JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris の管理: IP サービス     Oracle Solaris 11 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

パート I TCP/IP の管理

1.  ネットワーク配備の計画

2.  IPv6 アドレス使用時の考慮点

3.  IPv4 ネットワークの構成

4.  ネットワークでの IPv6 の有効化

5.  TCP/IP ネットワークの管理

6.  IP トンネルの構成

7.  ネットワークの問題の障害追跡

8.  IPv4 リファレンス

9.  IPv6 リファレンス

パート II DHCP

10.  DHCP について (概要)

11.  ISC DHCP サービスの管理

12.  DHCP クライアントの構成と管理

13.  DHCP コマンドと DHCP ファイル (リファレンス)

パート III IP セキュリティー

14.  IP セキュリティーアーキテクチャー (概要)

IPsec とは

IPsec RFC

IPsec の用語

IPsec パケットのフロー

IPsec セキュリティーアソシエーション

IPsec での鍵管理

IPsec の保護機構

認証ヘッダー

カプセル化セキュリティーペイロード

AH と ESP を使用する場合のセキュリティー上の考慮事項

IPsec の認証アルゴリズムと暗号化アルゴリズム

IPsec での認証アルゴリズム

IPsec での暗号化アルゴリズム

IPsec の保護ポリシー

IPsec のトランスポートモードとトンネルモード

仮想プライベートネットワークと IPsec

IPsec と NAT 越え

IPsec と SCTP

IPsec と Oracle Solaris ゾーン

IPsec と論理ドメイン

IPsec ユーティリティーおよび IPsec ファイル

15.  IPsec の構成 (タスク)

16.  IP セキュリティーアーキテクチャー (リファレンス)

17.  インターネット鍵交換 (概要)

18.  IKE の構成 (手順)

19.  インターネット鍵交換 (リファレンス)

20.  Oracle Solaris の IP フィルタ (概要)

21.  IP フィルタ (手順)

パート IV ネットワークパフォーマンス

22.  統合ロードバランサの概要

23.  統合ロードバランサの構成 (タスク)

24.  仮想ルーター冗長プロトコル (概要)

25.  VRRP の構成 (タスク)

26.  輻輳制御の実装

パート V IP サービス品質 (IPQoS)

27.  IPQoS の紹介 (概要)

28.  IPQoS 対応ネットワークの計画 (手順)

29.  IPQoS 構成ファイルの作成 (手順)

30.  IPQoS の起動と保守(手順)

31.  フローアカウンティングの使用と統計情報の収集 (手順)

32.  IPQoS の詳細 (リファレンス)

用語集

索引

IPsec のトランスポートモードとトンネルモード

IPsec 規格では、IPsec の動作モードとして「トランスポートモード」と「トンネルモード」という 2 つの異なるモードが定義されています。これらのモードは、パケットの符号化には影響を与えません。各モードで、パケットは AH または ESP、あるいはその両方によって保護されます。内側のパケットが IP パケットである場合に、モードによってポリシーの適用方法が次のように異なります。

トランスポートモードでは、外側のヘッダー、次のヘッダー、および次のヘッダーでサポートされるすべてのポートを使用して、IPsec ポリシーを決定できます。実際、IPsec は 2 つの IP アドレスの間で異なるトランスポートモードポリシーを適用でき、ポート単位まで細かく設定できます。たとえば、次のヘッダーが TCP であれば、ポートをサポートするので、外側の IP アドレスの TCP ポートに対して IPsec ポリシーを設定できます。同様に、次のヘッダーが IP ヘッダーであれば、外側のヘッダーと内側の IP ヘッダーを使用して IPsec ポリシーを決定できます。

トンネルモードは IP 内 IP データグラムに対してのみ機能します。トンネルモードのトンネリングは、自宅のコンピュータから中央コンピュータに接続する場合に役立ちます。トンネルモードでは、IPsec ポリシーは内側の IP データグラムの内容に適用されます。内側の IP アドレスごとに異なる IPsec ポリシーを適用できます。つまり、内側の IP ヘッダー、その次のヘッダー、および次のヘッダーでサポートされるポートを使用して、ポリシーを適用することができます。トランスポートモードとは異なり、トンネルモードでは、外側の IP ヘッダーによって内側の IP データグラムのポリシーが決まることはありません。

したがって、トンネルモードでは、ルーターの背後にある LAN のサブネットや、そのようなサブネットのポートに対して、IPsec ポリシーを指定することができます。これらのサブネット上の特定の IP アドレス (つまり、ホスト) に対しても、IPsec ポリシーを指定することができます。これらのホストのポートに対しても、固有の IPsec ポリシーを適用できます。ただし、トンネルを経由して動的経路制御プロトコルが実行されている場合は、サブネットやアドレスは選択しないでください。ピアネットワークでのネットワークトポロジのビューが変化する可能性があるためです。そのような変化があると、静的な IPsec ポリシーが無効になります。静的ルートの構成を含むトンネリング手順の例については、「IPsec による VPN の保護」を参照してください。

Oracle Solaris では、IP トンネルネットワークインタフェースにのみトンネルモードを適用できます。トンネリングインタフェースについては、第 6 章IP トンネルの構成を参照してください。ipsecconf コマンドには、IP トンネルネットワークインタフェースを選択するための tunnel キーワードが用意されています。規則内に tunnel キーワードが含まれている場合は、その規則に指定されているすべてのセレクタが内側のパケットに適用されます。

トランスポートモードでは、ESP または AH、あるいはその両方を使用してデータグラムを保護できます。

次の図は、IP ヘッダーと保護されていない TCP パケットを示します。

図 14-3 TCP 情報を伝送する保護されていない IP パケット

image:図は、IP ヘッダーのあとに TCP ヘッダーが続くことを示しています。TCP ヘッダーは、保護されていません。

トランスポートモードで、ESP は次の図のようにデータを保護します。網かけされた領域は、パケットの暗号化された部分を示します。

図 14-4 TCP 情報を伝送する保護された IP パケット

image:図は、IP ヘッダーと TCP ヘッダーの間の ESP ヘッダーを示しています。TCP ヘッダーは、ESP ヘッダーによって暗号化されます。

トランスポートモードで、AH は次の図のようにデータを保護します。

図 14-5 認証ヘッダーで保護されたパケット

image:図は、IP ヘッダーと TCP ヘッダーの間の AH ヘッダーを示しています。

AH 保護では、トランスポートモードの場合でも、IP ヘッダーの大部分が保護されます。

トンネルモードでは、データグラム全体が IPsec ヘッダーの保護下にあります。図 14-3 のデータグラムは、トンネルモードでは外側の IPsec ヘッダー (この例では ESP) によって保護され、次の図のようになります。

図 14-6 トンネルモードで保護された IPsec パケット

image:図は、ESP ヘッダーが、IP ヘッダーのあと、IP ヘッダーと TCP ヘッダーの前にあることを示しています。最後の 2 つのヘッダーは、暗号化によって保護されています。

ipsecconf コマンドには、トンネルをトンネルモードまたはトランスポートモードで設定するためのキーワードが用意されています。

Copyright © 1999, 2012, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ