- ベストアンサー
IPSecをかけると通信量はどれだけ増えるの?
IPSecをかけると通信量はどれだけ増えるの? 2拠点間を広域イーサで接続し、Webやメールなどの通常の通信を暗号化なしで 行っている場合と比較して、 両拠点間をIPSec(AES255)で暗号化を掛けたときには、 一般的に通信量はどれだけ増えるものなのでしょうか? また、帯域設計はどのようにするものなのでしょうか? VoIPなどの極端なショートパケットが無い場合を想定しております。 抽象的な質問で申し訳ありませんがよろしくお願いします。
- 19inch_rack
- お礼率74% (227/306)
- ネットワーク
- 回答数1
- ありがとう数10
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
関連するQ&A
- 広域イーサに向けてのマルチキャスト通信について
広域イーサに向けてのマルチキャスト通信について センター拠点(ciscoルータ)のWAN(広域イーサ)からマルチキャスト通信を配下の拠点に行う場合、 WANポートにサブインタフェース、タグVLANによって通信を分けることは可能でしょうか。 できなさそうなのですが、マルチキャストを使うという条件で、マルチキャスト通信を要求してきた拠点のみに通信できる方法はないでしょうか。 マルチキャストはpim-sparseモードを使います。 その他必要な条件があれば、ご指摘ください。 よろしくお願いします。
- 締切済み
- ネットワーク
- IPSecのAHとESPについて
インターネット層で暗号化する為にIPSecを使う場合、 AHとESPのプロトコル?があるかと思います。 教科書では、AHは通信データの認証のみで暗号化しないとあり、 ESPでは、通信データの認証と暗号があると書いていますが、 AHの場合を採用するとした場合、IPSecの目的(暗号化通信)が達成できるのでしょうか? たぶん、私は何か勘違いしていると思いますので、ご教授いただけると嬉しいです。 よろしくお願いいたします。
- ベストアンサー
- ネットワーク
- FortiGate50B VPN-IPSECの接続について
FortiGate50Bで拠点間VPNの接続設定しているのですが、VRN>IPSEC>モニタ にて、各接続先の「トンネルがアップ状態」=「↑」(緑色)になっているのですが、各拠点先のルーターへpingが通りません。 設定内容が足りないのか・・・、ヒントになるような内容でも教えていただければと思います。 ■VPN>IPSEC>AutoKey(IKE) ・暗号化:AES 認証:SHA1 ・リプレイ検知を有効 ・PFSを有効にする ・DHグループ:"2" ・自動鍵キープアライブ:有効 ・Quick Mode Selector ※下記の各拠点ごとに送信元アドレス、宛先アドレスを設定 <A拠点アドレス> 172.26.12.0/24 <B拠点アドレス> 192.168.11.1/24 ■ファイアウォール>ポリシー>Internal>wan1 ・IPSECにて設定済み よろしくお願いします。
- 締切済み
- ネットワーク
- IPsecをサブネットの内部及び外側に適用する方法
IPsecをサブネットの内部及び外側に適用する方法 添付図のようなネットワークを想定します。 あるイントラネットの中に、サブネットが2つ、独立して接続されているクライアントが2つあります。 このとき、IPsecを使用して 薄い水色で囲んだ範囲内のクライアントは相互に暗号化通信をできるようにしたいと考えています。 ここで、例えば[192.168.2.12]と[192.168.3.1]の通信においては、ルータ[192.168.2.1]と[192.168.3.1]の間でトンネルモードを使用することでIPsec通信が可能となります。 では、Subnet_1 内にある[192.168.1.12]がルータ[192.168.2.1]や[192.168.3.1]とIPsec通信を行う場合、どういった設定を行えば良いのでしょうか? [192.168.1.12]はサブネット内にありますが、この場合は直接 [192.168.2.1]とのトンネルモード、あるいは直接 [192.168.3.1]とのトランスポートモードの通信は可能なのでしょうか? ただし、水色枠の範囲外にある[192.168.1.11]は他のクライアントとIPsec通信は行わないようにします。 宜しくお願いします。
- 締切済み
- ネットワーク
- 認証方法として証明書を使用したIPsec通信について
認証方法として証明書を使用したIPsec通信がうまくいかないので質問させていただきます。 現在IPsecの動作確認として以下のような環境で確認を行っています。 ・ハブを挟んだ2台のPC間でのトランスポートモードによるIPsec通信 ・2台のPCのOSはWindowsXP Proffessionalでそれぞれに固定IPアドレスを割り振る ・相手PCに対してのpingで通信を確認 互いのPCでIPセキュリティーポリシーを作成し、認証方法に事前共有キーを指定した場合には正常に暗号化した通信が行えています。 しかし、その状態で認証方法を証明書使用に変更した場合、通信ができなくなってしまいます。 (使用する証明書はPCにデフォルトで入っているものを何種類か指定してみましたがダメでした) 認証に使用する証明書はデフォルトでPCに入っているものではダメなのでしょうか?それとも何か設定が足りないのでしょうか? ご教授よろしくお願いします。
- 締切済み
- ネットワーク
- IPSecのVPNにおけるポートフィルタリング
お世話になります。 以下、質問させてください。 現在、2拠点間で、ヤマハルーター、RTX1100により、IPSecのVPN接続を行っております。 回線はBフレッツ、プロバイダはOCNです。 固定IPアドレスを取得して、インターネット接続では、IPマスカレードを使用しております。 セキュリティを強化するために、不要なポートを可能な限り、さらに閉じたいと思っておりますが、 閉じすぎてしまいますと、正常な通信が、出来なくなってしまいますので、 どのポートを閉じることが出来るかを、検討しております。 WELLKNOWNポート(0~1023)については、使用するポート(DNSサーバーの53、WEBの80、443、IPSecの500、等)以外のポートは、すべて閉じます。また、使用するポートも、IPアドレスによる制御をかけます。 登録済ポート(1024~49151)、自由使用ポート(49152~65535)については、特に狙われやすいポートを閉じ、他は、開けてあります。ただし、外部からのアクセスはIPアドレスにより拒否、内部から外部のDNSサーバー、WEBサイトへのアクセスの返答は、通過させるようにしております。 ここで、ご質問させてください。 まず、内部LANから、外部インターネットに接続する場合についてです。 内部LANの端末から、DNSサーバーの53番ポートへの送信、 DNSサーバーの53番ポートから、内部LANの端末への受信、を許可していますが、 その際に、こちら側のポートは、1024番以降のポート番号が、「任意」に割り当てられる、と、文書で読みました。 このため、1024番以降で、閉じているポートが、たまたま割り当てられてしまった場合は、正常な通信が出来なくなってしまいます。 この「任意」には、何らかのルールがありますでしょうか。 例えば、1024番から順番に割り当てられるのだとしたら、内部LANの端末数が100くらいで、また、すべての端末が同時にインターネットを使用する可能性は低いので、1024~1124ぐらいまでは、開けておき、1125~65535は、閉じておきたい、と思います。 外部WEBサイトに接続する場合、やはり、送信側の「任意の」ポートから、外部WEBサイトの80、443ポートに、パケットが送られ、そこから、ESTABLISHEDパケットが、送信側の80、443ポートを通じて(この認識も正しいかどうか、確証がありません)戻ってきて、3WAYハンドシェイクにより、接続が成立する、と理解しております。 この際の「任意」にも、何らかのルールがありますでしょうか。 ルーターRTX1100のマニュアルを観ますと、IPマスカレードを使っている場合、デフォルトでは、60000~64095が割り当てられる、と書いてあるのですが、通信ログを観ますと、1024番以降の比較的若い番号も、使われているようでして。 もし、このマニュアルの記述が正しいならば、1024~59999、64096~65535は、閉じてしまいたいとも、思うのですが。 次に、IPSecについてです。 調べますと、IPSecの共通鍵(IKE)交換は、両拠点の500番ポート同士で行われる、ということなのですが、それでは、両拠点間の通信は、すべて、この500番ポート同士のみで、行われるということになりますでしょうか。それとも、1024番以降のポートも、やはり、使われる可能性がありますでしょうか。 例えば、片方の拠点のLANにある、データベースサーバー(プライベートIPアドレス、MicrosoftSQLサーバー)を、もう片方の拠点のLANでも、参照、使用しております。 ポートフィルタリングで、SQLServerが使用する、1433、1434番ポートも、閉じているのですが、2拠点間の通信は、正常に行うことが出来ております。 以上、2つ、お伺いさせて頂きます。 どうぞよろしくお願い致します。
- 締切済み
- ネットワーク
- PPP接続に関する用語について
最近PPP接続に関する用語について勉強しています。 自分の認識で間違っている所を教えて頂けると助かります。 PPP…2つの機器の間に仮想的な通信路を確立させるためのプロトコル。VPNの一種? PPP接続…PPPプロトコルを用いて2機器間に仮想的な通信路を確立させて行う通信方法。暗号化の機能は無いため別のプロトコルで暗号化する必要がある。 VPN…通信会社の回線上に仮想的なネットワークを設ける仕組み。遠方の拠点にある機器でも直接繋がっているかのように扱える。セキュリティの保護に別途暗号化を施す必要がある。 IPsec…OSI参照モデル第3層のプロトコル。IPパケット自体を丸々暗号化する事も可能である。 第3層で暗号化を施すためルーターでIPsecが対応していれば通信できる為クライアントはIPsecに対応していなくとも通信可能である。 CHAP…PPP接続で用いられる暗号化プロトコルの一つ。通信自体に暗号化は施さず、通信のなりすましを防ぐ為に用いられる。 L2TP…PPP接続を行う際に仮想的な通信路を構築する為のプロトコル。第2層で構築する為その中に 様々な通信を乗せる事ができる。 このプロトコル自体にセキュリティの機能は無いためIPsecなどで暗号化する必要がある。PPPプロトコルとの違いは? 以上自分の認識を挙げてみましたが一部不確かな所がありますので、ネットワークセキュリティに詳しい方は教えて頂けるとうれしいです。
- ベストアンサー
- ネットワーク
- FOMAとmovaの通信にかかるパケット量比較
ホンダのカーナビで携帯電話を使って渋滞情報を取得したり発信したり、メールの送受信が出来るサービスにこれから加入しようと思っています。 そのため通信料が安くなるならとFOMAへの買い換えを検討しています。 FOMAパケットパック割引のところでmovaに比べてFOAMのパケット通信料は3分の1とか20分の1とか書いてあるのですが、その下に 「movaの1パケットあたりの単金と比較した場合。FOMAサービスとmovaサービスでは通信方式が異なるため、通信にかかるパケット量が異なります。」 と書いてあります。 http://www2.nttdocomo-h.co.jp/formobil/charge/foma/system.html 通信に必要なパケット量が異なるのに、パケット代が安いと書いてあっても比較が出来ないように思います。 なんか都合の悪いことを伏せられているような気がするのですが、movaとFOMAの同じデータを受信する場合に必要なデータ量に関するデータをお持ちの方がいらっしゃったら教えてください。
- ベストアンサー
- その他(スマートフォン・携帯・タブレット)
- 片側非固定IPアドレス時のIPsec
以下のような条件でLINUXサーバをルータがわりに使って拠点1-2間でIPsec VPN通信をしたいと思っています。 ・(拠点1ネットワーク)---LINUXサーバ---(インターネット)---LINUXサーバ---(拠点2ネットワーク) ・グローバルIPアドレスは拠点1では非固定、拠点2では固定。 まずは、拠点1側のLinuxにipsec-toolsをインストールして以下のように設定しました。 ・IKE使用 ・セキュリティプロトコルはESP ・カプセル化モードはトンネルモード。 ・phase1の鍵交換タイプはagressiveモード。 ここでSPDの設定時についてお聞きしたいことがあります。 SPDの設定時に spdadd B.B.B.B/24 A.A.A.A/24 any -P out ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X//require; spdadd A.A.A.A/24 B.B.B.B/24 any -P in ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/require; というコマンドを打つ必要があるようなのですが、拠点1では非固定IPアドレスなので、X.X.X.Xの部分を指定できません。ipsec-toolsを使う場合は両側固定グローバルアドレスがないどいけないのでしょうか? ただし、A.A.A.A/24が拠点1ネットワークアドレス、B.B.B.B/24が拠点2ネットワークアドレス、Y.Y.Y.Yを拠点B側の固定グローバルアドレスとします。 わかりにくい説明で申し訳ないのですが、何卒よろしくお願いいたします。
- 締切済み
- ネットワーク
お礼
御礼が大変遅くなり失礼しました。 シンプルかつ分かりやすいご回答に感謝いたします。 ありがとうございました。