IPsec通信をしている回線でtracert(トレースルート)

お久しぶりです、小山です。お世話になります。
IPsec通信をしている回線でtracert(トレースルート)すると、
途中のルータが見える回線もあれば、見えない回線もあります。
途中にあるルータのコンフィグを確認しても特にIPsecに関する
設定はされていません。いろいろな書籍でIPsecを勉強してみたのですが、
原因がよくわかりません。ご教授いただければ幸いです。
よろしくお願い致します。
今回、IPsec通信と書いていますが、正確には東芝などで使っている
NCG(VPN)通信回線で起きている現象です。このNCG(VPN)
の中身がIPsec通信と書かれていたので、この点に絞って考えてみました。

名前: 
小山
日時: 
03/05/05 22:11

コメント

投稿者:戸根 勤 投稿日時:2003/05/06 13:25

小山さん,お久しぶりです。

>途中にあるルータのコンフィグを確認しても特にIPsecに関する
>設定はされていません。

IPSecで暗号化するのはIPヘッダの後ろにある部分です。
IPヘッダは暗号化せず,普通のパケットと同じですから,
(IPヘッダにはIPSec用のオプションフィールドが付きますが)
途中のルータがパケットを中継する動作は普通のパケットと変わりありません。
だから,IPSec用の設定は必要ありません。

tracertでルータが見えないのは,他に原因があるのだと思います。
icmp echoは無視するとか,あるいは,
time exceededのicmpメッセージを返さない,
というように設定してあるとルータから応答が返らないので,
tracertでルータは見えません。

Windowsのtracertはicmp echoを使いますが,
Unix系のtracerouteはUDPパケットを使うこともできるので,
そちらで試してみると違う結果になるかもしれません。

それから,IPSecでトンネリングした場合,
そのトンネルの中を流れるパケットから見ると,
トンネルは専用線のような一つのリンクにしか見えませんから,
そこにtracertのパケットを流しても,
途中のルータは見えないはずです。