VPN配置說明書對IKE協商階段的描述
VPN配置說明書對IKE協商階段的描述,VPN配置說明書分為很多內容,了解下面的IKE協商的階段簡單描述之后就會讓你輕松學會VPN配置說明書的安裝及其相關設置。
IKE協商的階段簡單描述:
IKE協商可以和TCP的三次握手來類比,只不過IKE協商要比TCP的三次握手要復雜一些,IKE協商采用的UDP報文格式,VPN配置說明書默認端口是500,在主模式下,一個正常的IKE協商過程需要經過9個報文的來回,才最終建立起通信雙方所需要的IPSec SA,然后雙方利用該SA就可以對數據流進行加密和解密。下面結合簡單描述一下協商的過程。
VPN配置說明書假設A和B進行:
VPN配置說明書通信,A作為發起方,A發送的第一個報文內容是本地所支持的IKE的策略(即下面所提到的Policy),該policy的內容有加密算法、hash算法、D-H組、認證方式、SA的生存時間等5個元素。這5個元素里面值得注意的是認證方式,目前采用的主要認證方式有預共享和數字證書。
在簡單的VPN配置說明書應用中,一般采用預共享方式來認證身份。在本文的配置中也是以預共享為例來說明的。可以配置多個策略,對端只要有一個與其相同,對端就可以采用該policy,并在第二個報文中將該policy發送回來,表明采用該policy為后續的通信進行保護。
第三和第四個報文是進行D-H交換的D-H公開值,這與具體的配置影響不大。在完成上面四個報文交換后,利用D-H算法,A和B就可以協商出一個公共的秘密,后續的密鑰都是從該秘密衍生出來的。第五和第六個報文是身份驗證過程,前面已經提高后。
有兩種身份驗證方式——預共享和數字證書,在這里,A將其身份信息和一些其他信息發送給B,B接受到后,對A的身份進行驗證,同時B將自己的身份信息也發送給A進行驗證。采用預共享驗證方式的時候,需要配置預共享密鑰,標識身份有兩種方式,其一是IP地址,其二是主機名(hostname)。
在一般的配置中,可以選用IP地址來標識身份。完成前面六個報文交換的過程,就是完成IKE第一階段的協商過程。如果打開調試信息,會看到IKE SA Establish(IKE SA已經建立),也稱作主模式已經完成。
IKE的第二階段是快速模式協商的過程。VPN配置說明書該模式中的三個報文主要是協商IPSec SA,利用第一階段所協商出來的公共的秘密,可以為該三個報文進行加密。在配置中,主要涉及到數據流、變換集合以及對完美前向保護(PFS)的支持。
VPN配置說明書在很多時候,會發現IKE SA已經建立成功,但是IPSec SA無法建立起來,這時最有可能的原因是數據流是否匹配(A所要保護的數據流是否和B所保護的數據流相對應)、變換集合是否一致以及pfs配置是否一致。
