问一下IPSEC的协商模式

wangbin2010jy

大神们好，我想问下IPSEC做IKE协商的话，对端模式必须是相同的吗？（主模式，野蛮模式），可以一个主一个野蛮吗？谢谢！

keluhexiaoq

需要一致的~~
ipsec协商分为两个阶段，第一阶段中是协商ike sa（主模式和野蛮模式都属于该阶段），涉及到ike提议（加密算法、验证算法...）、密钥素材（dh算法）、身份验证（预共享秘钥、证书）等内容，那么这个阶段最终目的是服务于第二阶段也就是ipsec sa协商，而ipsec sa协商出的密钥才是最终用于数据安全传输的。
在说回来主模式和野蛮模式的协商内容虽然基本一致，但是协商机制有差异，其中最大的一点区别在于主模式协商交互6个报文而野蛮模式只有3个报文，如果一边主模式一边野蛮模式最终就会协商失败~~

wangbin2010jy

感谢大神

itwong

IPSEC分第一阶段跟第二阶段， 第一阶段是协商HAGLE(hash, authentication method, DH-group ,lifetime, encryption algorithm), 两边不需要100%相同，但需要有共同的参数，唯一可以不一样的是lifetime，而第二阶段则使用ike phase 1所协商出来的Key来进行ESP加密