1 ,2 包 交換IP地址 和 IKE階段的策略
(發送方會把所有的策略都發送給接收方,接收方首先看發送方地址在不在自己的peer中
在拿自己的第壹個策略依次對比發送方發來的
所有策略,如果沒有匹配的,在拿第二個策略去匹配發送方發來的所有策略
直到發現匹配的為止,如果沒有匹配的,那麽IKE也就不會繼續下去
設置合理的策略順序可以節約壹些協商時間)
A set peer name 1.1.1.1
B set peer nmae 2.2.2.2
A給B發送第壹個包 , 如果B的peer沒有A的IP 地址, 就不會在繼續下去
策略是 以下五個方面
1 :authentication 方式
pre-share
數字簽名
2 : hash 方式
3 :encryption 第五到第九的包 ,的方法 (只加密IKE的信息,不加密實際的數據)
4 : dh group 組號: 用於安全的交換密鑰 ,和生成隨機密鑰用於加密數據 (通 過這個方法不用傳送密鑰,只需要傳送能計算出密鑰的材料,對方計算出密鑰在和自己的密鑰做對比,相同則認證通過) 組號是定義已知數值的長度和數值,越大就越難求出公***密鑰,就越安全
1 768
2 1024
5 :key life (hash 是做HMAC的,需要壹個密鑰,密鑰有個生存時間保證安全)
默認是壹天
三,四個包 :
用於DH交換 , 交換DH 公***值(A,B) ,和隨機數, 用於密鑰的協商 明文交換
會協商出3個密鑰 :
skeyid_a : 用於提供IKE消息的數據完整性和認證(用於HMAC)(auth.key)
skeyid_d : 用於計算後續的IPSEC 密鑰資源
(用於對實際的數據加密,如果啟用PFS ,這個key就沒用了)
skeyid_e : 用於加密IKE消息 (加密IKE 第五到九個包)
五六個包 : 認證
在加密的環境下認證
通過把壹些雙方都相同的材料包括pre-share-key在壹起hash (HMAC)
並把hash值加密後發送給對方
如果總是重傳,可能是密鑰配錯了
主動模式 : 主動模式 : 3個包完成第壹階段 , 應用於預***享密鑰 遠程撥號VPN
壹 : 策略 , DH 公***值 , 個人信息(相同材料的hash值)明文發送給接收方
二 : 接收方返回接收的策略和自己的DH公***值和自己的個人信息
三 : 確認壹下
第二階段 : 協商對具體流量加密的策略 就是 協商 IPSEC SA
第二階段的協商是基於流量觸發的
壹包:發送對實際流量處理的策略 (可以發送多個策略)
二包:接收方接受某個策略 (把接受的策略返回給發送方)
三包: 確認,表示隧道建立
策略有以下五種:
1 :ACL : (如果ACL並不是完全相反的,但是是合理的,那會不會不通)
2 :方式 : des /3des /aes
3 :hash :md5/ sha-1
封裝 : esp / AH ( 和第壹階段不壹樣的地方)
4 :key life :默認壹小時
5 :mode : 隧道,傳輸 (也不同與第壹階段) , (第壹階段有AH組號和認證方式)
註(如果啟用PFS ,應該還可以配置壹個DH group號,