Ciscoで暗号化した通信のパケット長／フレーム長を調べてみた　１／２

はじめに

WAN網に出す通信は暗号化されることがままあります。
Cisco機で暗号化した際のパケット／フレーム長を調べてみました。

構成

PC1からPC3へNANAを使って通信を発生。
PC1とPC3でパケットキャプチャをする。

暗号化パラメータ

IKEについて

暗号化アルゴリズム：AES 256
ハッシュアルゴリズム：SHA2-256
認証方式：Pre-shared key
DHグループ：14 (2048bit)

IPSecについて

リモートIPSecピア：対向機器のLo10を使用
トランスフォームセット名：IPSEC-NAME
ESPトランスフォーム：esp-aes-256／esp-sha384-hmac

下記を基にしつつ、SHA2になるようにしました。

IPSec Virtual Tunnel Interfaceを用いたLAN-to-LAN接続設定例

CEN-M-RT-001

crypto isakmp policy 1
 encr aes 256
 hash sha256
 authentication pre-share
 group 14
crypto isakmp key ISAKMP-PASS address 10.1.0.2       
crypto isakmp keepalive 30
!
crypto ipsec security-association replay disable
!
crypto ipsec transform-set IPSEC-NAME esp-aes 256 esp-sha384-hmac 
 mode tunnel
!
crypto ipsec profile VTI
 set transform-set IPSEC-NAME 
!

interface Loopback10
 ip address 10.1.0.1 255.255.255.255
!
interface Tunnel1001
 ip unnumbered GigabitEthernet8
 no ip redirects
 no ip proxy-arp
 ip mtu 1403
 keepalive 10 3
 tunnel source Loopback10
 tunnel mode ipsec ipv4
 tunnel destination 10.1.0.2
 tunnel protection ipsec profile VTI

interface GigabitEthernet8
 ip address 10.0.0.1 255.255.255.0
 no ip redirects
 no ip proxy-arp
 duplex uto
 speed auto
!

ip route 10.1.0.2 255.255.255.255 GigabitEthernet8 10.0.0.254

LOC-M-RT-001

crypto isakmp policy 1
 encr aes 256
 hash sha256
 authentication pre-share
 group 14
crypto isakmp key ISAKMP-PASS address 10.1.0.1       
crypto isakmp keepalive 30
!
crypto ipsec security-association replay disable
!
crypto ipsec transform-set IPSEC-NAME esp-aes 256 esp-sha384-hmac 
 mode tunnel
!
crypto ipsec profile VTI
 set transform-set IPSEC-NAME 
!


interface Loopback10
 ip address 10.1.0.2 255.255.255.255

interface GigabitEthernet8
 ip address 10.0.0.2 255.255.255.0
 no ip redirects
 no ip proxy-arp
 duplex auto
 speed auto
!

ip route 10.1.0.1 255.255.255.255 GigabitEthernet8 10.0.0.254

PC1の状況

データ長100で通信を発生させている

キャプチャしたパケット／フレームのLengthは142

PC3の状況

キャプチャしたパケット／フレームのLength226

暗号化によるパケット長の増加量

暗号化によって増加するヘッダ等の部分（新しいIPヘッダ、ESPヘッダ、ESP IV、ESPトレイラー）の長さを確認します。

キャプチャしたパケット／フレームのLengthから増加量を計算した結果は下記のようになりました。（1～40くらいは一つ一つ確認、それ以降はサンプルチェックで作成）
増加量は70～85の16個の値を取り、ESPパケット長は階段状に上がっていくことが分かります。　※暗号化ヘッダ長はIKEとIPSecの暗号化パラメータによります。

グラフにすると下記のようになる。