Linuxには、IPパケットのペイロードを変換するためのXFRMという、IPsecでも使用されているフレームワークがあります。
今回、XFRMに触れる機会があり、ググっても参考になるものが少なく、試行錯誤してしまったため、備忘録として残しておきます。

環境

• PC1
  IPアドレス 192.168.1.152
• PC2
  IPアドレス 192.168.1.153
• PC1、PC2共通
  ディストリビューション Ubuntu 12.04.2 LTS
  カーネルバージョン 3.5.0-27-generic

XFRMを操作するコマンドは、iprouteパッケージのipコマンドです。詳しい使い方については、以下のURLを参照してください。

• 参考URL
  http://stuff.onse.fi/man?program=ip-xfrm&section=8

上記のmanによると、StateオブジェクトはSecurity Association Databaseを操作するため、Policyオブジェクトは、Security Policy Databaseを操作するために使用されるようです。

設定には、トラフィックを識別するセレクタ(Policy)とセレクタに従って処理を行うStateをそれぞれ設定する必要があります。また、トラフィック1方向につき1つ設定が必要なので、双方向通信の場合には、outとinの2つ設定する必要があります。

PC1とPC2間のトラフィックについてESPを設定するには、PC1、PC2それぞれで以下のようにコマンドを実行してください。
※Root権限が必要なため、一般ユーザで実行する場合には、各行の先頭にsudoをつける必要があります。
※SPIの設定は、PC1の送信側とPC2の受信側の設定、PC2の送信側とPC1の受信側の設定で合わせる必要があります。

PC1

ip xfrm policy add dir out src 192.168.1.152 dst 192.168.1.153 tmpl proto esp
ip xfrm state add src 192.168.1.152 dst 192.168.1.153 proto esp spi 1 enc aes 0x000102030405060708090a0b0c0d0e0f
ip xfrm policy add dir in src 192.168.1.153 dst 192.168.1.152 tmpl proto esp
ip xfrm state add src 192.168.1.153 dst 192.168.1.152 proto esp spi 2 enc aes 0x000102030405060708090a0b0c0d0e0f

PC2

ip xfrm policy add dir out src 192.168.1.153 dst 192.168.1.152 tmpl proto esp
ip xfrm state add src 192.168.1.153 dst 192.168.1.152 proto esp spi 2 enc aes 0x000102030405060708090a0b0c0d0e0f
ip xfrm policy add dir in src 192.168.1.152 dst 192.168.1.153 tmpl proto esp
ip xfrm state add src 192.168.1.152 dst 192.168.1.153 proto esp spi 1 enc aes 0x000102030405060708090a0b0c0d0e0f

上記設定後、PC1からPC2へのpingのパケットをtcpdumpによりキャプチャしてみると、パケットがXFRMによってESPフォーマットへ変換されていることが分かります。

13:49:39.274332 IP 192.168.1.152 > 192.168.1.153: ESP(spi=0x00000001,seq=0xe), length 104
    0x0000:  0800 27f3 d1b3 0800 2759 fca4 0800 4500  ..'.....'Y....E.
    0x0010:  007c 0000 4000 4032 b5ce c0a8 0198 c0a8  .|..@.@2........
    0x0020:  0199 0000 0001 0000 000e e7d7 4a71 4abb  ............JqJ.
    0x0030:  9ae2 75b1 5cac f56f 45ff f4aa 229f 9a44  ..u.\..oE..."..D
    0x0040:  327b f639 213a 1f72 dba8 ab3a 4531 a041  2{.9!:.r...:E1.A
    0x0050:  312d 97f8 dd47 a07d f433 736d d749 a40c  1-...G.}.3sm.I..
    0x0060:  9e55 8a0b df6a 642a 56bb 6eec a934 3076  .U...jd*V.n..40v
    0x0070:  8410 dc67 5e89 3d5c 469f 35a3 60e7 3224  ...g^.=\F.5.`.2$
    0x0080:  95a6 811e 35fb 6e2a 845e                 ....5.n*.^
13:49:39.275778 IP 192.168.1.153 > 192.168.1.152: ESP(spi=0x00000002,seq=0xe), length 104
    0x0000:  0800 2759 fca4 0800 27f3 d1b3 0800 4500  ..'Y....'.....E.
    0x0010:  007c b7f5 0000 4032 3dd9 c0a8 0199 c0a8  .|....@2=.......
    0x0020:  0198 0000 0002 0000 000e de59 8bed dd56  ...........Y...V
    0x0030:  5d96 b5e1 a4bf c022 d686 b358 4268 7954  ]......"...XBhyT
    0x0040:  d215 5d5f deb2 91f5 99a9 2d8e 1ea7 2415  ..]_......-...$.
    0x0050:  1eec ca19 de37 7270 c190 ad19 74a7 832d  .....7rp....t..-
    0x0060:  68f9 f848 a6f0 95cc f42e 2053 a854 e7da  h..H.......S.T..
    0x0070:  52e7 590f b257 1ee2 b48c 5463 3587 5220  R.Y..W....Tc5.R.
    0x0080:  34e5 e2d8 666d dfaf 1436                 4...fm...6

特に新規ソフトウェアを導入することなくESPによる通信を行うことができますので、興味のある方は試してみてください。