此技术是目前较为广泛的一种,介绍建立过程和配置方法 建立连接的三个步骤 1.流量触发IPSec 一旦有VPN流量经过就出发VPN网关,随之建立连接 2.建立管理连接 IPSec基于安全的管理连接协商建立安全的数据连接,而ISAKMP/KE阶段2就是用来完成这个 任务的,数据连接用于传输真正的用户数据,在配置设备实现此步骤前,网络工程师需要明确使用 何种安全协议,针对具体的安全协议应使用加密或验证算法,以及数据的传输模式(隧道模式或传 输模式)等问题。经过PSec建立的三部曲后, VPN流量便可以按照协商的结果被加密/解密了. 但是VPN连接并不是一次性的,无论是管理连接还是数据连接都有一个生存周期与之关联,一旦到 期连接便会被中止。如果需要继续传输VPN数据,连接需要重新被构建,这种设计主要是出于安全性的考虑 1.ISAKMP/IKE阶段1 ISAKMP描述了密钥管理的框架,它定义了消息的格式和密钥交换协议 的机制,以及构建连接的协商过程; 而IKE是一个混合型协议,它定义了密钥的产生、共享和管理IKE使用UDP端口500,一般来 说, ISAKMP和IKE关键字可互换使用阶段1交换过程有两种模式:主动模式和积极模式。积极模 式快,主动模式安全无论是哪种类型的VPN类型都需要完成三个任务 1)协商采用何种方式建立管理连接。 2)通过DH算法共享密钥信息。 3)对等体彼此进行身份验证。 在主模式中,这三个任务是通过六个数据报文完成的:前两个数据包用于 协商对等体间的管理连接使用何种安全策略(交换ISAKMP/KE传输集); 中间的两个数据包通过DH算法产生并交换加密算法和HMAC功能所需的 密钥;最后两个数据包使用预共享密钥等方式执行对等体间的身份验 证。这里需要注意的是,前四个报文为明文传输,从第5个数据报文开始 为密文传输,而前四个数据包通过各种算法最终产生的密钥用于第5, 第6个数据包及后续数据的加密。