IPsec と NAT 越え

IKE は、NAT ボックスを通して IPsec SA とネゴシエートできます。この機能により、システムは、システムが NAT デバイスの背後にある場合も、リモートネットワークから安全に接続を行うことができます。たとえば、自宅で働く社員や会議場からログオンする社員も IPsec で自分のトラフィックを保護できます。

NAT は、Network Address Translation (ネットワークアドレス変換) の略語です。NAT ボックスは、プライベートな内部アドレスを一意のインターネットアドレスに変換します。NAT は、ホテルなどのインターネットへの公共のアクセスポイントでは非常によく使用されています。詳細は、「Oracle Solaris IP フィルタの NAT 機能の使用」を参照してください。

NAT ボックスが通信システム間にある場合に IKE を使用する機能は、NAT traversal、または NAT-T と呼ばれます。Solaris 10 リリースでは、NAT-T には次の制限があります。

• NAT-T は IPv4 ネットワーク上でのみ機能します。

• NAT-T は、Sun Crypto Accelerator 4000 ボードが提供する IPsec ESP の高速化を利用できません。ただし、Sun Crypto Accelerator 4000 ボードによる IKE の高速化は可能です。

• AH プロトコルは不変の IP ヘッダーに依存しますので、AH を NAT-T と連係させることはできません。NAT-T を使用する場合は、ESP プロトコルが使用します。

• NAT ボックスには特別な処理規則はありません。特別な IPsec 処理規則を持つ NAT ボックスは、NAT-T の実装の障害となる場合があります。

• NAT-T が機能するのは、IKE イニシエータが NAT ボックスの背後にあるシステムの場合だけです。ボックスが、ボックスの背後の適切なシステム各自に IKE パケットを転送するようにプログラムされていない場合は、IKE の応答者が NAT ボックスの背後にいることはできません。

次の RFC は、NAT 機能と NAT-T の制限事項について説明しています。RFC のコピーは、http://www.rfc-editor.org から入手できます。

• RFC 3022、『Traditional IP Network Address Translator (Traditional NAT)』、2001 年 1 月

• RFC 3715、『IPsec-Network Address Translation (NAT) Compatibility Requirements』、2004 年 3 月

• RFC 3947、『Negotiation of NAT-Traversal in the IKE』、2005 年 1 月

• RFC 3948、『UDP Encapsulation of IPsec Packets』、2005 年 1 月

NAT を通して IPsec を使用するには、「移動体システム用の IKE の設定 (作業マップ)」を参照してください。