IPSEC協商共分為兩個階段,主模式第一階段共6個包,第二階段共3個包。1-4個包是明文傳輸,5-9個包是加密傳輸。
第一階段:
1.第1個包:
(1).加密算法:DES、3DES、AES...
(2).認證方法:pre-share、RSA
(3).認證與完整性算法:MD5、SHA-1
(4).group組:1、2、5、7
(5).IKE SA的存活時間:默認24小時
2.第2個包:是由響應端發起,進行參數比對。
3.第3-4個包:各自通過DH算法形成公鑰和私鑰,公鑰發給對端,私鑰留在本地,在通過對端公鑰和自己公鑰私鑰形成密鑰
4.第5-6個包:進行IKE階段協商的認證,此時第一階段交互完成。
第二階段:
1.第1個包:
(1).在IKE SA協商基礎上形成新的KEY。
(2).封裝方式:AH、ESP
(3).加密方式:DES、3DES、AES...
(4).完整性算法:MD5、SHA-1
(4).IPSEC SA:默認1個小時
(5).兩端保護子網
2.第2個包:包主要是接收端查看本地有沒有一個IPSEC SA策略與發起方的一樣,如果有,並且認證成功,感興趣流協商成功,那么接收端會把協商成功的IPSEC SA策略發給發起端,同時也會把自己的認證Key發給發啟端來進行雙向認證
3.第3個包:包主要是發起端對接收端發來的第二個包進行確認,協商成功進行業務訪問。
轉載自:http://blog.sina.com.cn/s/blog_e6ea327d0102xr7x.html