?IKE協(xié)議：包含三個(gè)協(xié)議的主要功能，用來完成之一階段的自動(dòng)協(xié)商加密算法、散列算法和設(shè)備身份認(rèn)證；包含協(xié)商參數(shù)；產(chǎn)生KEY、交換KEY、更新KEY；對(duì)雙方進(jìn)行身份認(rèn)證；對(duì)密鑰進(jìn)行管理；組成協(xié)議如下：
1.ISAKMP；定義了信息交換的體系結(jié)構(gòu)/格式；基于UDP ， 源目端口都是500
2.SKEME；實(shí)現(xiàn)公鑰加密認(rèn)證的機(jī)制
3.Oakley；提供在兩個(gè)IPsec對(duì)等體間達(dá)成相同加密密鑰的基于模式的機(jī)制
?安全聯(lián)盟SA：指的一組對(duì)等體之間用來保護(hù)流量手段的 ***，定義了IPSec通信對(duì)等體間使用的數(shù)據(jù)封裝模式、認(rèn)證和加密算法、密鑰等參數(shù)；SA是單向的，兩個(gè)對(duì)等體之間的雙向通信至少需要兩個(gè)SA，如果兩個(gè)對(duì)等體希望同時(shí)使用AH和ESP安全協(xié)議來進(jìn)行通信，則對(duì)等體針對(duì)每一種安全協(xié)議都需要協(xié)商一對(duì)SA 。SA由一個(gè)三元組來唯一標(biāo)識(shí) ， 包括安全參數(shù)索引SPI、目的IP地址、安全協(xié)議 。
?IKE動(dòng)態(tài)協(xié)商方式：只需要通信對(duì)等體間配置好IKE協(xié)商參數(shù)，由IKE自動(dòng)協(xié)商來創(chuàng)建和維護(hù)SA，動(dòng)態(tài)協(xié)商方式建立安全聯(lián)盟相對(duì)簡(jiǎn)單些；對(duì)于中、大型的動(dòng)態(tài) *** 環(huán)境中 ， 推薦使用IKE協(xié)商建立SA 。
?AH協(xié)議：認(rèn)證報(bào)頭，協(xié)議號(hào)51；用來完成第二階段提供的功能是數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能；AH可以對(duì)整個(gè)數(shù)據(jù)包做認(rèn)證然而AH并不加密所保護(hù)的數(shù)據(jù) 。
?ESP協(xié)議：安全封裝載荷，協(xié)議號(hào)50；用來完成第二階段提供的功能是數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能；能提供AH的所有功能外，還可提供對(duì)數(shù)據(jù)的加密功能 。
IPsec工作過程：
?之一階段：協(xié)商如何保護(hù)流量，協(xié)商加密算法、散列算法，使用哪個(gè)DH組、協(xié)商SA生存周期、協(xié)商設(shè)備認(rèn)證方式；通過DH算法交互密鑰，密鑰供加密算法使用保護(hù)連接，此時(shí)形成一條雙向SA；為了確保兩個(gè)設(shè)備之間避免出現(xiàn)偽裝者 ， 在做IPsec的時(shí)候需要進(jìn)行設(shè)備認(rèn)證 。
-預(yù)共享密鑰（實(shí)驗(yàn)室環(huán)境中使用，不夠安全）
-RSA加密的隨機(jī)數(shù)（使用很少）
-RSA數(shù)字證書/簽名（CA頒發(fā)的證書，使用范圍較廣）
【密鑰更新周期 密鑰更新周期什么意思】之一階段協(xié)商的具體內(nèi)容：
1、 協(xié)商對(duì)等體之間采用何種方式做認(rèn)證；預(yù)共享密鑰/RSA加密的隨機(jī)數(shù)/證書
2、 協(xié)商雙方使用何種加密算法；AES/RSA/ECC
3、 協(xié)商雙方使用何種散列算法；HMAC/MD5/SHA
4、 協(xié)商雙方使用何種DH密鑰組
5、 協(xié)商雙方使用何種模式；主模式/野蠻模式
6、 協(xié)商SA的生存周期
之一階段有兩種工作模式：主模式和野蠻模式；
主模式：在三次交換中總共用到了六條消息，最終建立了SA；

主模式的好處：設(shè)備驗(yàn)證的步驟發(fā)生在安全的管理連接中 ， 因?yàn)檫@個(gè)連接是在前兩個(gè)步驟中構(gòu)建的，因此，兩個(gè)對(duì)等體需要發(fā)送給對(duì)方的任何實(shí)體信息都可以免受攻擊；Site-to-Site VPN默認(rèn)使用主模式 。
野蠻模式（積極模式）：對(duì)于兩端IP地址不是固定的情況（如ADSL撥號(hào)上網(wǎng)） ， 并且雙方都希望采用預(yù)共享密鑰驗(yàn)證 *** 來創(chuàng)建IKE SA ， 就需要采用野蠻模式 。另外如果發(fā)起者已知回應(yīng)者的策略，采用野蠻模式也能夠更快地創(chuàng)建IKE SA 。

注：使用Remote-Access VPN時(shí)就一定要用野蠻模式來協(xié)商，如果用主模式的話，就會(huì)出現(xiàn)根據(jù)源IP地址找不到預(yù)共享密鑰的情況，以至于不能生成SKEY_ID 。
兩種模式的區(qū)別：

推薦閱讀

• 

  安置房能收房產(chǎn)稅嗎
• 

  BIOS清空重置的三種方法
• 

  風(fēng)暴潮根據(jù)風(fēng)暴性質(zhì)分為什么
• 

  六孔低邦帆布鞋個(gè)性鞋帶系法 帆布鞋鞋帶系法低幫6孔
• 

  大循環(huán)和小循環(huán)分別指什么
• 

  江水泱泱先生之風(fēng)山高水長(zhǎng)的意思
• 

  中考完多長(zhǎng)畢業(yè)典禮
• 

  家里適合養(yǎng)些什么寵物？
• 

  百度夜間模式怎么打開
• 

  怎么種植火龍果小苗
• 

  岳陽(yáng)本田二手踏板摩托，岳陽(yáng)那里有二手摩托車買
• 

  2018唐山房?jī)r(jià)多少,2018年唐山房?jī)r(jià)怎么走
• 

  深水龜一直都是在水里嗎
• 

  怎么免費(fèi)申請(qǐng)手機(jī)靚號(hào) 免費(fèi)手機(jī)靚號(hào)出售
• 

  特價(jià)出售用英語(yǔ)
• 

  我來分享12306如何換手機(jī)號(hào)

• 元素周期表第七周期排滿了嗎？
• 如何屏蔽蘋果手機(jī)更新系統(tǒng)？
• 持續(xù)更新中 三江社區(qū)新冠疫苗接種通知
• 持續(xù)更新中 綿陽(yáng)新冠疫苗接種地點(diǎn)匯總
• 持續(xù)更新中 綿陽(yáng)西山社區(qū)衛(wèi)生服務(wù)中心到苗通知
• 元素周期表的族怎么分 元素周期表16個(gè)族分別是什么
• 持續(xù)更新 佛山吸入式新冠疫苗最新消息
• 如何判斷原子半徑大小 元素周期表中如何判斷原子半徑大小
• 和平精英更新不了怎么辦呢？ 和平精英更新不了怎么辦呢蘋果
• ios16.1beta4更新了啥ios16.1beta4更新內(nèi)容功能介紹