IPsec IKEv2（HCIP）

一、IKE介绍

1、IKE介绍

2、IKE的主要作用

3、IKE与IPsec关系

二、IKE基础内容

1、IEK的身份认证方法

数据源认证

预共享密钥PSK

数字证书

数字信封

EAP(IKEv2支持)

数字证书CA如何实现身份认证?

2、IKEv1介绍

IKEv1介绍

IKEv1第一阶段介绍

IKEv1第二阶段介绍

IKEv1存在的问题

2、IKEv2介绍

IKEv2的改进

IKEv2介绍

IKEv2的交换过程

IKEv2载荷

IKEv2报文交换信息

初始交换

子SA交换

通知交换

三、IPsec配置步骤

命令行方式

一、IKE介绍

1、IKE介绍

因特网密钥交换IKE（internet Key Exchange）协议建立在Internet安全联盟和密钥管理协议ISAKMP（lnternetSecurityAssociation and Key Management Protocol）定义的架上，是基于UDP的应用层协议。

它为IPsec提供了自动协商密钥Key、建立IPsec安全联盟的服务，能够简化IPsec的使用和管理，大大简化IPsec的配置和维护工作。

2、IKE的主要作用

降低IPsec手工配置的复杂度
安全联盟定时更新
密钥定时更新
允许在端与端之间动态认证
隧道加密数据要用到的协商算法（proposal），IKE隧道要用的算法。

3、IKE与IPsec关系

IKE是基于UDP之上的一个应用层协议，是IPsec的信令协议。
IKE为IPsec协商建立SA，并把建立的参数及生成的密钥交给IPsec。
IPsec使用IKE建立的iPse SA对IP报文进行加密或验证处理

二、IKE基础内容

1、IEK的身份认证方法

IKE为验证远端对等体身份（对等体的IP地址或名称），提供了如下三种方法：

预共享密钥PSK （Pre-Shared Key）认证。——口令

数字证书RSA（RSA-Signature）认证。——非对称加密算法！公钥加密、私钥解密

数字信封认证。——非对称+对称、公钥加密+私钥解密

数据源认证

数据源认证：通过对发送数据的源进行身份验证，保证数据来白真实的发送者。

预共享密钥PSK

预共享密钥PSK：手工输入每个对等体的，用于认证的密钥值（通过比对双方之间的预共享密钥是否一致从而认证身份）。

数字证书

数字证书：RSA签名-----用交换数字证书的方式认证对等体（通过交换数字证书认证，从而认证身份）。

数字信封

数字信封：RSA加密随机数（nonce） -----nonce （由各个对体生成的随机数）被加密，然后在对等之问交换，在对等体认证流程中使用两个nonce（通过使用对等休产生的nonce值，通过公钥加密，对方收到后如果成功解密后获得正确的nonce值，就认证了身份）。

EAP(IKEv2支持)

EAP(IKEv2支持) ： 因为EAP支持对用户做认证，所以IKEv2支持远端接入。

数字证书CA如何实现身份认证?

数字证书采用RSA等非对称密销算法实现身份认证。

2、IKEv1介绍

IKEv1介绍

采用IKEv1协商安全联盟主要分为两个阶段：

第一阶段，通信双方协商并建立IKE协议本身使用的安全通道，即建立一个IKE SA（主模式【六个报文】和野蛮模式【三个报文】），在这个阶段就已经产生隧道了，不传业务传第二阶段的协商。
第二阶段，利用第一阶段已通过认证与安全保护的安全通道，建立一对用于数据安全传输的IPsec SA（快速模式三个报文），加密传输协商Ipsec SA的信令，协商起隧道传输业务。

IKEv1第一阶段介绍

IKEv1协商第一阶段的目的是建立IKE SA。IKE SA建立后对等体间的所有KE报文都将通过加密和验证，这条安全通道可以保证IKEv1第二阶段的协商能够安全进行。
IKEv1协商第一阶段支持两种协商模式：主模式（Main Mode）和野模式（Aggressive Mode）

野蛮模式：

第一个包就是把主模式的1、3、5包一起发

第二个包对方把主模式2、4、6包一起发

第三个就是验证数据了