對於兩端IP地址不是固定的情況(如ADSL撥號上網),並且雙方都希望采用預共享密鑰驗證方法來創建IKE SA,就需要采用野蠻模式。另外啊如果發起者已知回應者的策略,采用野蠻模式也能夠更快地創建IKE SA。
ipsec下兩種模式的區別:
1、野蠻模式協商比主模式協商更快。主模式需要交互6個消息,野蠻模式只需要交互3個消息。
2、主模式協商比野蠻模式協商更嚴謹、更安全。因為主模式在5、6個消息中對ID信息進行了加密。而野蠻模式受到交換次數的限制,ID信息在1、2個消息中以明文的方式發送給對端。即主模式對對端身份進行了保護,而野蠻模式則沒有。
3、兩種模式在確定預共享的方式不同。主模式只能基於IP地址來確定預共享密鑰。而積極模式是基於ID信息(主機名和IP地址)來確定預共享密鑰。
野蠻模式的必要性:
兩邊都是主機名的時候,就一定要用野蠻模式來協商,如果用主模式的話,就會出現根據源IP地址找不到預共享密鑰的情況,以至於不能生成SKEYID。
1、因為主模式在交換完3、4消息以后,需要使用預共享密鑰來計算SKEYID,但是由於雙方ID信息在消息5、6中才會被發送,此時主模式的設備只能使用消息3、4中的源IP地址來找到與其對應的預共享密鑰;如果主模式采用主機名方式,主機名信息卻包含在消息5、6中,而IPOSEC雙方必須在iaoxi5、6之前找到其相應的預共享密鑰,所以就造成了矛盾。
2、在野蠻模式中,ID信息(IP地址或者主機名)在消息1、2中就已經發送了,對方可以根據ID信息查找到對應的預共享密鑰,從而計算出SKEYID。
1、野蠻模式協商比主模式協商更快。主模式需要交互6個消息,野蠻模式只需要交互3個消息。
2、主模式協商比野蠻模式協商更嚴謹、更安全。因為主模式在5、6個消息中對ID信息進行了加密。而野蠻模式由於受到交換次數的限制,ID信息在1、2個消息中以明文的方式發送給對端。即主模式對對端身份進行了保護,而野蠻模式則沒有。
3、兩種模式在確定預共享密鑰的方式不同。主模式只能基於IP地址來確定預共享密鑰。而積極模式是基於ID信息(主機名和IP地址)來確定預共享密鑰。
4,主模式與野蠻模式的選用主要要看,建立通道的地址是否靜態,動態則選用野蠻模式。
IKE野蠻模式和主模式的理論上的區別在與進行IKE 協商的時候,所采用的協商方式不同,具體在於,IKE主模式在IKE協商的時候要經過三個階段:SA交換、密鑰交換、ID交換和驗證。IKE的野蠻模式只有兩個階段:SA交換和密鑰生成、ID交換和驗證。
在實際應用中,一般情況下,IKE的主模式適用於兩設備的公網IP固定、且要實現設備之間點對點的環境。對於例如ADSL撥號用戶,其獲得的公網IP不是固定的,且可能存在NAT設備的情況下,采用野蠻模式作NAT穿越,同時,由於IP不是固定的,用name作為id-type,總部采用模板的方式接收分支的IPSEC 接入。