トンネルモード 【tunnel mode】

概要

IPsecはネットワーク上で認証や暗号化を用いて安全に通信を行うためのプロトコル（通信規約）の一つで、IP（Internet Protocol）のレベルで認証や暗号化を実施し、IP上でやり取りされるすべての通信を保護することができる。

IPsecでは二つの動作モードが用意されており、トンネルモードはその一つである。元のIPデータグラムの先頭に新たにIPヘッダを付加して新しいIPデータグラムを生成し、これをIPsecの伝送路（SA）で運ぶ。認証ヘッダ（AH）を用いる場合も新しいIPヘッダに対して追加し、ESP（ペイロード暗号化）を用いる場合も元のIPデータグラム全体を暗号化する。

トンネルモードはLANとインターネットの接続点にあるルータやVPNゲートウェイが相手方ネットワークの同等の機器との間で保護された伝送経路を作成するのに用いられ、IPsec VPNを介してLAN間接続することができる。サーバやパソコン、スマートフォンなど末端の機器はIPsecに対応している必要がない。

もう一つの動作モードは「トランスポートモード」（transport mode）と呼ばれ、新しいIPヘッダは付与せずに元のIPデータグラムを加工してAHやESPに対応させる。末端の機器が直にIPsec接続を行う方式で、遠隔の機器からLANに安全に接続するリモートアクセスVPNなどで用いられる。