本次以下面的拓扑图来讲解经典的站点到站点IPSec VPN配置.R1模拟公司站点一内部路由器.R2为公司站点一接入Internet路由器.R3模式互联网路由器.R4模拟公司站点二路由器.R2和R4是两个VPN站点连接互联网的网关路由器,同时它们也是IPSec VPN的加密设备.
需求:在R2和R4之间建立隧道模式的IPSec VPN保护通信网络之间的流量.
IPSec基本理论(二)
互联网密钥交换协议IKE(Internet Key Exchange)
IPSec VPN需要预先协商加密协议.散列函数.封装协议.封闭模式和密钥有效期等内容,具体执行协商任务的协议叫做互联网密钥交换协议IKE.IKE主要完成如下3个方面的任务:
- 对建立IPSec的双方进行认证(需要预先协商认证方式)
- 通过密钥交换,产生用于加密和HMAC的密钥
- 协商协议参数(加密协议.散列函数.封装协议.封装模式和密钥有效期)
协商完成后的结果就叫做安全关联SA,也就是说IKE建立了安全关联,SA一共有两种类型,一种叫做IKE SA,另一种叫做IPSec SA. IKE SA维护了安全防护(加密协议.散列函数.认证方式.密钥有效期等)IKE协议的细节.IPSec SA则维护了安全防护实际用户流量(通信点之间流量)的细节. 继续阅读
