IKE介绍
IKE负责在两个IPSEC对等体间协商一条IPSEC遂道的协议;
IKE的包交换
第一二个包交换双方IP地址,ISAKMP策略,
策略包括:1 AUTH:pre-share
2 加密:3des
3 hash:md5
4 dhgroup:1,2,5
5 时间:1天(时间不一样也不通)
彼此NAT-T的支持的功能,如果此时的PEER不同,肯定失败.
第三四个包交换公共值和随机数,发送方对源目IP和端口作HASH如果相同,则中间没有NAT设备,如果不相同中间有NAT设备,需要开启NAT-T
第一个是因式分解;第二个是离散对数
Xi和Xr是IKE第三4个包的交换
SKEYID_d=用于计算后续的IPSEC密钥资源;阶段2的实际加密密钥由此衍生出来;如果开启了PFS(完美转发保密,保证两个阶段中的密钥只能使用一次,但它会占用太多的资源)
SKEYID_a=提供IKE消息的数据完整性和认证,数据和此K一块做HASH
SKEYID_e=用于加密IKE消息;加密第一阶段的56个包,和第二阶段快速模式的3个包.
第五六个包用预共享密钥实现对等体身份的验证.如果第一阶段的密码不正确,56个包肯定过不了,不断的重传反复交换.
转载于:https://blog.51cto.com/sngyqd/624844