IPsecVPN协商过程-主模式

IPSEC协商共分为两个阶段，主模式第一阶段共6个包，第二阶段共3个包。1-4个包是明文传输，5-9个包是加密传输。

 

第一阶段：

　　1.第1个包：

　　　　　（1）.加密算法：DES、3DES、AES...

                  （2）.认证方法:pre-share、RSA

                  （3）.认证与完整性算法：MD5、SHA-1

                  （4）.group组：1、2、5、7

                  （5）.IKE SA的存活时间：默认24小时

 

　　2.第2个包：是由响应端发起，进行参数比对。 

 

　　3.第3-4个包：各自通过DH算法形成公钥和私钥，公钥发给对端，私钥留在本地，在通过对端公钥和自己公钥私钥形成密钥

 

　　4.第5-6个包：进行IKE阶段协商的认证，此时第一阶段交互完成。

 

第二阶段：

　　1.第1个包：

　　　　    （1）.在IKE SA协商基础上形成新的KEY。

                  （2）.封装方式：AH、ESP

                  （3）.加密方式：DES、3DES、AES...

                  （4）.完整性算法：MD5、SHA-1

                  （4）.IPSEC SA：默认1个小时

                  （5）.两端保护子网

       

　　2.第2个包：包主要是接收端查看本地有没有一个IPSEC SA策略与发起方的一样，如果有，并且认证成功，感兴趣流协商成功，那么接收端会把协商成功的IPSEC SA策略发给发起端，同时也会把自己的认证Key发给发启端来进行双向认证

 

　　3.第3个包：包主要是发起端对接收端发来的第二个包进行确认，协商成功进行业务访问。

 

转载自：http://blog.sina.com.cn/s/blog_e6ea327d0102xr7x.html