Linuxには、IPパケットのペイロードを変換するためのXFRMという、IPsecでも使用されているフレームワークがあります。
前回はESPを試してみましたので、今回はAHの設定方法を備忘録として残しておきます。

環境は前回と同じで以下の通りです。
環境

• PC1
  IPアドレス 192.168.1.152
• PC2
  IPアドレス 192.168.1.153
• PC1、PC2共通
  ディストリビューション Ubuntu 12.04.2 LTS
  カーネルバージョン 3.5.0-27-generic

PC1とPC2間のトラフィックについてAHを設定するには、PC1、PC2それぞれで以下のようにコマンドを実行してください。
※Root権限が必要なため、一般ユーザで実行する場合には、各行の先頭にsudoをつける必要があります。

PC1

ip xfrm policy add dir out src 192.168.1.152 dst 192.168.1.153 tmpl proto ah
ip xfrm state add src 192.168.1.152 dst 192.168.1.153 proto ah spi 1 auth md5 0x000102030405060708090a0b0c0d0e0f sel src 192.168.1.152 dst 192.168.1.153
ip xfrm policy add dir in src 192.168.1.153 dst 192.168.1.152 tmpl proto ah
ip xfrm state add src 192.168.1.153 dst 192.168.1.152 proto ah spi 2 auth md5 0x000102030405060708090a0b0c0d0e0f sel src 192.168.1.153 dst 192.168.1.152

PC2

ip xfrm policy add dir out src 192.168.1.153 dst 192.168.1.152 tmpl proto ah
ip xfrm state add src 192.168.1.153 dst 192.168.1.152 proto ah spi 2 auth md5 0x000102030405060708090a0b0c0d0e0f sel src 192.168.1.153 dst 192.168.1.152
ip xfrm policy add dir in src 192.168.1.152 dst 192.168.1.153 tmpl proto ah
ip xfrm state add src 192.168.1.152 dst 192.168.1.153 proto ah spi 1 auth md5 0x000102030405060708090a0b0c0d0e0f sel src 192.168.1.152 dst 192.168.1.153

上記設定後、PC1からPC2へのpingのパケットをtcpdumpによりキャプチャしてみると、パケットがXFRMによってAHフォーマットへ変換されていることが分かります。

14:17:59.572093 IP 192.168.1.152 > 192.168.1.153: AH(spi=0x00000001,seq=0x7): ICMP echo request, id 1981, seq 3, length 64
    0x0000:  0800 27f3 d1b3 0800 2759 fca4 0800 4500  ..'.....'Y....E.
    0x0010:  006c 0000 4000 4033 b5dd c0a8 0198 c0a8  .l..@.@3........
    0x0020:  0199 0104 0000 0000 0001 0000 0007 acd9  ................
    0x0030:  5e57 36a0 640c 2c2c 6155 0800 8aa4 07bd  ^W6.d.,,aU......
    0x0040:  0003 87bc 7851 0000 0000 9eba 0800 0000  ....xQ..........
    0x0050:  0000 1011 1213 1415 1617 1819 1a1b 1c1d  ................
    0x0060:  1e1f 2021 2223 2425 2627 2829 2a2b 2c2d  ...!"#$%&'()*+,-
    0x0070:  2e2f 3031 3233 3435 3637                 ./01234567
14:17:59.572663 IP 192.168.1.153 > 192.168.1.152: AH(spi=0x00000002,seq=0x7): ICMP echo reply, id 1981, seq 3, length 64
    0x0000:  0800 2759 fca4 0800 27f3 d1b3 0800 4500  ..'Y....'.....E.
    0x0010:  006c b803 0000 4033 3dda c0a8 0199 c0a8  .l....@3=.......
    0x0020:  0198 0104 0000 0000 0002 0000 0007 8ad1  ................
    0x0030:  b027 41a0 6887 a7d5 47a0 0000 92a4 07bd  .'A.h...G.......
    0x0040:  0003 87bc 7851 0000 0000 9eba 0800 0000  ....xQ..........
    0x0050:  0000 1011 1213 1415 1617 1819 1a1b 1c1d  ................
    0x0060:  1e1f 2021 2223 2425 2627 2829 2a2b 2c2d  ...!"#$%&'()*+,-
    0x0070:  2e2f 3031 3233 3435 3637                 ./01234567

ESP同様、新規ソフトウェアを導入することなくAHによる通信を行うことができますので、興味のある方は試してみてください。