IKE Phase 1 --- The ××× devices negotiate an IKE security policy and establish a secure channel
对认证双方PEER和为了加密一部分Main mode 和所有quick mode交换包,而协商一些参数.但是aggressive mode的包都没有加密.
1. 认证双方PEER
2. 产生KEY材料,这个用于产生为了实际加密数据,而用到的KEY
3. 在协商过程中: IKE使用用户数据报协议(UDP)端口500(通常用于源和目的双方)进行通信
所有的主模式和主动模式协商的信息都存在IKE或ISAKMP安全关联(SA)里.每两个PEER之间有一个安全关联.
Main mode (6 Messages) : Site-to-Site
aggressive mode (3 Messages) : Remote ××× 基于 Pre-share Key
IKE Phase 2 --- The ××× devices negotiate an IPSec security policy used to protect IPSec data
--- IPSec SAs/SPIs
--- Quick mode
在快速模式中,双方PEER协商IPSEC安全关联的属性值.用于加密(例如:ESP)两个主机之间的通信数据.如果启用PFS,将重新进行一次DH交换,在产生IPSEC数据加密KEY之前,交换新的KEY材料.
转载于:https://blog.51cto.com/418482123/1013579