仮想プライベートネットワークと IPsec

構成したトンネルは、ポイントツーポイントインタフェースです。トンネルによって、IP パケットを別の IP パケット内にカプセル化できます。トンネルの構成には、トンネルソースとトンネル宛先が必要です。詳細は、tun(7M) のマニュアルページと、IPv6 サポート用のトンネルの構成を参照してください。

トンネルは、IP への物理インタフェースのようなものを作成します。この物理的リンクの完全性は、基本になるセキュリティープロトコルによって異なります。セキュリティーアソシエーション (SA) を確実に行えば、信頼性の高いトンネルになります。トンネルのデータパケットのソースはトンネル宛先で指定したピアでなければなりません。この信頼関係があるかぎり、インタフェース別 IP 送信を利用して仮想プライベートネットワーク (VPN)を作成できます。

VPN に IPsec 保護を追加できます。IPsec が接続の安全性を確保します。たとえば、分離したネットワークを持つ複数のオフィスを VPN テクノロジを使用して接続している組織は、IPsec を追加して 2 つのオフィス間のトラフィックをセキュリティー保護できます。

次の図は、ネットワークシステムに配備した IPsec で、2 つのオフィスが VPN を形成する方法を示しています。

図 19-7 仮想プライベートネットワーク

設定手順の詳細な例については、「IPv4 を使用するトンネルモードの IPsec トンネルで VPN を保護する方法」を参照してください。

IPv6 アドレスを使用する同様の例については、「IPv6 を使用するトンネルモードの IPsec トンネルで VPN を保護する方法」を参照してください。