１．ESPとAH
ESPとAHの2種類のセキュリティプロトコルがある。
ESP(Encapsulating Security Payload)が一般的で，暗号化と認証の両方の機能を持つ。
一方AH(Authentication Header)は，認証のみの機能を持ち，あまり利用されていない。

２．IKE(Internet Key Exchange)
鍵交換のプロトコル。IPsec通信のための鍵交換を安全に実施する仕組みであるが，IPsecに必須な機能ではない。。しかし，鍵交換を自動で行ってくれるため，IKEを利用することが多い。

３．ESPのパケット構造
以下の問題を参考にしながら、解説をする。

図はIPsecのデータ形式を示している。ESPトンネルモードの電文中で，暗号化されているのはどの部分か。 新IP ヘッダ EPS ヘッダ オリジナル IPヘッダ TCP ヘッダ データ ESP トレーラ ESP 認証データ ア　ESPヘッダからESPトレーラまで イ　TCPヘッダからESP認証データまで ウ　オリジナルIPヘッダからESPトレーラまで エ　新IPヘッダからESP認証データまで (H20NW午前問26より)

・ESPヘッダ：SAを識別するためのSPIや，シーケンス番号
・ESPトレーラ：パケットの長さを調整するためのパディング（詰め物）等
・ESP認証データ：パケットが改ざんされていないかを確認するための情報

この問題の正解はウである。オリジナルIPヘッダからESPトレーラまでが暗号化されている。
なので、第三者が見ると、以下のような状態だ。

新IP ヘッダ

EPS ヘッダ

XXXXXXX

XXXX

XXX

XXX

ESP 認証データ

あれ？
TCPやUDPにあるようなポート番号がありませんね。
そう。ESPにはポート番号がない。
だからポート番号を使ったNATであるNAPTができないので，VPNパススルーやNATトラバーサルなどが活用される。

■NAT　traversalについて
　IPsec通信では，VPNルータの間にNAT（NAPT）を行う装置があると，通信に失敗することがあります。理由は，IPsecのプロトコルであるESPは，ポート番号を持っていないので，IPsecのパケットはNAT（NAPT）機器を通過できないからです。
そこで，NATトラバーサルという技術を使いESPパケットに，UDPヘッダを付与します。UDPにはポート番号がある（※FortiGateではUDPの4500番を使います）ので，NAT機器を通過することができるのです。
NAT機器がある場合と無い場合の違いを，パケット構造で確認ください。上が従来のESPのパケット構造で，下がUDPヘッダが付与されたNATトラバーサルによるパケット構造です。


UDP4500というのは宛先、送信元のどちらですか？

製品によるでしょう。
Fortigateの場合は、両方です。
そして、NAT装置を通過する際、送信元のポート番号が変換されますが、宛先ポートんは4500のまま固定されます。