＊1　IPsec
security architecture for IPの意。IPパケットを安全にやりとりするための枠組みを取り決めたもの。

＊2　制御用トンネル
ISAKMP SAと呼ばれる。VPN装置間で1本だけ確立され，制御データを双方向にやりとりする。ISAKMPはinternet security association and key management protocolの略。SAはsecurity associa-tionの略。

＊3　通信用トンネル
IPsec SAと呼ばれる。暗号化したIPパケットを運ぶための仮想的な通信路。上り用と下り用の2本がセットで作られる。

＊4　IKE
internet key exchangeの略。IPsecで利用するかぎ交換プロトコル。IKEにはIKEv1（RFC2409など）とIKEv2（RFC4306）がある。IKEv2は2005年12月に規定されたばかりなので，現状はIKEv1が利用されている。そのため本解説ではIKEv1に基づいて述べる。

＊5　事前共有秘密かぎ
プレシェアード・キー（pre-shared key）とも言う。

＊6　一般的に使われている
事前共有秘密かぎ方式のほか，ディジタル署名認証方式や公開かぎ暗号化認証方式などがある。

＊7　FQDN
fully qualified domain nameの略。www.nikkeibp.co.jpのようにドメイン名とホスト名という完全体で指定した表記方法のこと。

＊8　XAUTH
extended authentication within IKEの略。

＊9　ESP
encapsulating security payloadの略。データの暗号化と改ざん検出機能を備える。

＊10　一般的である
ESPのほかにAH（authentication header）というプロトコルもある。ただしAHには暗号化機能がない。暗号化にESPを使い，改ざん検出にAHを使うこともできるが，一般的にはESPだけが使われる。IPsecの仕様では，ESPの実装が必須だが，AHは必須ではない。

＊11　IPマスカレード
IPアドレスだけでなくポート番号も変換することで，複数のユーザーが同時に同じグローバルIPアドレスを使ってインターネットにアクセスできるようにする技術。NAPT（network address port translation）とも呼ばれる。

＊12　UDPヘッダを追加する
この機能は「NATトラバーサル」などと呼ばれる。また，LAN側からIPsecのパケットが来ると，そのパケットの送信元ポート番号を変えずに送信元IPアドレスだけを書き換えて送信する「VPNパススルー」と呼ばれる機能もある。ただしこの場合，LAN側に置けるVPN対応機器は1台に限られる。

＊13　IPアドレス情報も合わせて計算される
TCP/UDPでは「擬似ヘッダ」と呼ばれる仮想的なヘッダ情報を作り，その擬似ヘッダを，パケットが壊れていないかを確認するチェックサム計算の対象にする。擬似ヘッダには，送信元IPアドレスとあて先IPアドレスが含まれる。

＊14　SPI
security parameter indexの略。通信用トンネルを区別するために利用する値。

＊15　L2TPやPPTPといったプロトコル
L2TPは，layer 2 tunneling protocolの略。PPTPは，point-to-point tunneling protocolの略。