IKE介绍

IKE介绍

IKE负责在两个IPSEC对等体间协商一条IPSEC遂道的协议;

 

 

IKE的包交换

 

第一二个包交换双方IP地址,ISAKMP策略,

       策略包括:1 AUTH:pre-share

              2 加密:3des

              3 hash:md5

              4 dhgroup:1,2,5

              5 时间:1天(时间不一样也不通)

       彼此NAT-T的支持的功能,如果此时的PEER不同,肯定失败.

 

 

第三四个包交换公共值和随机数,发送方对源目IP和端口作HASH如果相同,则中间没有NAT设备,如果不相同中间有NAT设备,需要开启NAT-T

 

 

第一个是因式分解;第二个是离散对数

 

 

 

Xi和Xr是IKE第三4个包的交换

 

 

 

 

SKEYID_d=用于计算后续的IPSEC密钥资源;阶段2的实际加密密钥由此衍生出来;如果开启了PFS(完美转发保密,保证两个阶段中的密钥只能使用一次,但它会占用太多的资源)

SKEYID_a=提供IKE消息的数据完整性和认证,数据和此K一块做HASH

SKEYID_e=用于加密IKE消息;加密第一阶段的56个包,和第二阶段快速模式的3个包.

 

第五六个包用预共享密钥实现对等体身份的验证.如果第一阶段的密码不正确,56个包肯定过不了,不断的重传反复交换.

 

转载于:https://blog.51cto.com/sngyqd/624844