IKE建设立SA
有SA就可以用ESP和AH了
第一阶段是认证,认识,交换名片
主动模式在CISCO用的少,只有在远程拨号预共享的方式下才用,其它的都是主模式;它的目的是降低客户端CPU的利用率;3个包全部是加密的
第二阶段的建立过程是3个包,
1 发起方给接收方再一次认证,一般不会出错
2 交换安全策略,用可以接受的作回应,
1 感兴趣的数据流
2 加密
3 HASH
4 ESP/AH
5 模式 ESP/AH
6 时间 默认是一个小时.
过程:
感兴趣的数据流à查路由表à进遂道道口à撞上mapà加密(会用加密点[也就是peer]作为一个新的头部)à查路由à转发
转载于:https://blog.51cto.com/sngyqd/624846