Ipsecvpn的兩個階段（Ipsecvpn的兩個階段）

2023-07-25 13:47:08 1

Ipsecvpn的兩個階段?兩個遠程站點要運行ipsec vpn要經歷兩個階段要弄清楚這兩個階段都幹什麼先來看ipsec vpn的三個功能和協議，現在小編就來說說關於Ipsecvpn的兩個階段?下面內容希望能幫助到你，我們來一起看看吧!

Ipsecvpn的兩個階段

兩個遠程站點要運行ipsec vpn要經歷兩個階段。要弄清楚這兩個階段都幹什麼。先來看ipsec vpn的三個功能和協議。

1.AH authentication header，認證頭。對數據完整性和數據源進行認證

2.ESP encapsulation security header，封裝載荷。對數據包進行加密以及認證

3.IKE internet key exchange, 密鑰交互協議。用於生成在AH和ESP中使用的密鑰。

Ipsec 數據包的封裝只涉及到AH或者ESP。所以嚴格說AH和ESP屬於ipsec 協議。IKE是另外一個單獨的協議，有一個專門的RFC文檔，RFC 7296。

弄清楚了這幾個協議的關係，下面說兩個階段。

先說第二階段：

Ipsec 數據包是通過AH或者ESP封裝的，那麼就要協商AH和ESP的相關參數。建立一個ipsec 的SA（security associatio)。那麼有個問題就是這個協商過程是明文的還是加密的，肯定是加密的。如果這個過程是明文的話，那麼被別人竊聽到，後面對於數據包進行ESP的加密就沒有意義了。可是用什麼加密呢？這時候就需要IKE密鑰交互協議先商量出一個密鑰，來建立ipsec 通信的SA。

第一階段：

用IKE密鑰交互協議先協商出一個密鑰。後面的通信過程都用這個密鑰加密。這個密鑰也會保護AH或者ESP參數的交互過程。同時在第一階段兩個站點也會進行初始化的認證，讓對面站點知道是誰要和他建立ipsec vpn。一般都是通過設置預共享密鑰的方式，即兩邊的設備共同設置同一個密碼。

總結一下，第一階段是通過密鑰交互協議生成一個對稱密鑰，為第二階段的交互過程建立一個安全隧道。第二過程是為ipsec通信協商AH、ESP的加密認證參數，為數據包的通信建立安全隧道