ipsec(ike野蛮模式)

最新推荐文章于 2025-04-13 14:00:00 发布

weixin_34297300

最新推荐文章于 2025-04-13 14:00:00 发布

阅读量2.1k

点赞数 2

原文链接：http://blog.51cto.com/1184394769/821219

版权

IPSEC野蛮模式 简介：

IKE 的协商模式

在RFC2409（The Internet Key Exchange ）中规定，IKE 第一阶段的协商可以采用两种模式：主模式（Main Mode ）和野蛮模式（Aggressive Mode ）。

主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身份信息；交换的身份信息受已生成的 Diffie-Hellman共享密钥的保护。但这增加了3 条消息的开销。

野蛮模式则允许同时传送与SA、密钥交换和认证相关的载荷。将这些载荷组合到一条消息中减少了消息的往返次数，但是就无法提供身份保护了。虽然野蛮模式存在一些功能限制，但可以满足某些特定的网络环境需求。例如：远程访问时，如果响应者（服务器端）无法预先知道发起者（终端用户）的地址、或者发起者的地址总在变化，而双方都希望采用预共享密钥验证方法来创建IKE SA，那么，不进行身份保护的野蛮模式就是唯一可行的交换方法；另外，如果发起者已知响应者的策略，或者对响应者

野蛮模式的作用：

对于两端IP地址不是固定的情况（如ADSL拨号上网），并且双方都希望采用预共享密钥验证方法来创建IKE SA，就需要采用野蛮模式。另外如果发起者已知回应者的策略，采用野蛮模式也能够更快地创建IKE SA。

ipsec下两种模式的区别：

1、野蛮模式协商比主模式协商更快。主模式需要交互6个消息，野蛮模式只需要交互3个消息。

2、主模式协商比野蛮模式协商更严谨、更安全。因为主模式在5、6个消息中对ID信息进行了加密。而野蛮模式由于受到交换次数的限制，ID信息在1、2个消息中以明文的方式发送给对端。即主模式对对端身份进行了保护，而野蛮模式则没有。

3、两种模式在确定预共享密钥的方式不同。主模式只能基于IP地址来确定预共享密钥。而积极模式是基于ID信息（主机名和IP地址）来确定预共享密钥。

野蛮模式的必要性：

两边都是主机名的时候，就一定要用野蛮模式来协商，如果用主模式的话，就会出现根据源IP地址找不到预共享密钥的情况，以至于不能生成SKEYID。

1、因为主模式在交换完3、4消息以后，需要使用预共享密钥来计算SKEYID，但是由于双方的ID信息在消息5、6中才会被发送，此时主模式的设备只能使用消息3、4中的源IP地址来找到与其对应的预共享密钥；如果主模式采用主机名方式，主机名信息却包含在消息5、6中，而IPSEC双方又必须在消息5、6之前找到其相应的预共享密钥，所以就造成了矛盾。

2、在野蛮模式中，ID信息（IP地址或者主机名）在消息1、2中就已经发送了，对方可以根据ID信息查找到对应的预共享密钥，从而计算出SKEYID。

案例

例：本实验采用华为三台F100防火墙，和一台s3526交换机，实现ipsec野蛮模式下的***通道的建立。Fw1是总部，实现fw1可以与fw2的内部网络互访，fw1和fw3的内部网络互访。fw2和fw3通过DHCP服务器动态获取地址。

实验图：