IPSEC协商共分为两个阶段,主模式第一阶段共6个包,第二阶段共3个包。1-4个包是明文传输,5-9个包是加密传输。
第一阶段:
1.第1个包:
(1).加密算法:DES、3DES、AES...
(2).认证方法:pre-share、RSA
(3).认证与完整性算法:MD5、SHA-1
(4).group组:1、2、5、7
(5).IKE SA的存活时间:默认24小时
2.第2个包:是由响应端发起,进行参数比对。
3.第3-4个包:各自通过DH算法形成公钥和私钥,公钥发给对端,私钥留在本地,在通过对端公钥和自己公钥私钥形成密钥
4.第5-6个包:进行IKE阶段协商的认证,此时第一阶段交互完成。
第二阶段:
1.第1个包:
(1).在IKE SA协商基础上形成新的KEY。
(2).封装方式:AH、ESP
(3).加密方式:DES、3DES、AES...
(4).完整性算法:MD5、SHA-1
(4).IPSEC SA:默认1个小时
(5).两端保护子网
2.第2个包:包主要是接收端查看本地有没有一个IPSEC SA策略与发起方的一样,如果有,并且认证成功,感兴趣流协商成功,那么接收端会把协商成功的IPSEC SA策略发给发起端,同时也会把自己的认证Key发给发启端来进行双向认证
3.第3个包:包主要是发起端对接收端发来的第二个包进行确认,协商成功进行业务访问。
转载自:http://blog.sina.com.cn/s/blog_e6ea327d0102xr7x.html