设为首页收藏本站language→→ 语言切换

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

查看: 937|回复: 3
收起左侧

[求助] 问一下IPSEC的协商模式

[复制链接]
发表于 2020-10-15 15:50:08 | 显示全部楼层 |阅读模式
30鸿鹄币
大神们好,我想问下IPSEC做IKE协商的话,对端模式必须是相同的吗?(主模式,野蛮模式),可以一个主一个野蛮吗?谢谢!

最佳答案

查看完整内容

需要一致的~~ ipsec协商分为两个阶段,第一阶段中是协商ike sa(主模式和野蛮模式都属于该阶段),涉及到ike提议(加密算法、验证算法...)、密钥素材(dh算法)、身份验证(预共享秘钥、证书)等内容,那么这个阶段最终目的是服务于第二阶段也就是ipsec sa协商,而ipsec sa协商出的密钥才是最终用于数据安全传输的。 在说回来主模式和野蛮模式的协商内容虽然基本一致,但是协商机制有差异,其中最大的一点区别在于主模式协商交 ...
 成长值: 18130
发表于 2020-10-15 15:50:09 | 显示全部楼层
需要一致的~~
ipsec协商分为两个阶段,第一阶段中是协商ike sa(主模式和野蛮模式都属于该阶段),涉及到ike提议(加密算法、验证算法...)、密钥素材(dh算法)、身份验证(预共享秘钥、证书)等内容,那么这个阶段最终目的是服务于第二阶段也就是ipsec sa协商,而ipsec sa协商出的密钥才是最终用于数据安全传输的。
在说回来主模式和野蛮模式的协商内容虽然基本一致,但是协商机制有差异,其中最大的一点区别在于主模式协商交互6个报文而野蛮模式只有3个报文,如果一边主模式一边野蛮模式最终就会协商失败~~
沙发 2020-10-15 15:50:09 回复 收起回复
回复

使用道具 举报

 楼主| 发表于 2020-10-16 08:45:42 | 显示全部楼层
感谢大神
板凳 2020-10-16 08:45:42 回复 收起回复
回复

使用道具 举报

发表于 2021-6-22 04:19:43 | 显示全部楼层
IPSEC分第一阶段跟第二阶段, 第一阶段是协商HAGLE(hash, authentication method, DH-group ,lifetime, encryption algorithm), 两边不需要100%相同,但需要有共同的参数,唯一可以不一样的是lifetime,而第二阶段则使用ike phase 1所协商出来的Key来进行ESP加密
地板 2021-6-22 04:19:43 回复 收起回复
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-3-29 13:24 , Processed in 0.075907 second(s), 9 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表