1、一个***网关对等体(或远程访问客户)发起了到另外一个远端的***网关对等体的会话。

2、ISAKMP/IKE阶段1开始,两个对等体协商如何保护管理连接。

3、Diffie-Hellman用于在管理连接上对于加密算法和HMAC功能安全地共享密钥。

4、在安全的管理连接上执行设备验证。

----------对于cisco远程访问IPSec ×××-----------

      (1)可选性的,可以执行用户验证。使用IPSec,这是通过xauth标准实现的。使用xauth,

           ***网关要求用户输入用户名和口令;

      (2)***网关把策略信息推到客户方:一个内部的IP地址、一个域名、dns和wins服务器的

           地址、分离隧道的策略、防火墙的策略和其他的连接策略;

      (3)可选性的,可以发生反向路由注入(RRI):客户通过IPSec的管理连接向***网关注入

           路由选择信息;

5、ISAKMP/IKE阶段1结束。而阶段2开始:对等体(或远程访问客户和***网关)协商参数和

      密钥信息来保护数据连接(通过安全的管理连接来实现,或者可选性的再次使用

      Diffie-Hellman(对于L2L))。

6、建立数据连接,阶段2结束:***网关现在可以通过数据连接保护用户的流量了。

7、最终,管理和数据连接的生存周期将会到期,并重新构建。