ネットワーク・アドレス変換

IP セキュリティーでは、アドレスがネットワーク・アドレス変換 (NAT) の対象とされるデバイスを使用することができます。

NAT は、インターネット接続共有のためのファイアウォール・テクノロジーの一部として広く使用されており、さらにルーターおよびエッジ・デバイスの標準機構ともなっています。 IP セキュリティー・プロトコルは、 リモート IP アドレスをベースとした、リモート・エンドポイントおよびそれらのポリシーの識別に依存します。 ルーターやファイアウォールなどの中間デバイスが専用アドレスを共用アドレスに変換するとき、IP セキュリティーにおける必要な認証プロセスが失敗することがあります。その理由は、IP パケットのアドレスが、認証ダイジェストが計算された後に変更されているからです。 新規の IP セキュリティー NAT サポートにより、 ネットワーク・アドレス変換を行うノードの背後で構成されているデバイスは、IP セキュリティー・トンネルを確立することができます。 IP セキュリティー・コードは、 リモート・アドレスが変換されている場合、それを検出することができます。 NAT サポート付きの、新規の IP セキュリティー・インプリメンテーション を使用すれば、VPN クライアントは、使用可能にされている NAT とのインターネット接続を介して、 自宅または出先からオフィスへ接続することが可能となります。

図 1. NAT 使用可能 IP セキュリティー

このダイアグラムは、NAT 使用可能の IP セキュリティー・インプリメンテーション (UDP カプセル化トラフィック) と NAT 使用不可のインプリメンテーションとの差を示します。