IKE介紹

IKE負(fù)責(zé)在兩個(gè)IPSEC對(duì)等體間協(xié)商一條IPSEC遂道的協(xié)議;

?

?

IKE的包交換

?

第一二個(gè)包交換雙方IP地址,ISAKMP策略,

?????? 策略包括:1 AUTH:pre-share

????????????? 2 加密:3des

????????????? 3 hash:md5

????????????? 4 dhgroup:1,2,5

????????????? 5 時(shí)間:1天(時(shí)間不一樣也不通)

?????? 彼此NAT-T的支持的功能,如果此時(shí)的PEER不同,肯定失敗.

?

?

第三四個(gè)包交換公共值和隨機(jī)數(shù),發(fā)送方對(duì)源目IP和端口作HASH如果相同,則中間沒有NAT設(shè)備,如果不相同中間有NAT設(shè)備,需要開啟NAT-T

?

?

第一個(gè)是因式分解;第二個(gè)是離散對(duì)數(shù)

?

?

?

Xi和Xr是IKE第三4個(gè)包的交換

?

?

?

?

SKEYID_d=用于計(jì)算后續(xù)的IPSEC密鑰資源;階段2的實(shí)際加密密鑰由此衍生出來;如果開啟了PFS(完美轉(zhuǎn)發(fā)保密,保證兩個(gè)階段中的密鑰只能使用一次,但它會(huì)占用太多的資源)

SKEYID_a=提供IKE消息的數(shù)據(jù)完整性和認(rèn)證,數(shù)據(jù)和此K一塊做HASH

SKEYID_e=用于加密IKE消息;加密第一階段的56個(gè)包,和第二階段快速模式的3個(gè)包.

?

第五六個(gè)包用預(yù)共享密鑰實(shí)現(xiàn)對(duì)等體身份的驗(yàn)證.如果第一階段的密碼不正確,56個(gè)包肯定過不了,不斷的重傳反復(fù)交換.

?

轉(zhuǎn)載于:https://blog.51cto.com/sngyqd/624844

總結(jié)

以上是生活随笔為你收集整理的IKE介绍的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。