« Back
in 安全 VPN 思科 read.

VPN理论7

IKE介绍

IKE负责在两个IPSec对等体间协商一条IPSec隧道的协议。

协商协议参数

交换公共密钥

对双方进行认证

在交换后对密钥进行管理

 

IKE的三个组成部分:

SKEME 定义一种密钥交换方式

oakley 提供在两个IPSec对等体间达成相同加密密钥的基本模式的机制。(对多模式的支持,例如对新的加密技术。并没有具体定义交换什么样的信息。)

ISAKMP 定义了消息交换的体系结构,包括两个IPSec对等体间分组形式和状态转变 (定义封装格式和协商包交换的方式)

 

IKE的三个模式:

IKE三个模式

 

lan to lan一般使用主模式

remote vpn 一般使用主动模式,考虑到过去pc性能太差,才使用主动模式。后来考虑到3个包的主动模式缺乏认证,提出了1.5阶段xauth来提供认证。
 

show crypto isakmp sa : QM_IDLE 表示快速模式已结束

 

IKE 6个包的作用:

1-2个包:用来协商IKE策略。这些包里面包含IP地址(这个是crypto isakmp key xxx address x.x.x.x定义的) 和 提议(比如DH number,加密算法)。所有信息都携带在UDP包里面,使用源端口、目的端口均为500。

UDP有效载荷里面包含一个头部,一个SA有效载荷,和一个 或 多个提议。

消息类型1:提供多个提议;消息类型2:包含一个提议。

 

ISAKMP/IKE传输集协商过程:
 

ISAKMP IKE传输集协商过程

 

RouterA发起到RouterB的连接,RouterA将发送传输集的列表,RouterB会将这个收到的列表和他自己的进行比较来找到一个匹配的(在两个对等体之间没有找到匹配的ISAKMP/IKE传输集,管理连接就不会建立)

 

crypto isakmp policy的优先级是本地有效的,数字越小,越优先;如果你写的策略很靠后,可能会导致协商过慢。

 

3-4个包:主要用于认证,交换DH密钥。如果3-4个包出错,通常都是MTU过小,硬件接口有问题。

Performs authenticated diffie-hellman exchange(message types 3 and 4). Messages type 3 and 4 carry out the diffie-hellman(DH) exchange.

Message type 3 and 4 contain the key exchange payload, which is the DH public value and a random number.Messages type 3 and 4 also contain the remote peer's public key hash and the hashing algorithm.

A common session key created on both ends, and remaining IKE messages exchanged from here are encrypted. If perfect forward secrecy (PFS) is enabled, another DH exchange will be completed.

IKE 3 4包

5-6个包:已经是加密的包了。

protects IKE peers' identities --- identities are encrypted. Message types 5 and 6 are the last stage before traffic is sent over the ipsec tunnel. Message type 5 allows the responder to authenticate the initiating device.

Message type 6 allows the initiator to authenticate the responder.

These message types are not sent as clear text.

Message type 5 and 6 will now be encrypted using the agreed upon encryption methods established in message types 1 and 2.

关于sa的lifetime:当lifetime超时的时候,IPSec的连接并不会断,会在超时前就协商新的参数,然后在超时的时候,替代上去。

 

isakmp policy序列号是本地有效的。