ESP处理流程
出方向(传输模式)
1.插入ESP头部并填充相应字段 2.选择SA进行加密 3.Hash 插入ESP尾部 4.重算IP头部校验和
入方向
1.检查SA是否存在 2.序列号是否有效 3.数据包完整性和源验证 4.解密
5.有效性验证(模式是否匹配) 6.传送模式(查询路由表 转发)
对分片的处理:默认 先分片再加密
AH(Authentication Header) AH 协议号:51 不支持加密
不支持NAT IKE
负责在两个IPSec对等体间协商一条IPsec隧道的协议
协商协议参数 交换公共密钥 对双方进行认证 在交换后对密钥进行管理
IKE三个组成部分(混合协议) SKEME:(定义一种密钥交换方式)
Oakley:(对多模式的支持,例如对新加密技术,并没有具体定义交换信息) ISAKMP:定义了消息交换的体系结构,包括两个IPsec对等体间分组形式和状态 (定义封装格式和协商包交换个方式)
三个模式
主模式,主动模式,快速模式
主动模式:预共享密钥的远程拨号VPN(降低PC的资源消耗) 主IKE 1阶段1-2个数据包模式:其余所有
---------------------------------------------------------
Phase 1 SA(ISAKMP SA/双向):用于认证(吃饭) 主模式(6个包) 主动模式(3个包)
| | | | ----------------------------
| 新的IPsec隧道或者rekey ----------------------------
Phase 2 SA (IPSEC SA) Phase 2 SA (IPSEC SA/单向) (签合同) 快速模式(3个包) 快速模式 | |
A<---受保护的数据--->B c<---受保护的数据--->d ----------------------------------------------------------
第一阶段:认证
第二阶段:协商具体流量的处理办法
IKE 1阶段主模式第1-2个数据包(明文)
交换IP地址(设置对端)和策略(认证方式、HASH认证、加密5-9个包,DH组,Key life)
发送方将自己的策略全部交给接收方,接收方根据序号匹配自己的策略,然后将相同的策略交给发送方
IKE 1阶段主模式第3-4个数据包(明文) 交换DH公共值
IKE 1阶段主模式第5-6个数据包(密文) 双方认证初始化设备
IKE 1阶段主动模式第1-2个数据包(明文)
=主模式1-6个包,但认证的信息是通过hash明文显示
IKE 1阶段主动模式第3个数据包 确认
IKE 2阶段快速模式3个数据包 基于感兴趣流
1.提交发送方对实际流量处理策略 2.接受方匹配并返回策略 3.确认
相关推荐:
loading