3.1. ESP Header Location (ESP ヘッダーの位置)
3.1. ESP Header Location (ESP ヘッダーの位置)
ESP は2つの方法で使用できます: トランスポートモードまたはトンネルモード。
3.1.1. Transport Mode Processing (トランスポートモード処理)
トランスポートモードでは, ESP は IP ヘッダーの後, 次の層のプロトコル (例えば TCP, UDP, ICMP など) の前に挿入されます。IPv4 のコンテキストでは, これは ESP を IP ヘッダー (およびそれに含まれるオプション) の後, ただし次の層のプロトコルの前に配置することを意味します。(AH もパケットに適用される場合, それは ESP ヘッダー, ペイロード, ESP トレーラー, および ICV (存在する場合) に適用されます。) (「トランスポート」モードという用語は, その使用を TCP と UDP に限定するものと誤解されるべきではないことに注意してください。) 次の図は, 典型的な IPv4 パケットの ESP トランスポートモードの配置を「前後の比較」で示しています。(このセクションのこの図および後続の図は ICV フィールドを示していますが, その存在はセキュリティサービスおよび選択されたアルゴリズム/モードの関数です。)
ESP 適用前
----------------------------
IPv4 |orig IP hdr | | |
|(any options)| TCP | Data |
----------------------------
ESP 適用後
-------------------------------------------------
IPv4 |orig IP hdr | ESP | | | ESP | ESP|
|(any options)| Hdr | TCP | Data | Trailer | ICV|
-------------------------------------------------
|<---- encryption ---->|
|<-------- integrity ------->|
IPv6 のコンテキストでは, ESP はエンドツーエンドのペイロードと見なされるため, ホップバイホップ, ルーティング, およびフラグメンテーション拡張ヘッダーの後に現れる必要があります。宛先オプション拡張ヘッダーは, ESP ヘッダーの前, 後, または ESP ヘッダーの前後の両方に現れることができ, これは望ましいセマンティクスに依存します。しかし, ESP は ESP ヘッダー後のフィールドのみを保護するため, 一般的には宛先オプションヘッダーを ESP ヘッダーの後に配置することが望ましいでしょう。次の図は, 典型的な IPv6 パケットの ESP トランスポートモードの配置を示しています。
ESP 適用前
---------------------------------------
IPv6 | | ext hdrs | | |
| orig IP hdr |if present| TCP | Data |
---------------------------------------
ESP 適用後
---------------------------------------------------------
IPv6 | orig |hop-by-hop,dest*,| |dest| | | ESP | ESP|
|IP hdr|routing,fragment.|ESP|opt*|TCP|Data|Trailer| ICV|
---------------------------------------------------------
|<--- encryption ---->|
|<------ integrity ------>|
* = 存在する場合, ESP の前, ESP の後, または両方に配置可能
トランスポートモードでは, セキュリティアーキテクチャ文書で定義されている「バンプインザスタック」または「バンプインザワイヤー」実装の場合, この仕様に準拠し, 透過的な IPsec サポートを提供するために, 入出力 IP フラグメントに対して IPsec 実装が追加の IP 再構成/フラグメンテーションを実行する必要がある場合があることに注意してください。複数のインターフェースが使用されている場合, これらの実装内でこのような操作を実行するには特別な注意が必要です。
3.1.2. Tunnel Mode Processing (トンネルモード処理)
トンネルモードでは, 「内部」IP ヘッダーが最終的な (IP) 送信元アドレスと宛先アドレスを運び, 「外部」IP ヘッダーには IPsec「ピア」のアドレス, 例えばセキュリティゲートウェイのアドレスが含まれます。内部と外部の混合 IP バージョンが許可されます, つまり IPv6 over IPv4 および IPv4 over IPv6 です。トンネルモードでは, ESP は内部 IP ヘッダー全体を含む内部 IP パケット全体を保護します。トンネルモードでの ESP の位置は, 外部 IP ヘッダーに対して, トランスポートモードでの ESP と同じです。次の図は, 典型的な IPv4 および IPv6 パケットの ESP トンネルモードの配置を示しています。
ESP 適用前
----------------------------
IPv4 |orig IP hdr | | |
|(any options)| TCP | Data |
----------------------------
ESP 適用後
-----------------------------------------------------------
IPv4 | new IP hdr* | | orig IP hdr* | | | ESP | ESP|
|(any options)| ESP | (any options) |TCP|Data|Trailer| ICV|
-----------------------------------------------------------
|<--------- encryption --------->|
|<------------- integrity ------------>|
ESP 適用前
---------------------------------------
IPv6 | | ext hdrs | | |
| orig IP hdr |if present| TCP | Data |
---------------------------------------
ESP 適用後
------------------------------------------------------------
IPv6 | new* |new ext | | orig*|orig ext | | | ESP | ESP|
|IP hdr| hdrs* |ESP|IP hdr| hdrs * |TCP|Data|Trailer| ICV|
------------------------------------------------------------
|<--------- encryption ---------->|
|<------------ integrity ------------>|
* = 存在する場合, 外部 IP ヘッダー/拡張の構築および内部 IP ヘッダー/
拡張の変更については, セキュリティアーキテクチャ文書で説明されています。