1、野蛮模式协商比主模式协商更快 。主模式需要交互6个消息 , 野蛮模式只需要交互3个消息 。
2、主模式协商比野蛮模式协商更严谨、更安全 。主模式在5、6个消息中对ID信息进行了加密 。野蛮模式由于受到交换次数的限制,ID信息在1、2个消息中以明文的方式发送给对端 。即主模式对对端身份进行了保护,而野蛮模式则没有 。
3、对NAT/PAT的支持:
①对预共享密钥认证:主模式不支持NAT转换,而野蛮模式支持 。
②对于证书方式认证:两种模式都能支持 。
4、 两种模式在确定预共享密钥的方式不同;主模式只能基于IP地址来确定预共享密钥;而野蛮'模式是基于ID信息(主机名和IP地址)来确定预共享密钥 。
注:在按需链路中,可以启用IKE Keepalive特性,路由器会周期性10秒/次发送IKE Keepalive报文 , 用于检测路径的实时连通性;在单向启用即可 。
?第二阶段:协商使用哪一款安全协议加密数据(ESP或AH)、保护流量;使用ESP/AH的时候,选择哪一种加密算法和散列算法、协商是否需要再次进行DH算法生成新的密钥(PFS)、SA周期和IPSec封装模式;协商完毕形成两条单向SA 。
第二阶段协商的具体内容:
1、协商双方使用何种封装模式;隧道模式/传输模式
2、协商双方使用何种加密算法;AES/RSA/ECC
3、协商双方使用何种散列算法;HMAC/MD5/SHA
4、协商双方使用何种DH密钥组
5、协商双方使用的密钥更新周期
第二阶段只有一种工作模式:快速模式;它定义了受保护数据连接是如何在两个IPsec对等体之间构成的;快速模式有两个主要的功能:
1.协商安全参数来保护数据连接 。
2.周期性的对数据连接更新密钥信息.
快速模式需要交换3个报文,这些消息都是使用IKE进行保护,这意味着将使用IKE phase1中导出来的SKEYIDe和SKEYIDa对所有分组进行加密和验证 。
注:针对Remote-Access VPN;思科还使用了一个1.5阶段,包含扩展认证Xauth和Mode config两种模式 。
在这个阶段,如果启用了DPD特性,路由器会周期性发送DPD报文,用于检测路径的实时连通性;需要在双向启用 。
IPSec封装模式:传输模式,适用于同一个园区网内的两台主机之间的安全连接
1、在IP报头和上层协议之间插入AH或ESP报头;对上层协议数据提供保护 。
--在IP头部之后插入AH头,会对整个IP数据包进行完整性校验 。
--在IP头部之后插入ESP头,在数据字段后插入尾部以及认证字段;只对IP数据包中的ESP报头,上层数据和ESP尾部进行完整性校验 。
2、传输模式中的AH+ESP:在IP头部之后插入AH和ESP头,在数据字段后插入尾部以及认证字段(可选的);对高层数据和ESP尾部进行加密,对整个IP数据包进行完整性校验 。
3、在GRE over IPSec环境中必须使用传输模式 , 数据封装格式为:
Ethernet2|IPV4(新)|ESP|GRE|IPv4|TCP|HTTP|FCS
IPSec封装模式:隧道模式,适用于跨园区网的两台边界路由器间建立安全连接
1、AH或ESP头封装在原始IP报文头之前,并另外生成一个新的IP报头封装到AH或ESP之前;隧道模式可以完全地对原始IP数据报进行认证和加密,而且可以使用新的IP报头来隐藏内网主机的私有IP地址 。
--在IP头部之后插入AH头,会对整个IP数据包进行完整性校验 。
推荐阅读
- 元素周期表第七周期排满了吗?
- 如何屏蔽苹果手机更新系统?
- 持续更新中 三江社区新冠疫苗接种通知
- 持续更新中 绵阳新冠疫苗接种地点汇总
- 持续更新中 绵阳西山社区卫生服务中心到苗通知
- 元素周期表的族怎么分 元素周期表16个族分别是什么
- 持续更新 佛山吸入式新冠疫苗最新消息
- 如何判断原子半径大小 元素周期表中如何判断原子半径大小
- 和平精英更新不了怎么办呢? 和平精英更新不了怎么办呢苹果
- ios16.1beta4更新了啥ios16.1beta4更新内容功能介绍