3.1.1. Transport Mode (トランスポートモード)
トランスポートモードでは, AHはIPヘッダーの後, 次のレイヤープロトコル (例: TCP, UDP, ICMPなど) の前, または既に挿入されている他のIPsecヘッダーの前に挿入されます。IPv4のコンテキストでは, これはIPヘッダー (およびそれに含まれるオプション) の後, 次のレイヤープロトコルの前にAHを配置することを要求します。(「トランスポート」モードという用語は, その使用をTCPとUDPに制限するものと誤解されるべきではないことに注意してください。) 次の図は, 典型的なIPv4パケットのAHトランスポートモードの位置を「前後」の基準で示しています。
BEFORE APPLYING AH
----------------------------
IPv4 |orig IP hdr | | |
|(any options)| TCP | Data |
----------------------------
AFTER APPLYING AH
-------------------------------------------------------
IPv4 |original IP hdr (any options) | AH | TCP | Data |
-------------------------------------------------------
|<- mutable field processing ->|<- immutable fields ->|
|<----- authenticated except for mutable fields ----->|
IPv6のコンテキストでは, AHはエンドツーエンドペイロードとして見なされるため, ホップバイホップ, ルーティング, およびフラグメンテーション拡張ヘッダーの後に表示される必要があります。宛先オプション拡張ヘッダーは, 必要なセマンティクスに応じて, AHヘッダーの前または後, あるいは前後の両方に表示される場合があります。次の図は, 典型的なIPv6パケットのAHトランスポートモードの位置を示しています。
BEFORE APPLYING AH
---------------------------------------
IPv6 | | ext hdrs | | |
| orig IP hdr |if present| TCP | Data |
---------------------------------------
AFTER APPLYING AH
------------------------------------------------------------
IPv6 | |hop-by-hop, dest*, | | dest | | |
|orig IP hdr |routing, fragment. | AH | opt* | TCP | Data |
------------------------------------------------------------
|<--- mutable field processing -->|<-- immutable fields -->|
|<---- authenticated except for mutable fields ----------->|
* = if present, could be before AH, after AH, or both
ESPとAHヘッダーは, さまざまなモードで組み合わせることができます。IPsecアーキテクチャ文書は, サポートする必要があるセキュリティアソシエーションの組み合わせについて説明しています。
トランスポートモードでは, セキュリティアーキテクチャ文書で定義されている「bump-in-the-stack」または「bump-in-the-wire」実装の場合, インバウンドおよびアウトバウンドIPフラグメントは, この仕様に準拠し, 透過的なIPsecサポートを提供するために, IPsec実装が追加のIP再構築/フラグメンテーションを実行する必要がある場合があることに注意してください。複数のインターフェースが使用されている場合, これらの実装内でこのような操作を実行するには特別な注意が必要です。