两个远程站点要运行ipsec vpn要经历两个阶段要弄清楚这两个阶段都干什么先来看ipsec vpn的三个功能和协议,现在小编就来说说关于Ipsecvpn的两个阶段?下面内容希望能帮助到你,我们来一起看看吧!
Ipsecvpn的两个阶段
两个远程站点要运行ipsec vpn要经历两个阶段。要弄清楚这两个阶段都干什么。先来看ipsec vpn的三个功能和协议。
1.AH authentication header,认证头。对数据完整性和数据源进行认证
2.ESP encapsulation security header,封装载荷。对数据包进行加密以及认证
3.IKE internet key exchange, 密钥交互协议。用于生成在AH和ESP中使用的密钥。
Ipsec 数据包的封装只涉及到AH或者ESP。所以严格说AH和ESP属于ipsec 协议。IKE是另外一个单独的协议,有一个专门的RFC文档,RFC 7296。
弄清楚了这几个协议的关系,下面说两个阶段。
先说第二阶段:
Ipsec 数据包是通过AH或者ESP封装的,那么就要协商AH和ESP的相关参数。建立一个ipsec 的SA(security associatio)。那么有个问题就是这个协商过程是明文的还是加密的,肯定是加密的。如果这个过程是明文的话,那么被别人窃听到,后面对于数据包进行ESP的加密就没有意义了。可是用什么加密呢?这时候就需要IKE密钥交互协议先商量出一个密钥,来建立ipsec 通信的SA。
第一阶段:
用IKE密钥交互协议先协商出一个密钥。后面的通信过程都用这个密钥加密。这个密钥也会保护AH或者ESP参数的交互过程。同时在第一阶段两个站点也会进行初始化的认证,让对面站点知道是谁要和他建立ipsec vpn。一般都是通过设置预共享密钥的方式,即两边的设备共同设置同一个密码。
总结一下,第一阶段是通过密钥交互协议生成一个对称密钥,为第二阶段的交互过程建立一个安全隧道。第二过程是为ipsec通信协商AH、ESP的加密认证参数,为数据包的通信建立安全隧道
,
