ISAKMP报文封装格式及解释

最新推荐文章于 2024-12-05 09:41:24 发布
最新推荐文章于 2024-12-05 09:41:24 发布
阅读量4.9k 收藏 21
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaheguosong/article/details/115474263
版权

ISAKMP报文封装格式及解释


在这里插入图片描述

1.IP报文头

  • 源地址 Src:本端发起IKE协商的IP地址,可能是物理/逻辑接口IP地址,也可能是通过命令配置的IP地址。
  • 目睹IP Dst:对端发起IKE协商的IP地址,由命令配置。

2.UDP报文头

  • IKE协议使用端口号500发起协商、响应协商。在总部和分布都有固定IP地址时,这个端口在协商过程中保持不变。
  • 当总部和分布之间由NAT设备时(NAT穿越场景),IKE协议会有特殊处理。

3.ISAKMP报文头

  • Initiator‘s Cookie(SPI)和Responder’s Cookie(SPI):
    在 IKEv1 版本中为Cookie,在IKEv2版本中Cookie为IKE的SPI,标识唯一IKE SA。

  • Version:
    IKE版本号。IKE诞生以来,有过一次大的改进,老的IKE被称为IKEv1,改进后的IKE被称为IKEv2.

  • Exchange Type:
    IKE定义的交换类型。交换类型定义了 ISAKMP消息遵循的交换顺序,后面IKEv1中的主模式、野蛮模式、快速模式,IKEv2中的初始交换、子SA交换都属于IKE定义的交换类型。

  • Next Playload:
    标识消息中下一个载荷的类型。一个ISAKMP报文可能装载多个载荷,该字段提供载荷之间"链接"能力。若当前载荷时消息中最后一个载荷,则该字段为0.

ISAKMP Payload(Type Payload): 载荷类型,ISAKMP报文携带的用于协商IKE SA 和 IPSec SA 的"参数包"。载荷类型由很多种,不同在和携带的"参数包"不同。

yoyo鹿鳴
关注
网络协议 — IPSec 安全隧道协议族
烟云的计算
05-25 4194
安全封装协议(Encapsulating Security Payload,ESP)也是一种封装协议,与 AH 不同的是,ESP 会将 IP 数据包中的 Payload 进行加密后再封装到 IP 数据包,以保证数据的机密性,但 ESP 没有专门对 IP Header 的内容进行保护。在对身份保护要求较高的场合,则应该使用主模式。值得注意的是,IKE 不是简单的在网络上传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
IPsec 9个包分析(主模式+快速模式)
遇见你是我最美丽的意外
03-06 2万+
第一阶段:ISAKMP协商阶段 1.1 第一包 包1:发起端协商SA,使用的是UDP协议,端口号是500,上层协议是ISAKMP,该协议提供的是一个框架,里面的负载Next payload类似模块,可以自由使用。可以看到发起端提供了自己的cookie值,以及SA的加密套件,加密套件主要是加密算法,哈希算法,认证算法,生存时间等。 Initiator cookie:817622ea0136...
IPsec ISAKMP协议
bytxl的专栏
06-30 2万+
IPsec ISAKMP:Internet 安全连接和密钥管理协议 (ISAKMP:Internet Security Association and Key Management Protocol)   Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构中的一种主要协议,它结合加密安全的概念,密钥管理和安全连接来建立政府,商家和因特网上的私有通信所需要的安全。
IPSec中 ISAKMP & ESP 报文解密方法
a_A_A_a___的博客
08-02 3432
(1) IPSec对等体连接完毕后在服务器输入 sudo ip xfrm state 可以看到源地址到目的地址的SPI值,加密/认证算法、加密/认证密钥等。(2) Wireshark点击ESP报文协议首选项 -》选择ESP字段-》点击ESP SAs -》 添加两条IPv4协议的解密规则,输入两个方向的SPI值,选择加密/认证算法,加密/认证密钥,点击OK即可。
ISAKMP包数据属性格式
weixin_34380296的博客
10-18 1153
作用: 数据属性的格式提供了表示许多种不同类型信息的灵活性。可能在一个载荷中由多个数据属性。数据属性的长度将是4个八位字节,或由属性长度字段来定义。 包格式:   (1)属性类型(2个八位字节)――每一种属性类型的唯一标识符。最高有效位,或属性格式(AF),表示在类型/长度/值(TLV)格式后的数据属性是否位短类型/值(TV)格式。如果AF位为0,数据格式将是类型/长度/值(TLV)格式。...
VGMP报文封装格式简介
永远是少年
07-30 1846
今天继续给大家介绍HCIE安全系列相关内容。本文主要介绍VGMP报文封装格式。 阅读本文,您需要对VGMP协议有一定的了解,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获! 推荐阅读: VGMP协议详解 一、VGMP报文类型 VGMP是华为为实现防火墙双机热备从而开发的私有协议,其报文是从VRRP报文的基础上进行的扩展和修改,以便承载VGMP报文。 在默认情况下,VRRP报文头中的Type为1,但是当VRRP报文头中的Type为2时,表示VRRP报文承载了VGMP报文。此时,VRR
Interne 安全连接和密钥管理协议(ISAKMP)--网络大典
Javvin的专栏
04-15 2085
        Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构中的一种主要协议。该协议结合认证、密钥管理和安全连接等概念来建立政府、商家和因特网上的私有通信所需要的安全。  因特网安全联盟和密钥管理协议(ISAKMP)定义了程序和信息包格式来建立,协商,修改和删除安全连接(SA)。 SA 包括了各种网络安全服务执行所需的所有信息,这些安全服务包括 IP 层服务(如头
IPSec 的两种工作模式及其报文封装格式
热门推荐
机智的埃努
02-27 4万+
隧道(tunnel)模式:隧道模式保护所有 IP 数据并封装新的 IP 头部,不使用原始 IP 头部进行路由。在 IPSec 头部前加入新的 IP 头部,源目为 IPSec peer 地址。并允许 RFC 1918(私有地址)规定的地址参与 VPN 穿越互联网。AH Tunnel modeESP Tunnel mode传输(transport)模式:传输模式保护原始 IP 头部后面的数据,在原始 ...
商业虚拟专用网络技术五IPSec
weixin_42227328的博客
03-24 9726
IPSec虚拟专用网:就是利用开放的公众IP/MPLS网络建立专用数据传输通道,将远程的分支机构、移动办公人员等连接起来。这个专用数据传输通道称为IPSec隧道,位于OSI模型的第三层,传送IP包。 IPSec实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能。IPSec是运行在IP网络层,其上层TCP、UDP以及依赖于这些协议的应用协议都受到隧道的保护。
计算机网络-IPSec VPN基本概念
Linux基础知识、计算机网络基础学习分享。
12-05 1385
与AH不同的是,ESP将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性,但ESP没有对IP头的内容进行保护,除非IP头被封装在ESP内部(采用隧道模式)。AH对数据包和认证密钥进行Hash计算,接收方收到带有计算结果的数据包后,执行同样的Hash计算并与原计算结果比较,传输过程中对数据的任何更改将使计算结果无效,这样就提供了数据来源认证和数据完整性校验。在隧道模式下,AH头或ESP头被插到原始IP头之前,另外生成一个新的报文头放到AH头或ESP头之前,保护IP头和负载。
NAT-T:IPsec穿越NAT之道
u014023993的专栏
01-24 2万+
目录 1. IPsec与NAT矛盾 2.  身份确认 3.  NAT-T 3.1 NAT-T流程 3.2 报文格式 4.  地址复用 4.1. 隧道模式下的冲突 4.2. 传输模式下的冲突  4.3. 同一个NAT下的冲突 Q And A 参考资料 1. IPsec与NAT矛盾 在文章《IPsec》及《NAT》中介绍了IPsec及NAT的基本知识。我们知道IPsec的协议...
IPsec体系结构及ISAKMP协议实现流程
01-10
IPsec体系结构;ISAKMP协议框架的实现;IKE协议的实现
TCP-IP协议报文格式大全(V1.0)
03-29
TCP-IP协议报文格式大全(V1.0),学习CISCO、HUAWEI网络技术必备资料。
ISAKMP报文解密
mengshi12的专栏
08-26 4729
使用wireshark抓包
ISAKMP主模式分析二
weixin_33672400的博客
10-18 732
1.作用 (1)通过协商DH产生第一阶段的密码。 2 第三个包格式 从上图可看出模式主模式,载荷类型是密钥交换和厂商载荷。 说明: DH是一种非对称密钥算法,基于一个知名的单项函数,A=Ga mode p 这个函数的特点是在G 和p 很多的情况下已知a求A很容易,反之基本不可能。关于这个算法详情可以参考网络上的相关文章。 IPSEC就是通过这种方式,协商密钥的。有了这个秘密就可...
ISAKMP包头部结构
weixin_33726943的博客
10-17 711
1.ISAKMP 由RFC2408定义,包括协商,建立,修改和删除SA的过程和包结构。 2.封装 使用UDP或者TCP,端口号500,一般使用UDP 3.包结构 (1)发起方cookie 长度64位,确认对方是否是真的来自对方。 (2)应答方 cookie 同上 (3)下一个载荷 表示ISAKMP后的第一个载荷什么什么类型。目前定义了13中类型。 ISAKMP...
IPsec ISAKMP-术语简介
weixin_34221073的博客
03-27 390
IPsec ISAKMP:Internet 安全连接和密钥管理协议 (ISAKMP:Internet Security Association and Key Management Protocol)   Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构中的一种主要协议。该协议结合认证、密钥管理和安全连接等概念来建立政府、商家和因特网上的私有...
ISAKMP - 解释域(DOI)和初始向量(IV)
JwLee的专栏
10-25 5029
Domain of Interpretation – 解释域 DOI定义了负载的格式、交换的类型,以及对安全相关信息的命名约定,比如对安全策略或者加密算法和模式的命名。DOI标识用来说明payload通过哪一个DOI来解释。常用的DOI有两个,0和1。0表示ISAKMP DOI,1标识IPSec DOI。如果一个负载,不如Notification payload的DOI为0,那么说明这是一个IS
思科IPsec穿越NAT
最新发布
12-25
Cisco IPsec(Internet Protocol Security)穿越NAT(NAT Traversal,也称为NAT-T)是指在互联网上部署IPsec安全连接时,确保数据包可以从内部网络(可能受NAT设备保护)穿透到外部网络的过程。NAT设备通常会对进出的数据包进行源地址转换,这可能会阻止IPsec封装报文的正常传输。 配置步骤如下: 1. **启用IPsec NAT traversal**:在支持NAT-T的Cisco设备上启用这个功能,比如在ASA防火墙上,可以在全局模式下设置`nat-traversal`命令。 ```sh crypto ipsec proposal my-natt Proposal crypto nat translation tcp-encapsulation esp my-natt ``` 2. **定义IPsec安全关联**:配置IKE(Internet Key Exchange)第一阶段和第二阶段,以及具体的IPsec SA(Security Association),以确定如何穿越NAT。 ```sh crypto isakmp policy 10 crypto isakmp profile <profile-name> authentication pre-share encryption aes integrity sha lifetime 86400 seconds crypto map <map-name> isakmp match identity <peer-ip-or-hostname> set security-policy <policy-number> nat-traversal ``` 3. **配置内部客户端**:客户端也需要知道NAT的存在并发送ESP封装的数据。例如,使用`crypto ipsec sa add`命令配置客户端访问点。 4. **测试连接**:确保内部设备能成功地发起加密通信并穿透NAT设备。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值