简述ikev1 ipsec vpn

小乔

ipsec复杂吗，其实还是挺复杂的。我在这里简单理一理他的框架吧。

ipsec vpn 可以分为手工方式，和ike协商方式两种。手工方式不推荐。所以常用的就是ike协商方式。协商的什么呢？协商的是加密和验证的密钥。ike目前有两个版本ikev1和ikev2。我们今天说的是ikev1。



ipsec 就两个阶段，搞清楚就完了。（SA：安全联盟）

ipsec第一阶段：建立ike sa

ipsec第二阶段：建立ipsec sa



ipsec第一阶段（ikev1主模式，ike协商模式有主模式和野蛮模式，推荐用主模式）

1、协商ike安全提议（就是两端是否支持相同的各种算法，比如加密算法、认证算法、DH组等）

2、使用DH算法交换密钥材料，并计算出密钥（在公网上交换密钥材料，并计算出三个秘钥，其中一个用于第二阶段密钥生成）

3、身份认证（身份可以是IP,设备名称，数字证书等）传输身份信息时就用到上面计算的密钥来加密了，安全性十足。



ipsec第二阶段

1、协商ipsec的安全提议（加密算法、认证算法、封装模式等）

2、协商被保护的数据流(也叫待加密流或者感兴趣流，由acl定义)

3、根据第一阶计算的密钥衍生出用于ipsec sa的密钥（用于数据加密）



好了两个阶段说完了。我们顺便在介绍下配置思路，分4步走吧

1、基础准备（配置acl加密流、配置ike proposal、配置ipsec proposal）

2、配置ike对等体（调用ike proposal、ike版本、预共享密钥、身份认证方式、对端和本地ip等）

3、配置ipsec策略（调用定义加密流的acl、调用ike peer对等体、调用ipsec proposal、pfs、限速等）

4、在接口下应用ipsec策略。

ccna7025

条理性很强，但缺少具体操作，坐等详细手册

liyou60

华为认证，值得拥有！