返信

匿名希望さん
こんにちは

> http://tonetsutomu.com/tone/node/152

答えは、こちらのページに書いてあることと一緒ですが、
もう一度整理し直してみましょう。

まず、IPsecは動作モードが2種類あって、
パケットの形が違いますし、
tracerouteでの見え方も違います。

(a)トンネルモード
　元のパケット全体を暗号化してカプセル化する
(b)トランスポートモード
　ヘッダ以後を暗号化して、カプセル化しない

普通、IPsecを用いて拠点間を接続する場合は
(a)に該当すると思います。
そして、カプセル化すると、暗号化の有無に関わらず、
tracerouteでトンネル内のルータは全く見えなくなります。
で、こちらの場合、本題は、IPsec云々ではなくて、
カプセル化すると、なぜ見えなくなるの？
という話になります。

カプセル化は、一つのパケットを丸ごと
別のパケットのデータ部分に格納して運ぶ方法です。
これを使うとき、トンネルの入り口でカプセル化して（カプセルの中に入れる）
出口でカプセルから取り出します。
すると、入り口から入ったパケットが
そっくりそのまま出口から出てきます。
この動きは、通信回線の入り口で
パケットを電気や光の信号に変換したものが
通信回線の出口で信号から元のパケットに戻り、
パケットがそのまま通信回線の先に届く、
という動きと同じです。
つまり、カプセル化で作ったトンネルは
通信回線と同じものになるわけです。
だから、通信回線の中身がtracerouteで見えないのと同様に
トンネルの中にあるルータも見えなくなります。
これはカプセル化に起因する性質なので、
カプセル化を用いてパケットを運べば、そうなります。
IPsec以外にも当てはまる、ということですね。

次は(b)の場合ですが、
こちらはパケットのデータ部分が
暗号化される格好になります。
原則として、パケットを中継する機器は
パケットのデータ部分に何が入っているか関知しませんから、
その部分の暗号化はパケット配送動作には影響を与えません。
普通のパケットを同じように考えればよい、ということですね。
結局、tracerouteで見えるか否かは
途中のルータの設定次第になります。
つまり、ICMPを返すかどうかで
tracerouteで見えるものもあれば、
見えないものもある、という結果になります。