いきなりインターネットVPN!
次はインターネットVPNについてです。これもネットワーク関連の仕事をしていると年に1回は設定する機会が訪れますが、いつも同じConfigを使いまわしているので、意外と仕組みを忘れてしまいがちです。講評にも「VPNやトンネリング技術について、ネットワーク技術者として正確に理解してもらいたい」とあります。これを機にもう1回復習します。
設問2.[インターネットVPN接続の検討]について、(1)、(2)に答えよ。
(1)本文中の下線①について、今回の構成では、トランスポートモードを選択している。選択した根拠をIPアドレスに着目して30字以内で述べよ。
これは難しい。正直、難解です。つーか、もっと良い方法あるよ!と言いたくなります。なぜなら、2つの用語(機能)を使って、合わせ技で暗号化する必要があるからです。
(仕事ではこの方法は、おそらく選ばないと思う。。)
まずは、IP in IPです。正直、今までほとんど耳にしたことのない言葉です。ただ、何となく、言葉の意味からも分かるように、IPパケットにIPヘッダを付けてカプセル化すると考えます。
次に、午後問に到達している方々はご存知、IPsecにはトランスポートモードとトンネルモードの2つの通信モードがあります。大きな違いは、「もとのパケットのIPヘッダが暗号化されるかどうか」です。トランスポートモードでは、パケットのもとのIPヘッダは変更されませんが、トンネルモードではパケットのもとのIPヘッダも暗号化します。
本文に戻ります。[インターネットVPN接続の検討]の章の初めに、「L社クラウドサービスのVPNルータとK社NWのVPNルータでは、互いのグローバルIPアドレスを利用して…IP in IPを用いてトンネルが構成される。このトンネルの通信をIPSecを用いて暗号化する」とあります。
つまり、既にグローバルIPアドレスでオリジナルIPパケットはカプセル化されています。
それを暗号化する際、トンネルモードだと、さらにVPN用の新規IPアドレスでカプセル化して、グローバルIPアドレスのヘッダ以降の全てを暗号化する必要があります。
(せっかく、IP in IPでグローバルアドレスのIPヘッダを付けているのに!)
それに対して、トランスポートモードだと、グローバルIPアドレスのIPヘッダは変更せず、オリジナルIPアドレスのヘッダ以降を暗号化します。
(文章で伝わるかな…。近日中に絵を付けます。待っててね!)
〇トランスポートモード
IPヘッダ(グローバルIP)
+ESPヘッダ
+オリジナルIPヘッダ(プライベート)
+IPペイロード
〇トンネルモード
新規IPヘッダ
+ESPヘッダ
+IPヘッダ(グローバルIP)
+オリジナルIPヘッダ(プライベート)
+IPペイロード
言い換えると、既に、グローバルIPアドレスでの通信できる状態だから、このIPヘッダも含めてIPSecで暗号化しなくて良いってこと!
え~と。だから~。。もうやめます。
※だめだ。。説明が下手だ。。
答え:暗号化対象の通信がグローバルIPアドレス間の通信だから
(2)本文中の下線②について、IP in IPで作成されたトンネルインターフェースのMTUの値を1,500とした場合、VPNルータで発生する処理を30字以内で述べよ。ここで、インターネットを含むすべてのインタフェースのMTUの値を1,500とする。
ただ、答えを見てびっくり。
答え:フラグメントとリアセンブルの処理が発生する
調べてみると、通信先のルータで、分割されたIPパケットが全て送信されたら、作り直す(組み立てる)処理を行っているらしい。う~ん。フラグメントだけで、半分点数もらえるのかな。