RTシリーズのIPsec&IKE&VPN&...に関するFAQ

トンネルを通るパケットは、どのように流れるのですか？

RTでトンネルインタフェースを通るパケットの流れを説明します。

[ 目次 ]

• 説明のための構成
  1. 経路を検討するモデルケース
  2. ネットワーク設計
  3. RT(A)の設計
  4. RT(A)のconfig例
  5. RT(B)の設計
  6. RT(B)のconfig例
• Rev.4系
  1. Rev.4系の詳細構成図
  2. パケットの流れ:PC(A)→PC(B) (Rev.4系)
  3. パケットの流れ:PC(B)→PC(A) (Rev.4系)
  4. RTシリーズの機能構成(Rev.4系)
• Rev.3系
  1. Rev.3系の詳細構成図
  2. パケットの流れ:PC(A)→PC(B) (Rev.3系)
  3. パケットの流れ:PC(B)→PC(A) (Rev.3系)
  4. RTシリーズの機能構成(Rev.3系)

[ 説明のための構成 ]

• 経路を検討するモデルケース

                                ＜インターネット＞
     〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
       |                                                                   |
       |                                                                   |
  プロバイダ#A                                                       プロバイダ#B
       #                                                                   #
       # 専用線                        VPN                          専用線 #
       #          ???????????????????????????????????????????????          #
       #          ?                                             ?          #
   +-------------------+                                   +-------------------+
   | [BRI]    [tunnel] |                                   | [tunnel]    [BRI] |
   |                   |                                   |                   |
   |       RT(A)       |                                   |       RT(B)       |
   |                   |                                   |                   |
   |       [LAN]       |                                   |       [LAN]       |
   +---------+---------+                                   +---------+---------+
             | 172.16.184.33(1)                     172.16.186.33(1) | 
             | 192.168.0.1(2)                         192.168.1.1(2) | 
             |    172.16.184.32/28(g)         172.16.186.32/28(g)    |    
             |      192.168.0.0/24(p)         192.168.1.0/24(p)      |      
   ----------+-----------------------         -----------------------+----------
             |                                                       |
             |172.16.184.34                             172.16.186.34|
           PC(A)                                                   PC(B)
  

• ネットワーク設計
  • RT(A)-RT(B)間のVPN(IPsec)設計

    SGWアドレス1	172.16.184.33…RT(A)
    SGWアドレス2	172.16.186.33…RT(B)
    事前共有鍵	"RT(A)-RT(B)間の事前共有鍵"
    トンネルモード	ESP, 暗号(des-cbc), 認証(md5-hmac)
    ルーティング	グローバルとプライベートの両方をVPNで通信
    トンネルNAT	使用しない

  • プロバイダ#Aの設定条件

    項目	内容
    アクセス回線	128Kbps専用線 PPP unnumberd
    グローバルアドレス	172.16.184.32〜172.16.184.47 (16個) ユーザ分(14個) ネットワークアドレス(1個) ブロードキャストアドレス(1個)
    ネットマスク	255.255.255.240 (28ビット)
    ルータアドレス	172.16.184.33

  • RT(A)側のネットワーク

    global
    種類	IPアドレスなど
    ネットワーク	172.16.184.32 or 172.16.184.32/28
    ネットマスク	255.255.255.240 (28ビット)
    ブロードキャスト	172.16.184.47
    ルータ	172.16.184.33 ↓ default, 192.168.0.0/24
    PC (A)	172.16.184.34
    アドレス変換ルール global ｜ private	172.16.184.46 ｜ 192.168.0.1〜192.168.0.254
    空き	172.16.184.35〜172.16.184.45
    private
    種類	IPアドレスなど
    ネットワーク	192.168.0.0 or 192.168.0.0/24
    ネットマスク	255.255.255.0 (24ビット)
    ブロードキャスト	192.168.0.255
    ルータ	192.168.0.1 ↓ default, 172.16.184.32/28
    空き	192.168.0.2〜192.168.0.254

  • RT(A)側のIPアドレス(internet address)の割り当て設計

    IPアドレス	割り当て	DHCPスコープ番号
    global
    172.16.184.32	network address	−
    172.16.184.33	ルータ(primary)	−
    172.16.184.34	PC(A)	−
    172.16.184.35 〜 172.16.184.45	ホスト	1
    172.16.184.46	IPマスカレード	−
    172.16.184.47	(directed) broadcast address	−
    255.255.255.240 (28ビット)	subnet mask	−
    private
    192.168.0.0	network address	−
    192.168.0.1	ルータ(secondary)	−
    192.168.0.2 〜 192.168.0.254	ホスト	−
    192.168.0.255	(directed) broadcast address	−
    255.255.255.0 (24ビット)	subnet mask	−
    255.255.255.255	limited broadcast address	−

  • プロバイダ#Bの設定条件

    項目	内容
    アクセス回線	128Kbps専用線 PPP unnumberd
    グローバルアドレス	172.16.186.32〜172.16.186.47 (16個) ユーザ分(14個) ネットワークアドレス(1個) ブロードキャストアドレス(1個)
    ネットマスク	255.255.255.240 (28ビット)
    ルータアドレス	172.16.186.33

  • RT(B)側のネットワーク

    global
    種類	IPアドレスなど
    ネットワーク	172.16.186.32 or 172.16.186.32/28
    ネットマスク	255.255.255.240 (28ビット)
    ブロードキャスト	172.16.186.47
    ルータ	172.16.186.33 ↓ default, 192.168.1.0/24
    PC (B)	172.16.186.34
    アドレス変換ルール global ｜ private	172.16.184.46 ｜ 192.168.1.1〜192.168.1.254
    空き	172.16.186.35〜172.16.186.45
    private
    種類	IPアドレスなど
    ネットワーク	192.168.1.0 or 192.168.1.0/24
    ネットマスク	255.255.255.0 (24ビット)
    ブロードキャスト	192.168.1.255
    ルータ	192.168.1.1 ↓ default, 172.16.186.32/28
    空き	192.168.1.2〜192.168.1.254

  • RT(B)側のIPアドレス(internet address)の割り当て設計

    IPアドレス	割り当て	DHCPスコープ番号
    global
    172.16.186.32	network address	−
    172.16.186.33	ルータ(primary)	−
    172.16.186.34	PC(A)	−
    172.16.186.35 〜 172.16.186.45	ホスト	1
    172.16.186.46	IPマスカレード	−
    172.16.186.47	(directed) broadcast address	−
    255.255.255.240 (28ビット)	subnet mask	−
    private
    192.168.1.0	network address	−
    192.168.1.1	ルータ(secondary)	−
    192.168.1.2 〜 192.168.1.254	ホスト	−
    192.168.1.255	(directed) broadcast address	−
    255.255.255.0 (24ビット)	subnet mask	−
    255.255.255.255	limited broadcast address	−

• RT(A)の設計
  • RT(A)のstaticルーティング設計

    宛先/ネットマスク	次のホップ	生成コマンド
    default	PP[LEASED] or PP[01]	ip pp route add net
    172.16.186.33	PP[LEASED] or PP[01]	ip pp route add host
    172.16.186.32/28	TUNNEL[01]	ip tunnel route add net
    192.168.1.0/24	TUNNEL[01]	ip tunnel route add net
    172.16.184.32/28	LAN1(172.16.184.33)	ip lan1 address
    192.168.0.0/24	LAN1(192.168.0.1)	ip lan1 secondary address

  • RT(A)のNAT/NATディスクリプタのイメージ図

        ＜外側＞    …PPインタフェース側
     +------------+
     |     ☆     | …外側アドレス (グローバル・アドレス)
     |     ↑     |
     |     ｜     |
     |     ▲     | …1組のIPマスカレード変換
     |   ／  ＼   |
     | ↑↑↑↑↑ |
     | ○○○○○ | …内側アドレス (プライベート・アドレス)
     +------------+
        ＜内側＞    …ルーティング側
    

  • RT(A)のNATとIPマスカレードの設計 (Rev.3系以前)

    項目	内容	生成コマンド
    適用インタフェース	PP[LEASED] PP[01]	pp select leased pp select 1
    NAT	使用する	nat use on
    IPマスカレード	使用する	nat masqerade on
    グローバルIPアドレス	172.16.184.46	nat address global
    プライベートIPアドレス	192.168.0.1〜192.168.0.254	nat address private
    静的なNAT設定	なし	nat address global
    静的IPマスカレード	なし

  • RT(A)のNATディスクリプタ設計 (Rev.4系以降)

    項目	内容	生成コマンド
    NATディスクリプタ番号	1
    タイプ	masquerade	nat descriptor type
    外側アドレス	172.16.184.46	nat descriptor outer address
    内側アドレス	192.168.0.1-192.168.0.254	nat descriptor inner address
    静的なNAT設定	なし	nat descriptor static
    静的IPマスカレード	なし	nat descriptor masquerade static
    適用インタフェース	PP[LEASED] or PP[01]	ip pp nat descriptor

  • RT(A)のIPsec設計

    SGW定義
    SGWアドレス	172.16.186.33
    RT(A)-RT(B)事前共有鍵	"RT(A)-RT(B)間の事前共有鍵"
    IPsecポリシーの定義
    ポリシー識別番号	101
    形式	ESP
    暗号	des-cbc
    認証	md5-hmac
    トンネルの定義
    トンネルIF番号	1
    ボリシー番号	101

• RT(A)のconfig例
  • RT(A): 1ポート専用タイプ (Rev.4系)

    #
    # RTに関する設定
    #
    pp line l128
    ip lan address 172.16.184.33/28
    ip lan secondary address 192.168.0.1/24
    ip lan routing protocol none
    #
    # NATディスクリプタの設定
    #
    nat descriptor type 1 masquerade
    nat descriptor address outer 1 172.16.184.46
    nat descriptor address inner 1 192.168.0.1-192.168.0.254
    #
    # 鍵交換に関する設定 (IPsecリリース3)
    #
    ipsec auto refresh on
    ipsec ike remote address 1 172.16.186.33
    ！#
    ！# 鍵交換に関する設定 (IPsecリリース1,2)
    ！#
    ！ipsec auto refresh on
    ！ipsec ike host 172.16.186.33
    #
    # トンネル(VPN)に関する設定
    #
    ipsec pre-shared-key 172.16.186.33 "RT(A)-RT(B)間の事前共有鍵"
    ipsec sa policy 101 172.16.186.33 esp des-cbc md5-hmac
    #
    tunnel select 1
    ip tunnel route add net 172.16.186.32/28 1
    ip tunnel route add net 192.168.1.0/24 1
    ipsec tunnel 101
    tunnel enable 1
    #
    # 接続相手(OCNエコノミー,専用線)に関する設定
    #
    pp select leased
    ip pp route add net default 1
    ip pp route add host 172.16.186.33 1
    ip pp nat descriptor 1
    pp enable leased
    #
    # 保存と再起動
    #
    save
    restart
    

  • RT(A): 複数ポート対応タイプ (Rev.4系)

    #
    # RTに関する設定
    #
    bri line 1 l128
    ip lan address 172.16.184.33/28
    ip lan secondary address 192.168.0.1/24
    ip lan routing protocol none
    #
    # NATディスクリプタの設定
    #
    nat descriptor type 1 masquerade
    nat descriptor address outer 1 172.16.184.46
    nat descriptor address inner 1 192.168.0.1-192.168.0.254
    #
    # 鍵交換に関する設定 (IPsecリリース3)
    #
    ipsec auto refresh on
    ipsec ike remote address 1 172.16.186.33
    ！#
    ！# 鍵交換に関する設定 (IPsecリリース1,2)
    ！#
    ！ipsec auto refresh on
    ！ipsec ike host 172.16.186.33
    #
    # トンネル(VPN)に関する設定
    #
    ipsec pre-shared-key 172.16.186.33 "RT(A)-RT(B)間の事前共有鍵"
    ipsec sa policy 101 172.16.186.33 esp des-cbc md5-hmac
    #
    tunnel select 1
    ip tunnel route add net 172.16.186.32/28 1
    ip tunnel route add net 192.168.1.0/24 1
    ipsec tunnel 101
    tunnel enable 1
    #
    # 接続相手(OCNエコノミー,専用線)に関する設定
    #
    pp select 1
    pp bind bri 1
    ip pp route add net default 1
    ip pp route add host 172.16.186.33 1
    ip pp nat descriptor 1
    pp enable 1
    #
    # 保存と再起動
    #
    save
    restart
    

  • RT(A): 1ポート専用タイプ (Rev.2系, Rev.3系)

    #
    # RTに関する設定
    #
    pp line l128
    ip lan address 172.16.184.33/28
    ip lan secondary address 192.168.0.1/24
    ip lan routing protocol none
    #
    # 鍵交換に関する設定 (IPsecリリース3)
    #
    ipsec auto refresh on
    ipsec ike remote address 1 172.16.186.33
    ！#
    ！# 鍵交換に関する設定 (IPsecリリース1,2)
    ！#
    ！ipsec auto refresh on
    ！ipsec ike host 172.16.186.33
    #
    # トンネル(VPN)に関する設定
    #
    ipsec pre-shared-key 172.16.186.33 "RT(A)-RT(B)間の事前共有鍵"
    ipsec sa policy 101 172.16.186.33 esp des-cbc md5-hmac
    #
    tunnel select 1
    ip tunnel route add net 172.16.186.32/28 1
    ip tunnel route add net 192.168.1.0/24 1
    ipsec tunnel 101
    tunnel enable 1
    #
    # 接続相手(OCNエコノミー,専用線)に関する設定
    #
    pp select leased
    ip pp route add net default 1
    ip pp route add host 172.16.186.33 1
    nat use on
    nat masquerade on
    nat address global 172.16.184.46
    nat address private 192.168.0.1-192.168.0.254
    pp enable leased
    #
    # 保存と再起動
    #
    save
    restart
    

  • RT(A): 複数ポート対応タイプ (Rev.2系, Rev.3系)

    #
    # RTに関する設定
    #
    bri line 1 l128
    ip lan address 172.16.184.33/28
    ip lan secondary address 192.168.0.1/24
    ip lan routing protocol none
    #
    # 鍵交換に関する設定 (IPsecリリース3)
    #
    ipsec auto refresh on
    ipsec ike remote address 1 172.16.186.33
    ！#
    ！# 鍵交換に関する設定 (IPsecリリース1,2)
    ！#
    ！ipsec auto refresh on
    ！ipsec ike host 172.16.186.33
    #
    # トンネル(VPN)に関する設定
    #
    ipsec pre-shared-key 172.16.186.33 "RT(A)-RT(B)間の事前共有鍵"
    ipsec sa policy 101 172.16.186.33 esp des-cbc md5-hmac
    #
    tunnel select 1
    ip tunnel route add net 172.16.186.32/28 1
    ip tunnel route add net 192.168.1.0/24 1
    ipsec tunnel 101
    tunnel enable 1
    #
    # 接続相手(OCNエコノミー,専用線)に関する設定
    #
    pp select 1
    pp bind bri 1
    ip pp route add net default 1
    ip pp route add host 172.16.186.33 1
    nat use on
    nat masquerade on
    nat address global 172.16.184.46
    nat address private 192.168.0.1-192.168.0.254
    pp enable 1
    #
    # 保存と再起動
    #
    save
    restart
    

• RT(B)の設計
  • RT(B)のstaticルーティング設計

    宛先/ネットマスク	次のホップ	生成コマンド
    default	PP[LEASED] or PP[01]	ip pp route add net
    172.16.184.33	PP[LEASED] or PP[01]	ip pp route add host
    172.16.184.32/28	TUNNEL[01]	ip tunnel route add net
    192.168.0.0/24	TUNNEL[01]	ip tunnel route add net
    172.16.186.32/28	LAN1(172.16.186.33)	ip lan1 address
    192.168.1.0/24	LAN1(192.168.1.1)	ip lan1 secondary address

  • RT(B)のNAT/NATディスクリプタのイメージ図

        ＜外側＞    …PPインタフェース側
     +------------+
     |     ☆     | …外側アドレス (グローバル・アドレス)
     |     ↑     |
     |     ｜     |
     |     ▲     | …1組のIPマスカレード変換
     |   ／  ＼   |
     | ↑↑↑↑↑ |
     | ○○○○○ | …内側アドレス (プライベート・アドレス)
     +------------+
        ＜内側＞    …ルーティング側
    

  • RT(B)のNATとIPマスカレードの設計 (Rev.3系以前)

    項目	内容	生成コマンド
    適用インタフェース	PP[LEASED] PP[01]	pp select leased pp select 1
    NAT	使用する	nat use on
    IPマスカレード	使用する	nat masqerade on
    グローバルIPアドレス	172.16.186.46	nat address global
    プライベートIPアドレス	192.168.1.1〜192.168.1.254	nat address private
    静的なNAT設定	なし	nat address global
    静的IPマスカレード	なし

  • RT(B)のNATディスクリプタ設計 (Rev.4系以降)

    項目	内容	生成コマンド
    NATディスクリプタ番号	1
    タイプ	masquerade	nat descriptor type
    外側アドレス	172.16.186.46	nat descriptor outer address
    内側アドレス	192.168.1.1-192.168.1.254	nat descriptor inner address
    静的なNAT設定	なし	nat descriptor static
    静的IPマスカレード	なし	nat descriptor masquerade static
    適用インタフェース	PP[LEASED] or PP[01]	ip pp nat descriptor

  • RT(B)のIPsec設計

    SGW定義
    SGWアドレス	172.16.184.33
    RT(A)-RT(B)事前共有鍵	"RT(A)-RT(B)間の事前共有鍵"
    IPsecポリシーの定義
    ポリシー識別番号	101
    形式	ESP
    暗号	des-cbc
    認証	md5-hmac
    トンネルの定義
    トンネルIF番号	1
    ボリシー番号	101

• RT(B)のconfig例
  • RT(B): 1ポート専用タイプ (Rev.4系)

    #
    # RTに関する設定
    #
    pp line l128
    ip lan address 172.16.186.33/28
    ip lan secondary address 192.168.1.1/24
    ip lan routing protocol none
    #
    # NATディスクリプタの設定
    #
    nat descriptor type 1 masquerade
    nat descriptor address outer 1 172.16.186.46
    nat descriptor address inner 1 192.168.1.1-192.168.1.254
    #
    # 鍵交換に関する設定 (IPsecリリース3)
    #
    ipsec auto refresh on
    ipsec ike remote address 1 172.16.184.33
    ！#
    ！# 鍵交換に関する設定 (IPsecリリース1,2)
    ！#
    ！ipsec auto refresh on
    ！ipsec ike host 172.16.184.33
    #
    # トンネル(VPN)に関する設定
    #
    ipsec pre-shared-key 172.16.184.33 "RT(A)-RT(B)間の事前共有鍵"
    ipsec sa policy 101 172.16.184.33 esp des-cbc md5-hmac
    #
    tunnel select 1
    ip tunnel route add net 172.16.184.32/28 1
    ip tunnel route add net 192.168.0.0/24 1
    ipsec tunnel 101
    tunnel enable 1
    #
    # 接続相手(OCNエコノミー,専用線)に関する設定
    #
    pp select leased
    ip pp route add net default 1
    ip pp route add host 172.16.184.33 1
    ip pp nat descriptor 1
    pp enable leased
    #
    # 保存と再起動
    #
    save
    restart
    

  • RT(B): 複数ポート対応タイプ (Rev.4系)

    #
    # RTに関する設定
    #
    bri line 1 l128
    ip lan address 172.16.186.33/28
    ip lan secondary address 192.168.1.1/24
    ip lan routing protocol none
    #
    # NATディスクリプタの設定
    #
    nat descriptor type 1 masquerade
    nat descriptor address outer 1 172.16.186.46
    nat descriptor address inner 1 192.168.1.1-192.168.1.254
    #
    # 鍵交換に関する設定 (IPsecリリース3)
    #
    ipsec auto refresh on
    ipsec ike remote address 1 172.16.184.33
    ！#
    ！# 鍵交換に関する設定 (IPsecリリース1,2)
    ！#
    ！ipsec auto refresh on
    ！ipsec ike host 172.16.184.33
    #
    # トンネル(VPN)に関する設定
    #
    ipsec pre-shared-key 172.16.184.33 "RT(A)-RT(B)間の事前共有鍵"
    ipsec sa policy 101 172.16.184.33 esp des-cbc md5-hmac
    #
    tunnel select 1
    ip tunnel route add net 172.16.184.32/28 1
    ip tunnel route add net 192.168.0.0/24 1
    ipsec tunnel 101
    tunnel enable 1
    #
    # 接続相手(OCNエコノミー,専用線)に関する設定
    #
    pp select 1
    pp bind bri 1
    ip pp route add net default 1
    ip pp route add host 172.16.184.33 1
    ip pp nat descriptor 1
    pp enable 1
    #
    # 保存と再起動
    #
    save
    restart
    

  • RT(B): 1ポート専用タイプ (Rev.2系, Rev.3系)

    #
    # RTに関する設定
    #
    pp line l128
    ip lan address 172.16.186.33/28
    ip lan secondary address 192.168.1.1/24
    ip lan routing protocol none
    #
    # 鍵交換に関する設定 (IPsecリリース3)
    #
    ipsec auto refresh on
    ipsec ike remote address 1 172.16.184.33
    ！#
    ！# 鍵交換に関する設定 (IPsecリリース1,2)
    ！#
    ！ipsec auto refresh on
    ！ipsec ike host 172.16.184.33
    #
    # トンネル(VPN)に関する設定
    #
    ipsec pre-shared-key 172.16.184.33 "RT(A)-RT(B)間の事前共有鍵"
    ipsec sa policy 101 172.16.184.33 esp des-cbc md5-hmac
    #
    tunnel select 1
    ip tunnel route add net 172.16.184.32/28 1
    ip tunnel route add net 192.168.0.0/24 1
    ipsec tunnel 101
    tunnel enable 1
    #
    # 接続相手(OCNエコノミー,専用線)に関する設定
    #
    pp select leased
    ip pp route add net default 1
    ip pp route add host 172.16.184.33 1
    nat use on
    nat masquerade on
    nat address global 172.16.186.46
    nat address private 192.168.1.1-192.168.1.254
    pp enable leased
    #
    # 保存と再起動
    #
    save
    restart
    

  • RT(B): 複数ポート対応タイプ (Rev.2系, Rev.3系)

    #
    # RTに関する設定
    #
    bri line 1 l128
    ip lan address 172.16.186.33/28
    ip lan secondary address 192.168.1.1/24
    ip lan routing protocol none
    #
    # 鍵交換に関する設定 (IPsecリリース3)
    #
    ipsec auto refresh on
    ipsec ike remote address 1 172.16.184.33
    ！#
    ！# 鍵交換に関する設定 (IPsecリリース1,2)
    ！#
    ！ipsec auto refresh on
    ！ipsec ike host 172.16.184.33
    #
    # トンネル(VPN)に関する設定
    #
    ipsec pre-shared-key 172.16.184.33 "RT(A)-RT(B)間の事前共有鍵"
    ipsec sa policy 101 172.16.184.33 esp des-cbc md5-hmac
    #
    tunnel select 1
    ip tunnel route add net 172.16.184.32/28 1
    ip tunnel route add net 192.168.0.0/24 1
    ipsec tunnel 101
    tunnel enable 1
    #
    # 接続相手(OCNエコノミー,専用線)に関する設定
    #
    pp select 1
    pp bind bri 1
    ip pp route add net default 1
    ip pp route add host 172.16.184.33 1
    nat use on
    nat masquerade on
    nat address global 172.16.186.46
    nat address private 192.168.1.1-192.168.1.254
    pp enable 1
    #
    # 保存と再起動
    #
    save
    restart
    

[ Rev.4系 ]

• Rev.4系の詳細構成図

                                ＜インターネット＞
          〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
           |                                                          |
      プロバイダ#A                                               プロバイダ#B
           :                                                          :
     [BRI] : ISDN回線 or 専用線                    ISDN回線 or 専用線 : [BRI] 
           :                                                          :
  +--------+---------------------------+  +---------------------------+--------+
  |        |                           |  |                           |        |
  | +-------------+ +-------------+    |  |    +-------------+ +-------------+ |
  | |    BRI処理  | |     SGW     |━┓|  |┏━|     SGW     | |    BRI処理  | |
  | +-------------+ |             |  ┃|  |┃  |             | +-------------+ |
  | |    PPP処理  | +-(↓)-+-(↑)-+  ┃|  |┃  +-(↓)-+-(↑)-+ |    PPP処理  | |
  | +-------------+ |ESP,AH|ESP,AH|  ┃|  |┃  |ESP,AH|ESP,AH| +-------------+ |
  |        |        | 受信 | 送信 |  ┃|  |┃  | 受信 | 送信 |        |        |
  | +-------------+ | ↓   | ↑   |  ┃|  |┃  | ↓   | ↑   | +-------------+ |
  | |   キュー    | |復号化|暗号化|  ┃|  |┃  |復号化|暗号化| |   キュー    | |
  | |(↓) +-----+ | | ↓   | ↑   |  ┃|  |┃  | ↓   | ↑   | |(↓) +-----+ | |
  | |     |queue| | | TCP  | TCP  |  ┃|  |┃  | TCP  | TCP  | |     |queue| | |
  | |     +-(↑)+ | | UDP  | UCP  |  ┃|  |┃  | UDP  | UCP  | |     +-(↑)+ | |
  | +-------------+ +-(↓)-+-(↑)-+  ┃|  |┃  +-(↓)-+-(↑)-+ +-------------+ |
  |        |               |         ┃|  |┃         |               |        |
  | +--＜Outer＞--+ +--＜Outer＞--+  ┃|  |┃  +--＜Outer＞--+ +--＜Outer＞--+ |
  | |     NAT     | |     NAT     |  ┃|  |┃  |     NAT     | |     NAT     | |
  | |+--+--+--+--+| |+--+--+--+--+|  ┃|  |┃  |+--+--+--+--+| |+--+--+--+--+| |
  | ||▲|▲|▲|▲|| ||▲|▲|▲|▲||  ┃|  |┃  ||▲|▲|▲|▲|| ||▲|▲|▲|▲|| |
  | |+--+--+--+--+| |+--+--+--+--+|  ┃|  |┃  |+--+--+--+--+| |+--+--+--+--+| |
  | +--＜Inner＞--+ +--＜Inner＞--+  ┃|  |┃  +--＜Inner＞--+ +--＜Inner＞--+ |
  |        |               |         ┃|  |┃         |               |        |
  | +-------------+ +-------------+  ┃|  |┃  +-------------+ +-------------+ |
  | |  IPフィルタ | | IPフィルタ  |  ┃|  |┃  |  IPフィルタ | | IPフィルタ  | |
  | |+(↓)-+-----+| |+(↓)-+-----+|  ┃|  |┃  |+(↓)-+-----+| |+(↓)-+-----+| |
  | || in  | out || || in  | out ||  ┃|  |┃  || in  | out || || in  | out || |
  | |+-----+-(↑)+| |+-----+-(↑)+|  ┃|  |┃  |+-----+-(↑)+| |+-----+-(↑)+| |
  | +-------------+ +-------------+  ┃|  |┃  +-------------+ +-------------+ |
  |        |               |         ┃|  |┃          |               |       |
  |      (PP#m)       (TUNNEL#n)     ┃|  |┃      (TUNNEL#n)        (PP#m)    |
  |        |               |         ┃|  |┃          |               |       |
  |+------------------------------+  ┃|  |┃  +------------------------------+|
  ||        IPルーティング        |  ┃|  |┃  |        IPルーティング        ||
  |+------------------------------+  ┃|  |┃  +------------------------------+|
  |    |       |           |         ┃|  |┃         |           |       |    |
  | LAN1(1) LAN1(2)  (自己アドレス)  ┃|  |┃  (自己アドレス)  LAN1(2) LAN1(1) |
  |    |       |           |         ┃|  |┃         |           |       |    |
  | +-------------+ +-------------+  ┃|  |┃  +-------------+ +-------------+ |
  | | IPフィルタ  | |自己パケット |  ┃|  |┃  |自己パケット | | IPフィルタ  | |
  | |+-----+-(↓)+| |       の処理|━┛|  |┗━|       の処理| |+-----+-(↓)+| |
  | || in  | out || +-------------+    |  |    +-------------+ || in  | out || |
  | |+(↑)-+-----+|      RT(A)         |  |         RT(B)      |+(↑)-+-----+| |
  | +-------------+                    |  |                    +-------------+ |
  |    |       |                       |  |                       |       |    |
  | +--＜Inner＞--+                    |  |                    +--＜Inner＞--+ |
  | |     NAT     |                    |  |                    |     NAT     | |
  | |+--+--+--+--+|                    |  |                    |+--+--+--+--+| |
  | ||▼|▼|▼|▼||                    |  |                    ||▼|▼|▼|▼|| |
  | |+--+--+--+--+|                    |  |                    |+--+--+--+--+| |
  | +--＜Outer＞--+                    |  |                    +--＜Outer＞--+ |
  |    |       |                       |  |                       |       |    |
  | +-------------+                    |  |                    +-------------+ |
  | |    キュー   |                    |  |                    |    キュー   | |
  | |     +-(↓)+ |                    |  |                    |     +-(↓)+ | |
  | |     |queue| |                    |  |                    |     |queue| | |
  | |(↑) +-----+ |                    |  |                    |(↑) +-----+ | |
  | +-------------+                    |  |                    +-------------+ |
  |    |       |                       |  |                       |       |    |
  | +-------------+                    |  |                    +-------------+ |
  | |Ethernet処理 |                    |  |                    |Ethernet処理 | |
  | +-------------+                    |  |                    +-------------+ |
  |    |       |                       |  |                       |       |    |
  +----+-------+-----------------------+  +-----------------------+-------+----+
       | [LAN] |                                                  | [LAN] |
       |       |      192.168.0.0/24(p)    192.168.1.0/24(p)      |       |
       |    ---+-----------------------    -----------------------+---    |
       |       |                                                  |       |
       |       |192.168.0.2                            192.168.1.2|       |
       |                                                                  |
       |           172.16.184.32/28(g)     172.16.186.32/28(g)            |
    ---+-------------------------------    -------------------------------+---
       |                                                                  |
       |172.16.184.34                                        172.16.186.34|
     PC(A)                                                              PC(B)
  

• パケットの流れ:PC(A)→PC(B) (Rev.4系)

  ※基本的に「PC(B)→PC(A)」と対称

  1. PC(A),IP: ethernetへ送信
  2. RT(A),IP: ethernetから受信
  3. RT(A),IP: ★NAT(LAN,IN)処理
  4. RT(A),IP: IPフィルタ(LAN,IN)処理
  5. RT(A),IP: 経路探索→TUNNELインタフェース
  6. RT(A),IP: IPフィルタ(TUNNEL,OUT)処理
  7. RT(A),IP: ★NAT(TUNNEL,OUT)処理
  8. RT(A),IP: SGW機能(暗号化)
  9. セキュリティ・ゲートウェイ間のIPsecパケット通信 IPsec:RT(A)→RT(B)
     1. RT(A),IPsec: →IPsecパケット(AHやESP)としてRT(B)へ送信
     2. RT(A),IPsec: 経路探索→PPインタフェース
     3. RT(A),IPsec: IPフィルタ(PP,OUT)処理
     4. RT(A),IPsec: NAT(PP,OUT)処理
     5. RT(A),IPsec: 優先制御/帯域制御のキュー(PP,OUT)処理
     6. RT(A),IPsec: PPP(OUT)処理
     7. RT(A),IPsec: BRI(OUT)処理
     8. ....
     9. インターネット,IPsec: ....
     10. ....
     11. RT(B),IPsec: BRI(IN)処理
     12. RT(B),IPsec: PPP(IN)処理
     13. RT(B),IPsec: NAT(PP,IN)処理
     14. RT(B),IPsec: IPフィルタ(PP,IN)処理
     15. RT(B),IPsec: 経路探索→自己アドレス(SGW機能)
     16. RT(B),IPsec: →IPsecパケット(AHやESP)としてRT(B)が受信

  10. RT(B),IP: SGW機能(復号化)
  11. RT(B),IP: ★NAT(TUNNEL,IN)処理
  12. RT(B),IP: IPフィルタ(TUNNEL,IN)処理
  13. RT(B),IP: 経路探索→LANインタフェース
  14. RT(B),IP: IPフィルタ(LAN,OUT)処理
  15. RT(B),IP: ★NAT(LAN,OUT)処理
  16. RT(B),IP: 優先制御/帯域制御のキュー(LAN,OUT)処理
  17. RT(B),IP: ethernetから送信
  18. PC(B),IP: ethernetへ受信

• パケットの流れ:PC(B)→PC(A) (Rev.4系)

  ※基本的に「PC(A)→PC(B)」と対称

  1. PC(B),IP: ethernetへ送信
  2. RT(B),IP: ethernetから受信
  3. RT(B),IP: ★NAT(LAN,IN)処理
  4. RT(B),IP: IPフィルタ(LAN,IN)処理
  5. RT(B),IP: 経路探索→TUNNELインタフェース
  6. RT(B),IP: IPフィルタ(TUNNEL,OUT)処理
  7. RT(B),IP: ★NAT(TUNNEL,OUT)処理
  8. RT(B),IP: SGW機能(暗号化)
  9. セキュリティ・ゲートウェイ間のIPsecパケット通信 IPsec:RT(B)→RT(A)
     1. RT(B),IPsec: →IPsecパケット(AHやESP)としてRT(A)へ送信
     2. RT(B),IPsec: 経路探索→PPインタフェース
     3. RT(B),IPsec: IPフィルタ(PP,OUT)処理
     4. RT(B),IPsec: NAT(PP,OUT)処理
     5. RT(B),IPsec: 優先制御/帯域制御のキュー(PP,OUT)処理
     6. RT(B),IPsec: PPP(OUT)処理
     7. RT(B),IPsec: BRI(OUT)処理
     8. ....
     9. インターネット,IPsec: ....
     10. ....
     11. RT(A),IPsec: BRI(IN)処理
     12. RT(A),IPsec: PPP(IN)処理
     13. RT(A),IPsec: NAT(PP,IN)処理
     14. RT(A),IPsec: IPフィルタ(PP,IN)処理
     15. RT(A),IPsec: 経路探索→自己アドレス(SGW機能)
     16. RT(A),IPsec: →IPsecパケット(AHやESP)としてRT(A)が受信

  10. RT(A),IP: SGW機能(復号化)
  11. RT(A),IP: ★NAT(TUNNEL,IN)処理
  12. RT(A),IP: IPフィルタ(TUNNEL,IN)処理
  13. RT(A),IP: 経路探索→LANインタフェース
  14. RT(A),IP: IPフィルタ(LAN,OUT)処理
  15. RT(A),IP: ★NAT(LAN,OUT)処理
  16. RT(A),IP: 優先制御/帯域制御のキュー(LAN,OUT)処理
  17. RT(A),IP: ethernetから送信
  18. PC(A),IP: ethernetへ受信

• RTシリーズの機能構成(Rev.4系)

  +--------------------------------------------------------------------------+
  |                    +-----------------------------+                       |
  |        IKEパケット | セキュリティ・ゲートウェイ  |   IKEパケット         |
  |      IPsecパケット |                             | IPsecパケット         |
  |       ┏━━━━→ | +------------+------------+ | →━━━━┓          |
  |       ┃           | |            |            | |           ┃          |
  |       ┃           | | AH,ESP受信 | AH,ESP送信 | |           ┃          |
  |       ┃           | |            |            | |           ┃          |
  |       ┃           | +----(↓)----+----(↑)----+ |           ┃          |
  |       ┃           | |            |            | |           ┃          |
  |       ┃           | |   復号化   |   暗号化   | |           ┃          |
  |       ┃           | |            |            | |           ┃          |
  |       ┃           | +----(↓)----+----(↑)----+ |           ┃          |
  |       ┃           +-----------------------------+           ┃          |
  |       ┃                   ↓           ↑                   ┃          |
  |       ┃           +-----------------------------+＜外側＞   ┃          |
  |       ┃           |                             |           ┃          |
  |       ┃           |      NATディスクリプタ      |           ┃          |
  |       ┃           |                             |           ┃          |
  |       ┃           |  +-(1)-+-(2)-+-(3)-+-(4)-+  |           ┃          |
  |       ┃           |  | ▲  | ▲  | ▲  | ▲  |  |           ┃          |
  |       ┃           |  +-----+-----+-----+-----+  |           ┃          |
  |       ┃           +-----------------------------+＜内側＞   ┃          |
  |       ┃                   ↓           ↑                   ┃          |
  |       ┃           +-----------------------------+           ┃          |
  |       ┃           |         IPフィルタ          |           ┃          |
  |       ┃           | +----(↓)----+----(↑)----+ |           ┃          |
  |       ┃           | |     in     |    out     | |           ┃          |
  |       ┃           | +----(↓)----+----(↑)----+ |           ┃          |
  |       ┃           +-----------------------------+           ┃          |
  |       ┃                   ↓           ↑                   ┃          |
  |       ┃                   ↓ (TUNNEL#m)↑                   ┃          |
  |       ↑                   ↓           ↑                   ↓          |
  |  +------------------------------------------------------------------+    |
  |  |                          IPルーティング                          |    |
  |  +------------------------------------------------------------------+    |
  |                 |                                    |                   |
  |               (LAN)                               (PP#n)                 |
  |                 |                                    |                   |
  |  +-----------------------------+      +-----------------------------+    |
  |  |         IPフィルタ          |      |         IPフィルタ          |    |
  |  | +----(↑)----+----(↓)----+ |      | +----(↑)----+----(↓)----+ |    |
  |  | |     in     |    out     | |      | |     in     |    out     | |    |
  |  | +----(↑)----+----(↓)----+ |      | +----(↑)----+----(↓)----+ |    |
  |  +-----------------------------+      +-----------------------------+    |
  |                 |                                    |                   |
  |                 |       ＜内側＞                     |       ＜内側＞    |
  |  +-----------------------------+      +-----------------------------+    |
  |  |                             |      |                             |    |
  |  |      NATディスクリプタ      |      |      NATディスクリプタ      |    |
  |  |                             |      |                             |    |
  |  |  +-(1)-+-(2)-+-(3)-+-(4)-+  |      |  +-(1)-+-(2)-+-(3)-+-(4)-+  |    |
  |  |  | ▼  | ▼  | ▼  | ▼  |  |      |  | ▼  | ▼  | ▼  | ▼  |  |    |
  |  |  +-----+-----+-----+-----+  |      |  +-----+-----+-----+-----+  |    |
  |  +-----------------------------+      +-----------------------------+    |
  |                 |       ＜外側＞                     |       ＜外側＞    |
  |                 |                                    |                   |
  |  +-----------------------------+      +-----------------------------+    |
  |  |                             |      |                             |    |
  |  |       パケット・キュー      |      |       パケット・キュー      |    |
  |  |                             |      |                             |    |
  |  |      (↑)    +----(↓)----+ |      |      (↑)    +----(↓)----+ |    |
  |  |              |   queue    | |      |              |   queue    | |    |
  |  |      (↑)    +----(↓)----+ |      |      (↑)    +----(↓)----+ |    |
  |  +-----------------------------+      +-----------------------------+    |
  |                 |                                    |                   |
  |  +-----------------------------+      +-----------------------------+    |
  |  |     イーサネットの処理      |      |     PPPやISDN回線の処理     |    |
  |  +-----------------------------+      +-----------------------------+    |
  |                 |                                    |                   |
  +-----------------+------------------------------------+-------------------+
                    |                                    :
             [LAN]  |                             [BRI]  : ISDN回線 or 専用線
                    |                                    :
  ------------------+--------------------
  

[ Rev.3系 ]

• Rev.3系の詳細構成図

                                ＜インターネット＞
          〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
           |                                                          |
      プロバイダ#A                                               プロバイダ#B
           :                                                          :
     [BRI] : ISDN回線 or 専用線                    ISDN回線 or 専用線 : [BRI] 
           :                                                          :
  +--------+---------------------------+  +---------------------------+--------+
  |        |                           |  |                           |        |
  | +-------------+ +-------------+    |  |    +-------------+ +-------------+ |
  | |    BRI処理  | |     SGW     |━┓|  |┏━|     SGW     | |    BRI処理  | |
  | +-------------+ |             |  ┃|  |┃  |             | +-------------+ |
  | |    PPP処理  | +-(↓)-+-(↑)-+  ┃|  |┃  +-(↓)-+-(↑)-+ |    PPP処理  | |
  | +-------------+ |ESP,AH|ESP,AH|  ┃|  |┃  |ESP,AH|ESP,AH| +-------------+ |
  |        |        | 受信 | 送信 |  ┃|  |┃  | 受信 | 送信 |        |        |
  | +-------------+ | ↓   | ↑   |  ┃|  |┃  | ↓   | ↑   | +-------------+ |
  | |   キュー    | |復号化|暗号化|  ┃|  |┃  |復号化|暗号化| |   キュー    | |
  | |(↓) +-----+ | | ↓   | ↑   |  ┃|  |┃  | ↓   | ↑   | |(↓) +-----+ | |
  | |     |queue| | | TCP  | TCP  |  ┃|  |┃  | TCP  | TCP  | |     |queue| | |
  | |     +-(↑)+ | | UDP  | UCP  |  ┃|  |┃  | UDP  | UCP  | |     +-(↑)+ | |
  | +-------------+ +-(↓)-+-(↑)-+  ┃|  |┃  +-(↓)-+-(↑)-+ +-------------+ |
  |        |               |         ┃|  |┃         |               |        |
  | +-＜Global＞--+        |         ┃|  |┃         |        +-＜Global＞--+ |
  | |     NAT     |        |         ┃|  |┃         |        |     NAT     | |
  | |+-----------+|        |         ┃|  |┃         |        |+-----------+| |
  | ||    ▲     ||        |         ┃|  |┃         |        ||    ▲     || |
  | |+-----------+|        |         ┃|  |┃         |        |+-----------+| |
  | +-＜Private＞-+        |         ┃|  |┃         |        +-＜Private＞-+ |
  |        |               |         ┃|  |┃         |               |        |
  | +-------------+ +-------------+  ┃|  |┃  +-------------+ +-------------+ |
  | |  IPフィルタ | | IPフィルタ  |  ┃|  |┃  |  IPフィルタ | | IPフィルタ  | |
  | |+(↓)-+-----+| |+(↓)-+-----+|  ┃|  |┃  |+(↓)-+-----+| |+(↓)-+-----+| |
  | || in  | out || || in  | out ||  ┃|  |┃  || in  | out || || in  | out || |
  | |+-----+-(↑)+| |+-----+-(↑)+|  ┃|  |┃  |+-----+-(↑)+| |+-----+-(↑)+| |
  | +-------------+ +-------------+  ┃|  |┃  +-------------+ +-------------+ |
  |        |               |         ┃|  |┃          |               |       |
  |      (PP#m)       (TUNNEL#n)     ┃|  |┃      (TUNNEL#n)        (PP#m)    |
  |        |               |         ┃|  |┃          |               |       |
  |+------------------------------+  ┃|  |┃  +------------------------------+|
  ||        IPルーティング        |  ┃|  |┃  |        IPルーティング        ||
  |+------------------------------+  ┃|  |┃  +------------------------------+|
  |    |       |           |         ┃|  |┃         |           |       |    |
  | LAN1(1) LAN1(2)  (自己アドレス)  ┃|  |┃  (自己アドレス)  LAN1(2) LAN1(1) |
  |    |       |           |         ┃|  |┃         |           |       |    |
  | +-------------+ +-------------+  ┃|  |┃  +-------------+ +-------------+ |
  | | IPフィルタ  | |自己パケット |  ┃|  |┃  |自己パケット | | IPフィルタ  | |
  | |+-----+-(↓)+| |       の処理|━┛|  |┗━|       の処理| |+-----+-(↓)+| |
  | || in  | out || +-------------+    |  |    +-------------+ || in  | out || |
  | |+(↑)-+-----+|      RT(A)         |  |         RT(B)      |+(↑)-+-----+| |
  | +-------------+                    |  |                    +-------------+ |
  |    |       |                       |  |                       |       |    |
  | +-------------+                    |  |                    +-------------+ |
  | |    キュー   |                    |  |                    |    キュー   | |
  | |     +-(↓)+ |                    |  |                    |     +-(↓)+ | |
  | |     |queue| |                    |  |                    |     |queue| | |
  | |(↑) +-----+ |                    |  |                    |(↑) +-----+ | |
  | +-------------+                    |  |                    +-------------+ |
  |    |       |                       |  |                       |       |    |
  | +-------------+                    |  |                    +-------------+ |
  | |Ethernet処理 |                    |  |                    |Ethernet処理 | |
  | +-------------+                    |  |                    +-------------+ |
  |    |       |                       |  |                       |       |    |
  +----+-------+-----------------------+  +-----------------------+-------+----+
       | [LAN] |                                                  | [LAN] |
       |       |      192.168.0.0/24(p)    192.168.1.0/24(p)      |       |
       |    ---+-----------------------    -----------------------+---    |
       |       |                                                  |       |
       |       |192.168.0.2                            192.168.1.2|       |
       |                                                                  |
       |           172.16.184.32/28(g)     172.16.186.32/28(g)            |
    ---+-------------------------------    -------------------------------+---
       |                                                                  |
       |172.16.184.34                                        172.16.186.34|
     PC(A)                                                              PC(B)
  

• パケットの流れ:PC(A)→PC(B) (Rev.3系)

  ※基本的に「PC(B)→PC(A)」と対称

  1. PC(A),IP: ethernetへ送信
  2. RT(A),IP: ethernetから受信
  3. RT(A),IP: IPフィルタ(LAN,IN)処理
  4. RT(A),IP: 経路探索→TUNNELインタフェース
  5. RT(A),IP: IPフィルタ(TUNNEL,OUT)処理
  6. RT(A),IP: SGW機能(暗号化)
  7. セキュリティ・ゲートウェイ間のIPsecパケット通信 IPsec:RT(A)→RT(B)
     1. RT(A),IPsec: →IPsecパケット(AHやESP)としてRT(B)へ送信
     2. RT(A),IPsec: 経路探索→PPインタフェース
     3. RT(A),IPsec: IPフィルタ(PP,OUT)処理
     4. RT(A),IPsec: NAT(PP,OUT)処理
     5. RT(A),IPsec: 優先制御/帯域制御のキュー(PP,OUT)処理
     6. RT(A),IPsec: PPP(OUT)処理
     7. RT(A),IPsec: BRI(OUT)処理
     8. ....
     9. インターネット,IPsec: ....
     10. ....
     11. RT(B),IPsec: BRI(IN)処理
     12. RT(B),IPsec: PPP(IN)処理
     13. RT(B),IPsec: NAT(PP,IN)処理
     14. RT(B),IPsec: IPフィルタ(PP,IN)処理
     15. RT(B),IPsec: 経路探索→自己アドレス(SGW機能)
     16. RT(B),IPsec: →IPsecパケット(AHやESP)としてRT(B)が受信

  8. RT(B),IP: SGW機能(復号化)
  9. RT(B),IP: IPフィルタ(TUNNEL,IN)処理
  10. RT(B),IP: 経路探索→LANインタフェース
  11. RT(B),IP: IPフィルタ(LAN,OUT)処理
  12. RT(B),IP: 優先制御/帯域制御のキュー(LAN,OUT)処理
  13. RT(B),IP: ethernetから送信
  14. PC(B),IP: ethernetへ受信

• パケットの流れ:PC(B)→PC(A) (Rev.3系)

  ※基本的に「PC(A)→PC(B)」と対称

  1. PC(B),IP: ethernetへ送信
  2. RT(B),IP: ethernetから受信
  3. RT(B),IP: IPフィルタ(LAN,IN)処理
  4. RT(B),IP: 経路探索→TUNNELインタフェース
  5. RT(B),IP: IPフィルタ(TUNNEL,OUT)処理
  6. RT(B),IP: SGW機能(暗号化)
  7. セキュリティ・ゲートウェイ間のIPsecパケット通信 IPsec:RT(B)→RT(A)
     1. RT(B),IPsec: →IPsecパケット(AHやESP)としてRT(A)へ送信
     2. RT(B),IPsec: 経路探索→PPインタフェース
     3. RT(B),IPsec: IPフィルタ(PP,OUT)処理
     4. RT(B),IPsec: NAT(PP,OUT)処理
     5. RT(B),IPsec: 優先制御/帯域制御のキュー(PP,OUT)処理
     6. RT(B),IPsec: PPP(OUT)処理
     7. RT(B),IPsec: BRI(OUT)処理
     8. ....
     9. インターネット,IPsec: ....
     10. ....
     11. RT(A),IPsec: BRI(IN)処理
     12. RT(A),IPsec: PPP(IN)処理
     13. RT(A),IPsec: NAT(PP,IN)処理
     14. RT(A),IPsec: IPフィルタ(PP,IN)処理
     15. RT(A),IPsec: 経路探索→自己アドレス(SGW機能)
     16. RT(A),IPsec: →IPsecパケット(AHやESP)としてRT(A)が受信

  8. RT(A),IP: SGW機能(復号化)
  9. RT(A),IP: IPフィルタ(TUNNEL,IN)処理
  10. RT(A),IP: 経路探索→LANインタフェース
  11. RT(A),IP: IPフィルタ(LAN,OUT)処理
  12. RT(A),IP: 優先制御/帯域制御のキュー(LAN,OUT)処理
  13. RT(A),IP: ethernetから送信
  14. PC(A),IP: ethernetへ受信

• RTシリーズの機能構成(Rev.3系)

  +--------------------------------------------------------------------------+
  |                    +-----------------------------+                       |
  |        IKEパケット | セキュリティ・ゲートウェイ  |   IKEパケット         |
  |      IPsecパケット |                             | IPsecパケット         |
  |       ┏━━━━→ | +------------+------------+ | →━━━━┓          |
  |       ┃           | |            |            | |           ┃          |
  |       ┃           | | AH,ESP受信 | AH,ESP送信 | |           ┃          |
  |       ┃           | |            |            | |           ┃          |
  |       ┃           | +----(↓)----+----(↑)----+ |           ┃          |
  |       ┃           | |            |            | |           ┃          |
  |       ┃           | |   復号化   |   暗号化   | |           ┃          |
  |       ┃           | |            |            | |           ┃          |
  |       ┃           | +----(↓)----+----(↑)----+ |           ┃          |
  |       ┃           +-----------------------------+           ┃          |
  |       ┃                   ↓           ↑                   ┃          |
  |       ┃           +-----------------------------+           ┃          |
  |       ┃           |         IPフィルタ          |           ┃          |
  |       ┃           | +----(↓)----+----(↑)----+ |           ┃          |
  |       ┃           | |     in     |    out     | |           ┃          |
  |       ┃           | +----(↓)----+----(↑)----+ |           ┃          |
  |       ┃           +-----------------------------+           ┃          |
  |       ┃                   ↓           ↑                   ┃          |
  |       ┃                   ↓ (TUNNEL#m)↑                   ┃          |
  |       ↑                   ↓           ↑                   ↓          |
  |  +------------------------------------------------------------------+    |
  |  |                          IPルーティング                          |    |
  |  +------------------------------------------------------------------+    |
  |                 |                                    |                   |
  |               (LAN)                               (PP#n)                 |
  |                 |                                    |                   |
  |  +-----------------------------+      +-----------------------------+    |
  |  |         IPフィルタ          |      |         IPフィルタ          |    |
  |  | +----(↑)----+----(↓)----+ |      | +----(↑)----+----(↓)----+ |    |
  |  | |     in     |    out     | |      | |     in     |    out     | |    |
  |  | +----(↑)----+----(↓)----+ |      | +----(↑)----+----(↓)----+ |    |
  |  +-----------------------------+      +-----------------------------+    |
  |                 |                                    |                   |
  |                 |                                    |       ＜内側＞    |
  |                 |                     +-----------------------------+    |
  |                 |                     |                             |    |
  |                 |                     |             NAT             |    |
  |                 |                     |                             |    |
  |                 |                     |  +-----------------------+  |    |
  |                 |                     |  |          ▼           |  |    |
  |                 |                     |  +-----------------------+  |    |
  |                 |                     +-----------------------------+    |
  |                 |                                    |       ＜外側＞    |
  |                 |                                    |                   |
  |  +-----------------------------+      +-----------------------------+    |
  |  |                             |      |                             |    |
  |  |       パケット・キュー      |      |       パケット・キュー      |    |
  |  |                             |      |                             |    |
  |  |      (↑)    +----(↓)----+ |      |      (↑)    +----(↓)----+ |    |
  |  |              |   queue    | |      |              |   queue    | |    |
  |  |      (↑)    +----(↓)----+ |      |      (↑)    +----(↓)----+ |    |
  |  +-----------------------------+      +-----------------------------+    |
  |                 |                                    |                   |
  |  +-----------------------------+      +-----------------------------+    |
  |  |     イーサネットの処理      |      |     PPPやISDN回線の処理     |    |
  |  +-----------------------------+      +-----------------------------+    |
  |                 |                                    |                   |
  +-----------------+------------------------------------+-------------------+
                    |                                    :
             [LAN]  |                             [BRI]  : ISDN回線 or 専用線
                    |                                    :
  ------------------+--------------------
  

[ Ｑuestion ＆ Ａnswer ]

• 設定例の「！」について

  IPsecリリースによる仕様の違いを明示することとします。
  

  IPsecリリース1やIPsecリリース2からIPsecリリース3に移行する場合は、 「セキュリティ・ゲートウェイ機能とIPsec」の 「IPsecリリース3への設定変更の手引き」を参考にしてください。

• ipsec pre-shared-keyコマンドが入力(設定)できません。

  Rev.4.00.33から追加されたダイヤルアップVPN機能により、ipsec pre-shared-keyコマンドの仕様変更 があり、コマンドもipsec ike pre-shared-keyへと変更されました。

  Rev.4.00.33以降のファームウェアの場合は、 ipsec pre-shared-keyコマンドの代りにipsec ike pre-shared-keyコマンドを 設定してください。

• config例で設定されていないフィルタやNATや帯域制御/優先制御は、 使えますか？

  適切に設定されれば機能するようになります。

[ 関連情報 ]

• セキュリティゲートウェイ機能とIPsec
• OCN接続された基幹ネットワークと遠隔地をVPN(IPsec)接続する事例
• NATディスクリプタ機能

[ FAQ for RT-Series ]
[ FAQ for IPsec / files / IPsec&IKE / Internet+VPN / TCP/IP ]