totle ipsec CCNP 备课笔记

sense5

IPSEC的组成：
IPSEC结合了三个主要的协议，从而形成一个安全的框架。
首先：
IKE，ESP，AH三个协议。IPSEC工作在两个模式下面。
IKE是用来在两个对等体之间建立一个隧道。ESP提供流量封装的机制。
1、IKE也是由三个不同的协议组成：SKEME，Oakley，ISAKMP.
1、IKE的第一阶段的协商用途是在两个PEER之间建立一个安全的通道，这个通道目的是为协商IPSEC的密钥等参数提供加密的参数。
2、当IKE的通道协商成功之后，然后开始第二阶段的协商，目的是协商IPSEC的加密参数。
3、应用的模式是SITE-SITE，CLIENT-SITE，HOST-HOST。
我们先介绍一下IKE的协商是如何实现的。
1、首先当两个路由器启用IPSEC的时候，我们以其中之一为起点。A->B，那么A开始发送IKE的数据报文。报文是UDP的类型，封装在端口500里面。
        a）首先是第一个信息被发送，主要内容是COOKIE号码，标识一个唯一的IPSEC会话，也有防止重放的功能。它的建立是通常是基于IP地址，端口的号码，时间和日期等等进行一个散列算法，生成一个8位的随机数。对方的COOKIE为0
        内容还包含一个SA负载，还有两个提议负载，两个转换负载。sa的负载是定位这个ISAKMP是为了IPSEC工作。因为IKE是一个标准的协议，所以在SA负载中通过DOI，解释域，来说明这条消息交换用于IPSEC。
        提议负载的内容包含一个提议号，协议ID，SPI，转换号，其中SPI为0，转换号指向了相应的转换负载
        转换负载的内容是加密的参数，如des，dh算法，存活时间，hash算法等等。
        b) 然后是对方响应一个信息，主要内容就是对方的COOKIE号码，和一个提议和一个策略，注意，这个提议和策略是和开始里面的一个对应的，否则，就回一个失败信息。
        c）初始方然后回应第三个信息，内容是自己的公钥，发给对方，注意，此处我的理解是素数已经交换完毕，公钥就是根据自己随机产生的私钥加上素数和一个产生器g三者来产生的。同时传输一个随机数NI
        d）接收方回应自己的公钥给初始方。包含一个随机数NR
        然后双方各自计算出共享的密钥，一共有三个密钥，session_a，d，e，其中d是根据z=pfs（pre-shared
key，cookie_i，cookie_ni，nl|0）
        其中d用来给第二阶段提供密钥的素材。a用来对IKE的数据进行认证，e用来加密整个IKE协商的数据。
        e）初始方开始继续协商，发送第五个信息，注意，此刻所有的净载信息是被ekey加密过的。信息主要包含两个内容，其中之一是标识负载，另一个是散 列负载，标识负载的主要内容是包含自己的IP地址，就是我们所谓的ID_I，或者是主机名称。散列负载主要的内容是使用session_a进行的散列计 算，计算的参数有上述的Z，和两端的cookie，pre-share key ，提议，转换集，SA的内容。
        f）然后当接收方收到的时候进行确认，先解密，然后根据ID找到pre-key，然后进行相同的计算，得出散列的值，然后对比接收呼叫。
总结：在这个过程中，所有的数据都是被封装在UDP 500的端口内进行协商的。
2、第二阶段，当第一阶段结束后，根据session-d的密钥资源，然后继续进行两次交换：
        a）第一次交换，首先，判断是否启用了PFS（完美转发安全），如果启用的话，根据pfs中定义的参数继续进行一个协商。PFS是提议者向接收者提供建议 的属性。如果协商就支持，否则就不支持。它的作用是在快速模式中重新协商DH密钥的属性。这允许使用新的密钥进行ipsec加密，而不是使用第一阶段生产
的密钥。
                  
b）快速模式只有一次交换，DH交换必须马上发生。不能几次协商了。因此，两端的DH配置必须匹配。
        c）当执行PFS的时候，再次执行DH算法，然后，重新生产密钥。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/27493/showart_299564.html