原文作者: Mansur 原文链接: http://nbma.info/ipsec-theory/ ipsec vpn,刚学完的时候以为自己掌握的还挺好的,各种排错无压力。去年到电信面试,连基本过程都说不清楚了,就记得是非对称加密协商对称加密的算法和密钥。说了一句跟HTTPS原理差不多……欸。趁着周末闲了赶紧再补补。 重新梳理了以前掌握的不清楚的几个概念,新学习了ikev2的原理和原理,放一起对比下常说的ipsec第一阶段协商的6个包或者总共9个包指的是ikev1的主模式。ikev1(即isakmp)第一阶段: isakmp sa主动模式:使用预共享密钥的远程拨号VPN(即思科私有的EZVPN),第一阶段只有3个包主模式:第一阶段6个包第二阶段: ipsec sa快速模式:3个包 ikev1的ipsec协商总共9个包,在没有nat穿越的情况下,这9个包的源目端口都是UDP 500,使用isakmp封装。9个包之后加密ESP封装。 ikev2第一阶段:ike_sa_init(2个包)第二阶段:ike_auth(2个包) 同样,这4个包的源目端口都是UDP 500,使用isakmp封装。4个包之后加密ESP封装。 SA和SPI:安全关联,分为ike sa和ipsec sa,包含封装方式,验证算法,加密算法,预共享密钥等IKE sa:双向的,一致,默认有效期一天IPSec sa:单向的,......Read More>