1、野蠻模式協(xié)商比主模式協(xié)商更快 。主模式需要交互6個消息 ， 野蠻模式只需要交互3個消息 。
2、主模式協(xié)商比野蠻模式協(xié)商更嚴(yán)謹(jǐn)、更安全 。主模式在5、6個消息中對ID信息進(jìn)行了加密 。野蠻模式由于受到交換次數(shù)的限制，ID信息在1、2個消息中以明文的方式發(fā)送給對端 。即主模式對對端身份進(jìn)行了保護(hù)，而野蠻模式則沒有 。
3、對NAT/PAT的支持：
①對預(yù)共享密鑰認(rèn)證：主模式不支持NAT轉(zhuǎn)換，而野蠻模式支持 。
②對于證書方式認(rèn)證：兩種模式都能支持 。
4、 兩種模式在確定預(yù)共享密鑰的方式不同；主模式只能基于IP地址來確定預(yù)共享密鑰；而野蠻'模式是基于ID信息（主機(jī)名和IP地址）來確定預(yù)共享密鑰 。
注：在按需鏈路中，可以啟用IKE Keepalive特性，路由器會周期性10秒/次發(fā)送IKE Keepalive報文 ， 用于檢測路徑的實時連通性；在單向啟用即可 。
?第二階段：協(xié)商使用哪一款安全協(xié)議加密數(shù)據(jù)（ESP或AH）、保護(hù)流量；使用ESP/AH的時候，選擇哪一種加密算法和散列算法、協(xié)商是否需要再次進(jìn)行DH算法生成新的密鑰（PFS）、SA周期和IPSec封裝模式；協(xié)商完畢形成兩條單向SA 。
第二階段協(xié)商的具體內(nèi)容：
1、協(xié)商雙方使用何種封裝模式；隧道模式/傳輸模式
2、協(xié)商雙方使用何種加密算法；AES/RSA/ECC
3、協(xié)商雙方使用何種散列算法；HMAC/MD5/SHA
4、協(xié)商雙方使用何種DH密鑰組
5、協(xié)商雙方使用的密鑰更新周期
第二階段只有一種工作模式：快速模式；它定義了受保護(hù)數(shù)據(jù)連接是如何在兩個IPsec對等體之間構(gòu)成的；快速模式有兩個主要的功能：
1.協(xié)商安全參數(shù)來保護(hù)數(shù)據(jù)連接 。
2.周期性的對數(shù)據(jù)連接更新密鑰信息.
快速模式需要交換3個報文，這些消息都是使用IKE進(jìn)行保護(hù)，這意味著將使用IKE phase1中導(dǎo)出來的SKEYIDe和SKEYIDa對所有分組進(jìn)行加密和驗證 。

注：針對Remote-Access VPN；思科還使用了一個1.5階段，包含擴(kuò)展認(rèn)證Xauth和Mode config兩種模式 。
在這個階段，如果啟用了DPD特性，路由器會周期性發(fā)送DPD報文，用于檢測路徑的實時連通性；需要在雙向啟用 。
IPSec封裝模式：傳輸模式，適用于同一個園區(qū)網(wǎng)內(nèi)的兩臺主機(jī)之間的安全連接

1、在IP報頭和上層協(xié)議之間插入AH或ESP報頭；對上層協(xié)議數(shù)據(jù)提供保護(hù) 。
--在IP頭部之后插入AH頭，會對整個IP數(shù)據(jù)包進(jìn)行完整性校驗 。
--在IP頭部之后插入ESP頭，在數(shù)據(jù)字段后插入尾部以及認(rèn)證字段；只對IP數(shù)據(jù)包中的ESP報頭，上層數(shù)據(jù)和ESP尾部進(jìn)行完整性校驗 。
2、傳輸模式中的AH+ESP：在IP頭部之后插入AH和ESP頭，在數(shù)據(jù)字段后插入尾部以及認(rèn)證字段（可選的）；對高層數(shù)據(jù)和ESP尾部進(jìn)行加密，對整個IP數(shù)據(jù)包進(jìn)行完整性校驗 。
3、在GRE over IPSec環(huán)境中必須使用傳輸模式 ， 數(shù)據(jù)封裝格式為：
Ethernet2|IPV4（新）|ESP|GRE|IPv4|TCP|HTTP|FCS
IPSec封裝模式：隧道模式，適用于跨園區(qū)網(wǎng)的兩臺邊界路由器間建立安全連接

1、AH或ESP頭封裝在原始IP報文頭之前，并另外生成一個新的IP報頭封裝到AH或ESP之前；隧道模式可以完全地對原始IP數(shù)據(jù)報進(jìn)行認(rèn)證和加密，而且可以使用新的IP報頭來隱藏內(nèi)網(wǎng)主機(jī)的私有IP地址 。
--在IP頭部之后插入AH頭，會對整個IP數(shù)據(jù)包進(jìn)行完整性校驗 。

推薦閱讀

• 

  什么是標(biāo)準(zhǔn)電動自行車？綿陽市民需要辦駕駛證嗎？
• 

  ios快捷指令安全性設(shè)置不允許
• 

  小紅書怎么隱藏自己的點(diǎn)贊和收藏 小紅書如何隱藏自己的點(diǎn)贊和收藏
• 

  2月3日越秀區(qū)建設(shè)街社區(qū)醫(yī)院四價hpv疫苗預(yù)約登記公告
• 

  五一推高豬價、肉價 北京儲備肉即將上市
• 

  etc車道是什么意思
• 

  貴陽城鄉(xiāng)居民養(yǎng)老保險參保材料
• 

  類似chatgptai聊天的軟件
• 

  附入口 2022年孫燕姿線上唱聊會在哪看
• 

  用駕駛證可以辦銀行卡嗎
• 

  怎樣保存蜂蜜時間長
• 

  花ge還是花蛤怎么做
• 

  tssd是啥，1tssd是固態(tài)
• 

  蝦青素精華液使用順序
• 

  2014高考作文題，2014高考語文作文題人只有在自己站起來之后這個世界才能
• 

  西安到成都高鐵是什么時候開通的，西安到成都的動車什么時候開通

• 元素周期表第七周期排滿了嗎？
• 如何屏蔽蘋果手機(jī)更新系統(tǒng)？
• 持續(xù)更新中 三江社區(qū)新冠疫苗接種通知
• 持續(xù)更新中 綿陽新冠疫苗接種地點(diǎn)匯總
• 持續(xù)更新中 綿陽西山社區(qū)衛(wèi)生服務(wù)中心到苗通知
• 元素周期表的族怎么分 元素周期表16個族分別是什么
• 持續(xù)更新 佛山吸入式新冠疫苗最新消息
• 如何判斷原子半徑大小 元素周期表中如何判斷原子半徑大小
• 和平精英更新不了怎么辦呢？ 和平精英更新不了怎么辦呢蘋果
• ios16.1beta4更新了啥ios16.1beta4更新內(nèi)容功能介紹