mbpsより
Mbps
より
より
よりpps
pps
pps
pps
• SA
SA
SA
SAの確立(
の確立(
の確立(Re
の確立(
Re-
Re
Re
--
-key
key
keyも)に要する時間
key
も)に要する時間
も)に要する時間
も)に要する時間
– SA
SA
SA数によっては数分かかる場合もある
SA
数によっては数分かかる場合もある
数によっては数分かかる場合もある
数によっては数分かかる場合もある
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
15
15
15
15
(3)スループット・パフォーマンス
(3)スループット・パフォーマンス
(3)スループット・パフォーマンス
(3)スループット・パフォーマンス
• 実装による違い
実装による違い
実装による違い
実装による違い
– Windows XP
Windows XP
Windows XP
Windows XP純正
純正
純正IPsec
純正
IPsecと市販の
IPsec
IPsec
と市販の
と市販の
と市販のIPsec
IPsec
IPsec
IPsecクライアント
クライアント
クライアント
クライアント
ソフトの速度比較
ソフトの速度比較
ソフトの速度比較
ソフトの速度比較
HUB
HUB
HUB
HUB
IPsec
IPsec
IPsec
IPsecクライアントソフト
クライアントソフト
クライアントソフト
クライアントソフト
IPsec
IPsecクライアントソフト
IPsec
IPsec
クライアントソフト
クライアントソフト
クライアントソフト
テストツールによるファイル転送
テストツールによるファイル転送
テストツールによるファイル転送
テストツールによるファイル転送
IPsec
IPsec
IPsec
IPsec
平文
平文
平文
平文
XP純正
XP純正
XP純正
XP純正
市販ソフト
市販ソフト
市販ソフト
市販ソフト
スループット(秒)
スループット(秒)
スループット(秒)
スループット(秒)
55
5
5
88
8
8
22
22
22
22
※
※
※
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
16
16
16
16
(4)
(4)
(4)
(4)SA
SA
SA
SAの検証
の検証
の検証
の検証
• SA
SA
SA
SA数
数
数
数
– Phase 1
Phase 1
Phase 1は装置間毎=対地に関係
Phase 1
は装置間毎=対地に関係
は装置間毎=対地に関係
は装置間毎=対地に関係
– Phase 2
Phase 2
Phase 2はターゲット毎(プロトコル毎に2本)=ネットワー
Phase 2
はターゲット毎(プロトコル毎に2本)=ネットワー
はターゲット毎(プロトコル毎に2本)=ネットワー
はターゲット毎(プロトコル毎に2本)=ネットワー
ク規模に関連
ク規模に関連
ク規模に関連
ク規模に関連
Phase 1 SA
Phase 1 SA
Phase 1 SA
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
17
17
17
17
(4)
(4)
(4)
(4)SA
SA
SA
SAの検証
の検証
の検証
の検証
• Re
Re
Re-
Re
--
-Key
Key
Key
Key時の
時のSA
時の
時の
SA
SA
SA二重保持
二重保持
二重保持
二重保持
– 例えばフェーズ
例えばフェーズ 2
例えばフェーズ
例えばフェーズ
22
2の
の
のLife Time
の
Life Timeを
Life Time
Life Time
を
を
を10
10
10
10分と設定
分と設定
分と設定
分と設定
• LifeTime
LifeTime
LifeTime
LifeTimeの何%で次の
の何%で次の
の何%で次のSA
の何%で次の
SA
SA
SAが準備されるかは製品によって異なる
が準備されるかは製品によって異なる
が準備されるかは製品によって異なる
が準備されるかは製品によって異なる
• LifeTime
LifeTime
LifeTime
LifeTimeは経過時間以外にパケット数で設定できる製品も有り
は経過時間以外にパケット数で設定できる製品も有り
は経過時間以外にパケット数で設定できる製品も有り
は経過時間以外にパケット数で設定できる製品も有り
10
10
10
10分
分
分
分
10
10
10
10分
分
分
分
10
10
10
10分
分
分
分
10
10
10
10分
分
分
分
Life Time
Life Time
Life Time
Life Time
7
77
7分経過後次の
分経過後次の
分経過後次の
分経過後次の
セッション開始
セッション開始
セッション開始
セッション開始
この間
この間
この間
この間SA
SA
SA
SAを二重に保持
を二重に保持
を二重に保持
を二重に保持
※フェーズ
※フェーズ
※フェーズ
※フェーズ1
1は
11
は
は
はLife Time
Life Time
Life Time
Life Timeの時点でいきなり
の時点でいきなりRe
の時点でいきなり
の時点でいきなり
Re
Re
Re-
--
-Key
Key
Key
Key
(
((
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
18
18
18
18
(4)
(4)
(4)
(4)SA
SA
SA
SAの検証
の検証
の検証
の検証
• リモートアクセス時の
リモートアクセス時の
リモートアクセス時の
リモートアクセス時のSA
SA
SA二重保持
SA
二重保持
二重保持
二重保持
PPP
PPP
PPP
PPP再接続
再接続
再接続
再接続
Internet
Internet
Internet
Internet
10.10.20.30
10.10.20.30
10.10.20.30
10.10.20.30
10.10.10.5
10.10.10.5
10.10.10.5
10.10.10.5の
の
の
のSA
SA
SA
SA保持
保持
保持
保持
10.10.10.30
10.10.10.30
10.10.10.30
10.10.10.30の
の
のSA
の
SA
SA
SA
Internet
Internet
Internet
Internet
10.10.20.5
10.10.20.5
10.10.20.5
10.10.20.5
10.10.10.5
10.10.10.5
10.10.10.5
10.10.10.5の
の
の
のSA
SA
SA
SA
IPsec
IPsec
IPsec
IPsec gateway
gateway
gateway
gateway
IPsec
IPsec
IPsec
IPsec対応
対応
対応
対応
ダイヤルアップルータ
ダイヤルアップルータ
ダイヤルアップルータ
ダイヤルアップルータ
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
19
19
19
19
(4)
(4)
(4)
(4)SA
SA
SA
SAの検証
の検証
の検証
の検証
• SA
SA
SA
SAの最大値
の最大値
の最大値
の最大値
–
“
““
“トンネル数
トンネル数
トンネル数
トンネル数”“
”“セッション数
”“
”“
セッション数
セッション数
セッション数”
””
”など各メーカ
など各メーカ
など各メーカ
など各メーカ
により様々
により様々
により様々
により様々
• Phase 1
Phase 1
Phase 1
Phase 1の数なのか
の数なのか
の数なのか
の数なのかPhase 2
Phase 2
Phase 2
Phase 2の数なのか
の数なのか
の数なのか
の数なのか
• Phase 2
Phase 2
Phase 2
Phase 2の上り下り
の上り下り
の上り下り
の上り下り2
22
2本を考慮していのか
本を考慮していのか
本を考慮していのか
本を考慮していのか
• Phase 2
Phase 2
Phase 2 LifeTime
Phase 2
LifeTime
LifeTime
LifeTimeの重複は考慮しているの
の重複は考慮しているの
の重複は考慮しているの
の重複は考慮しているの
か
か
か
か
– 前述のような理由から
前述のような理由から
前述のような理由からPhase2 SA
前述のような理由から
Phase2 SA
Phase2 SA
Phase2 SAの数は
の数は
の数は
の数は
カタログスペックの
カタログスペックの
カタログスペックの
カタログスペックの50%
50%
50%程度に考えた方が
50%
程度に考えた方が
程度に考えた方が
程度に考えた方が
無難
無難
無難
無難
– P
P
Phase 1
P
hase 1
hase 1は実証試験が困難
hase 1
は実証試験が困難
は実証試験が困難
は実証試験が困難
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
20
20
20
20
(4)
(4)
(4)
(4)SA
SA
SA
SAの検証
の検証
の検証
の検証
• SA
SA
SA
SA数の調整
数の調整
数の調整
数の調整
Router
Router
Router
Router
192.168.24.10
192.168.24.10
192.168.24.10
192.168.24.10
192.168.24.20
192.168.24.20
192.168.24.20
192.168.24.20
IPsec
IPsec
IPsec
IPsec client
client
client
client
192.168.32.0
192.168.32.0
192.168.32.0
192.168.32.0
Phase 1Phase 1Phase 1Phase 1Phase 2 Phase 2Phase 2 Phase 2 Phase 2 Phase 2 Phase 2 Phase 2 Phase 2 Phase 2 Phase 2 Phase 2
ターゲット
ターゲット
ターゲット
ターゲット
・
・・
・192.168.32.*
192.168.32.*
192.168.32.*
192.168.32.*
・
・・
・192.168.24.10
192.168.24.10
192.168.24.10
192.168.24.10
・
・・
・192.168.24.20
192.168.24.20
192.168.24.20
192.168.24.20
•
ターゲットをホスト指定にするかサブネット指定にするかにより
ターゲットをホスト指定にするかサブネット指定にするかにより
ターゲットをホスト指定にするかサブネット指定にするかにより
ターゲットをホスト指定にするかサブネット指定にするかにより
SA
SA
SA
SA数が変わる
数が変わる
数が変わる
数が変わる
IPsec
IPsec
IPsec
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
21
21
21
21
(4)
(4)
(4)
(4)SA
SA
SA
SAの検証
の検証
の検証
の検証
• LifeTime
LifeTime
LifeTime
LifeTimeの調整
の調整
の調整
の調整
Internet
Internet
Internet
Internet
IPsec
IPsec
IPsec
IPsec gateway
gateway
gateway
gateway
IPsec
IPsec
IPsec
IPsec対応
対応
対応
対応
ADSL
ADSL
ADSL
ADSLルータ
ルータ
ルータ
ルータ
ADSL
ADSL
ADSL
ADSL
Re
Re
Re
Re-
--
-Key
Key
Key
Key
•ダイナミックにアドレスが
ダイナミックにアドレスが
ダイナミックにアドレスが
ダイナミックにアドレスが
割り振られる
割り振られる
割り振られる
割り振られる
拠点(ブランチ拠点)が
拠点(ブランチ拠点)が
拠点(ブランチ拠点)が
拠点(ブランチ拠点)が
イニシエータになるように
イニシエータになるように
イニシエータになるように
イニシエータになるようにSA
SA
SA
SA LifeTime
LifeTime
LifeTime
LifeTimeを短くする
を短くする
を短くする
を短くする
センター拠点>ブランチ拠点
センター拠点>ブランチ拠点
センター拠点>ブランチ拠点
センター拠点>ブランチ拠点
センター拠点
センター拠点
センター拠点
センター拠点
ブランチ拠点
ブランチ拠点
ブランチ拠点
ブランチ拠点
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
22
22
22
22
(4)
(4)
(4)
(4)SA
SA
SA
SAの検証
の検証
の検証
の検証
• Re
Re
Re
Re-
--
-Key
Key
Key
Keyに要する時間
に要する時間
に要する時間
に要する時間
– もし
もし
もし1
もし
11
1pps
pps
ppsに
pps
に1
に
に
11
1つ
つ
つSA
つ
SA
SAが確立するとした場合、
SA
が確立するとした場合、
が確立するとした場合、
が確立するとした場合、
1000
1000
1000
1000SA
SA
SAを張り終わるまで
SA
を張り終わるまで
を張り終わるまで
を張り終わるまで1000
1000秒(約
1000
1000
秒(約
秒(約17
秒(約
17
17
17分)
分)
分)
分)
必要になる
必要になる
必要になる
必要になる
– 他のトラフィックがある中での
他のトラフィックがある中での
他のトラフィックがある中でのRe
他のトラフィックがある中での
Re
Re
Re-
--
-Key
Key
Keyはさ
Key
はさ
はさ
はさ
らに時間がかかる可能性がある
らに時間がかかる可能性がある
らに時間がかかる可能性がある
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
23
23
23
23
(4)
(4)
(4)
(4)SA
SA
SA
SAの検証
の検証
の検証
の検証
• SA
SA
SA
SAの復旧手順
の復旧手順
の復旧手順
の復旧手順
装置
装置
装置
装置-
--
-A
A
A
A
装置
装置
装置
装置-
--
-B
B
B
B
VP
N
VP
N
VP
N
VP
N
VPN
VPN
VPN
VPN
VP
N
VP
N
VP
N
VP
N
装置
装置
装置
装置-
--
-C
C
C
C
装置
装置
装置
装置-
--
-D
D
D
D
(1)
(1)
(1)
(1) 装置
装置
装置
装置B
B
B
Bが停電
が停電
が停電
が停電
でリブート
でリブート
でリブート
でリブート
(2)
(2)
(2)
(2) 装置
装置
装置A
装置
A
A
Aを強制的に
を強制的に
を強制的に
を強制的に
リブートして装置
リブートして装置
リブートして装置
リブートして装置B
B
B
B
との
との
とのSA
との
SA
SAを復旧
SA
を復旧
を復旧
を復旧
(3)
(3)
(3)
(3) リブートしたことにより
リブートしたことにより
リブートしたことにより
リブートしたことにより
装置
装置
装置
装置C
C
C・
C
・・
・D
D
D
Dの
のSA
の
の
SA
SAも削除
SA
も削除
も削除
も削除
(4)
(4)
(4)
(4) 装置
装置
装置
装置C
C
C
C・
・・
・D
D
D
Dもリブート
もリブート
もリブート
もリブート
して装置
して装置
して装置
して装置A
A
A
Aとの
との
とのSA
との
SA
SAを
SA
を
を
を
再構築
再構築
再構築
再構築
•製品により
製品により
製品により
製品によりSA
SA
SA
SA復旧の手
復旧の手
復旧の手
復旧の手
順が異なる。
順が異なる。
順が異なる。
順が異なる。
•異機種接続の場合は
異機種接続の場合は
異機種接続の場合は
異機種接続の場合は
実機での検証が必要。
実機での検証が必要。
実機での検証が必要。
実機での検証が必要。
•手動で復旧が必要な場
手動で復旧が必要な場
手動で復旧が必要な場
手動で復旧が必要な場
合は手順書等で明文化
合は手順書等で明文化
合は手順書等で明文化
合は手順書等で明文化
しておく。
しておく。
しておく。
しておく。
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
24
24
24
24
(4)
(4)
(4)
(4)SA
SA
SA
SAの検証
の検証
の検証
の検証
• 異機種の
異機種の
異機種の
異機種のSA
SA
SA
SA復旧手順確認試験
復旧手順確認試験
復旧手順確認試験
復旧手順確認試験
– A
A
Aと
A
と
と
とB
B
Bの2機種の場合
B
の2機種の場合
の2機種の場合
の2機種の場合
SAの状態
SAの状態
SAの状態
SAの状態
リブートした側
リブートした側
リブートした側
リブートした側
pin gした側
pin gした側
pin gした側
pin gした側
結果
結果
結果
結果
備考
備考
備考
備考
Bをリブート
Aからping
×
Bをリブート
Bからping
○
Bをリブート
Aからping
×
Rekeyしない
Bをリブート
Bからping
○
Aをリブート
Aからping
○
Aをリブート
Bからping
○
Aをリブート
Aからping
○
Aをリブート
Bからping
×
90秒後、SA確立
Bをリブート
Aからping
×
Bをリブート
Bからping
○
Bをリブート
Aからping
×
Bをリブート
Bからping
○
Aをリブート
Aからping
○
Aをリブート
Bからping
○
Aをリブート
Aからping
○
Aをリブート
Bからping
×
90秒後、SA確立
Bがイニシエーター
AのSAが残った状態
Aのフェーズ2のみ削除
BのSAが残った状態
Bのフェーズ2のみ削除
初期SA確立時の条件
初期SA確立時の条件
初期SA確立時の条件
初期SA確立時の条件
Aがイニシエーター
AのSAが残った状態
Aのフェーズ2のみ削除
BのSAが残った状態
Bのフェーズ2のみ削除
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
25
25
25
25
(5)経路上のルータの設定
(5)経路上のルータの設定
(5)経路上のルータの設定
(5)経路上のルータの設定
•
IPsec
IPsec
IPsec
IPsecでは様々なプロトコルを使用する。それらが透過的に流れるよう
では様々なプロトコルを使用する。それらが透過的に流れるよう
では様々なプロトコルを使用する。それらが透過的に流れるよう
では様々なプロトコルを使用する。それらが透過的に流れるよう
に経路上のルータのフィルタリングを設定。
に経路上のルータのフィルタリングを設定。
に経路上のルータのフィルタリングを設定。
に経路上のルータのフィルタリングを設定。
•
特に
特に
特に
特にISP
ISP
ISP
ISPのルータには注意。事前に申し入れることを推奨。
のルータには注意。事前に申し入れることを推奨。
のルータには注意。事前に申し入れることを推奨。
のルータには注意。事前に申し入れることを推奨。
•IPsec
IPsec
IPsec
IPsecで使用するプロトコル
で使用するプロトコル
で使用するプロトコル
で使用するプロトコル
•UDP
UDP
UDP
UDP
500
500
500
500
ISAKMP
ISAKMP
ISAKMP
ISAKMP
•IP type 51
IP type 51
IP type 51
IP type 51
AH (Authentication Header)
AH (Authentication Header)
AH (Authentication Header)
AH (Authentication Header)
•IP type 50
IP type 50
IP type 50
IP type 50
ESP (Encapsulation Security Payload)
ESP (Encapsulation Security Payload)
ESP (Encapsulation Security Payload)
ESP (Encapsulation Security Payload)
•認証プロトコルなど
認証プロトコルなど
認証プロトコルなど
認証プロトコルなど
•CA, LDAP
CA, LDAP
CA, LDAP
CA, LDAP
•製品固有の管理用プロトコルなど
製品固有の管理用プロトコルなど
製品固有の管理用プロトコルなど
製品固有の管理用プロトコルなど
•SSL, SNMP, FTP,
SSL, SNMP, FTP,
SSL, SNMP, FTP,
SSL, SNMP, FTP, 独自
独自
独自
独自
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
26
26
26
26
(6)
(6)
(6)
(6)IP
IP
IP
IPアドレスの運用
アドレスの運用
アドレスの運用
アドレスの運用
• ネットワークの分割
ネットワークの分割
ネットワークの分割
ネットワークの分割
– トンネルモードで使用の場合、
トンネルモードで使用の場合、
トンネルモードで使用の場合、IPsec
トンネルモードで使用の場合、
IPsec
IPsec機器の前後でネッ
IPsec
機器の前後でネッ
機器の前後でネッ
機器の前後でネッ
トワークが異なる。
トワークが異なる。
トワークが異なる。
トワークが異なる。
• サブネットの再設定もありえる。
サブネットの再設定もありえる。
サブネットの再設定もありえる。
サブネットの再設定もありえる。
Router
Router
Router
Router
Internet
Internet
Internet
Internet
社内
社内
社内
社内LAN
LAN
LAN
LAN
ファイア
ファイア
ファイア
ファイア
ウォール
ウォール
ウォール
ウォール
IPsec
IPsec
IPsec
IPsec
gateway
gateway
gateway
gateway
1
92.
1
6
8
.32.0
1
92.
1
6
8
.32.0
1
92.
1
6
8
.32.0
1
92.
1
6
8
.32.0
202.
1
0.
5.0
202.
1
0.
5.0
202.
1
0.
5.0
202.
1
0.
5.0
202.
1
0.
1
.0
202.
1
0.
1
.0
202.
1
0.
1
.0
202.
1
0.
1
.0
ブリッジモードサポートの製品ではサブネットを
ブリッジモードサポートの製品ではサブネットを
ブリッジモードサポートの製品ではサブネットを
ブリッジモードサポートの製品ではサブネットを
変更せずに設計することも可能
変更せずに設計することも可能
変更せずに設計することも可能
変更せずに設計することも可能
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
27
27
27
27
(6)
(6)
(6)
(6)IP
IP
IP
IPアドレスの運用
アドレスの運用
アドレスの運用
アドレスの運用
• IP
IP
IP
IPアドレスの重複
アドレスの重複
アドレスの重複
アドレスの重複
– BtoB
BtoB
BtoBなどエクストラネットで他社拠点と接
BtoB
などエクストラネットで他社拠点と接
などエクストラネットで他社拠点と接
などエクストラネットで他社拠点と接
続する場合は、双方のプライベートアドレ
続する場合は、双方のプライベートアドレ
続する場合は、双方のプライベートアドレ
続する場合は、双方のプライベートアドレ
スの重複を避ける
スの重複を避ける
スの重複を避ける
スの重複を避ける
• グローバルアドレスを割り振る
グローバルアドレスを割り振る
グローバルアドレスを割り振る
グローバルアドレスを割り振る
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
28
28
28
28
(6)
(6)
(6)
(6)IP
IP
IP
IPアドレスの運用
アドレスの運用
アドレスの運用
アドレスの運用
• モバイル端末に割り振る
モバイル端末に割り振る
モバイル端末に割り振る
モバイル端末に割り振るIP
IP
IPアドレスの保持
IP
アドレスの保持
アドレスの保持
アドレスの保持
– IPsec
IPsec
IPsec-
IPsec
--
-DHCP
DHCP
DHCPなど方式の違いによりアドレ
DHCP
など方式の違いによりアドレ
など方式の違いによりアドレ
など方式の違いによりアドレ
スのプール数が異なる
スのプール数が異なる
スのプール数が異なる
スのプール数が異なる
– モバイル端末が同時に数百台がアクセ
モバイル端末が同時に数百台がアクセ
モバイル端末が同時に数百台がアクセ
モバイル端末が同時に数百台がアクセ
スしてくる場合はアドレス空間に注意
スしてくる場合はアドレス空間に注意
スしてくる場合はアドレス空間に注意
スしてくる場合はアドレス空間に注意
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
29
29
29
29
(7)フラグメンテーション
(7)フラグメンテーション
(7)フラグメンテーション
(7)フラグメンテーション
• IPsec
IPsec
IPsec
IPsecヘッダが不可されることでパケット長
ヘッダが不可されることでパケット長
ヘッダが不可されることでパケット長
ヘッダが不可されることでパケット長
が延長される
が延長される
が延長される
が延長される
– フラグメンテーションによる通信効率の劣
フラグメンテーションによる通信効率の劣
フラグメンテーションによる通信効率の劣
フラグメンテーションによる通信効率の劣
化に注意
化に注意
化に注意
化に注意
– MTU
MTU
MTUの調整(
MTU
の調整(
の調整(
の調整(1380
1380
1380byte
1380
byte
byte程度が良さそう)
byte
程度が良さそう)
程度が良さそう)
程度が良さそう)
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
30
30
30
30
(8)認証方法の選択
(8)認証方法の選択
(8)認証方法の選択
(8)認証方法の選択
• IPsec
IPsec
IPsec
IPsec標準の
標準の
標準のPre
標準の
Pre
Pre
Pre-
--
-Shared Key
Shared Key
Shared Key
Shared Key
– 小規模
小規模
小規模VPN
小規模
VPN
VPN
VPNおよび
および
および1
および
11
1対
対
対
対n
nn
n接続に向く。
接続に向く。
接続に向く。
接続に向く。
• 拡張認証
拡張認証
拡張認証
拡張認証
– RADIUS
RADIUS
RADIUS認証
RADIUS
認証
認証
認証
• モバイル
モバイル
モバイル
モバイルVPN
VPN
VPN
VPNに適する
に適する
に適する
に適する
• 各種認証デバイス(
各種認証デバイス(
各種認証デバイス(
各種認証デバイス(
ワンタイムパスワード等
ワンタイムパスワード等
ワンタイムパスワード等
ワンタイムパスワード等
)による認証強化が
)による認証強化が
)による認証強化が
)による認証強化が
可能
可能
可能
可能
• 製品によりサポート状況に差あり
製品によりサポート状況に差あり
製品によりサポート状況に差あり
製品によりサポート状況に差あり
– CA
CA
CA認証
CA
認証
認証
認証
• モバイル
モバイル
モバイル
モバイルVPN
VPN
VPN
VPNおよび大規模
および大規模
および大規模
および大規模VPN
VPN(
VPN
VPN
((
(n
nn
n対
対
対n
対
nn
n接続)に適する
接続)に適する
接続)に適する
接続)に適する
• 各種認証デバイス(
各種認証デバイス(
各種認証デバイス(
各種認証デバイス(IC
IC
IC
ICカード等)による認証強化が可能
カード等)による認証強化が可能
カード等)による認証強化が可能
カード等)による認証強化が可能
• 製品によりサポート状況に差あり
製品によりサポート状況に差あり
製品によりサポート状況に差あり
製品によりサポート状況に差あり
Network Se
curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
31
31
31
31
(9)
(9)
(9)
(9)NAT
NAT
NAT
NAT併用の注意点
併用の注意点
併用の注意点
併用の注意点
•
NAT
NAT
NAT
NATによるアドレスの付け替えは
によるアドレスの付け替えは
によるアドレスの付け替えは
によるアドレスの付け替えは
IPsec
IPsec
IPsec
IPsecとしては「なりすまし」として認
としては「なりすまし」として認
としては「なりすまし」として認
としては「なりすまし」として認
識される(
識される(
識される(
識される(AH
AH
AH使用の場合)
AH
使用の場合)
使用の場合)
使用の場合)
•
IPsec
IPsec
IPsec
IPsecでは
では
ではTCP/UDP
では
TCP/UDP
TCP/UDPも暗号化する
TCP/UDP
も暗号化する
も暗号化する
も暗号化する
ので、ポート番号等が見えなくなる
ので、ポート番号等が見えなくなる
ので、ポート番号等が見えなくなる
ので、ポート番号等が見えなくなる
IP
IP
IP
IPますカレード等では、
ますカレード等では、
ますカレード等では、
ますカレード等では、NAT
NAT
NATルータ
NAT
ルータ
ルータ
ルータ
が複数のセッションを管理するた
が複数のセッションを管理するた
が複数のセッションを管理するた
が複数のセッションを管理するた
めの情報がなくなることになる
めの情報がなくなることになる
めの情報がなくなることになる
めの情報がなくなることになる
•
ESP
ESP
ESP
ESPではスタティック
ではスタティック
ではスタティック
ではスタティックNAT
NAT
NAT
NAT(
((
(静的な
静的な
静的な
静的な
アドレス変換)であれば可能
アドレス変換)であれば可能
アドレス変換)であれば可能
アドレス変換)であれば可能
Internet
Internet
Internet
Internet
NAT
NAT
NAT
NAT
Router
Router
Router
Router
G3
G3
G3
G3
G1
G1
G1
G1
G2
G2
G2
G2
P1
P1
P1
P1
P2
P2
P2
P2
P3
P3
P3
P3
P4
P4
P4
P4
P1 P1 P1P1 P4P4P4P4 datadatadatadata ssss dddd
P1 P1 P1
P1 P4P4P4P4 datadatadatadata G1 G1G1 G1 G3G3G3G3 ssss dddd 暗号化データ暗号化データ暗号化データ暗号化データ P1 P1 P1
P1 P4P4P4P4 datadatadatadata G2 G2G2 G2 G3G3G3G3 ssss dddd 暗号化データ暗号化データ暗号化データ暗号化データ トンネリング トンネリングトンネリング トンネリング アドレス変換 アドレス変換アドレス変換 アドレス変換