IPsec學習（1）

ike  internet key exchange
INTERNET密鑰交換協議
在×××中交換加密密鑰。IKE是混合協議，由ISAKMP(INTERNET安全關聯和密鑰管理協議)和OAKLEY、SKEME組成

IPsec (IP SECURITY PROTOCOL,IP安全協議)是一組開放標準集，他們協同工做來確保對等設備之間的數據機密性、數據完整性以及數據認證。
Tunnel Mode ： 產生新的可路由頭部，能夠解決不一樣私有網絡之間跨越Internet 數據包的加密傳送，加密點不是通訊點
Transport Mode: 不產生新的IP頭部，要求原IP包能夠在Internet路由，要求通訊點和加密點爲同一個IP
IPSEC支持HDLC、ATM、PPP、幀中繼串行封裝 IPSEC能與GRE一級IP-IN-IP封裝第三層隧道協議共同工做。IPSEC不支持DLSW（data-link switching），SRB（source-route bridging）或其餘三層隧道協議 IPSEC不支持多端點隧道 IPSEC只能以單播形式工做，不能以組播或廣播形式工做 IPSEC爲每一個分組數據提供認證，速度比CET（CISCO ENCRYPTION TECHNOLOGY）更慢 IPSEC提供分組擴展，致使分段存儲和IPSEC分組的從新組裝 使用NAT時，須要肯定NAT在IPSEC封裝前有效，以便IPSEC有全局地址 IPSEC用來提供通訊安全的協議時AH（authentication header,認證頭）,ESP（encapsulating security payload，封裝安全負載）。 IKE和IPSEC在對等實體之間協商加密及認證服務，協商以在安全對等實體之間創建SA爲結束。IKE SA是雙向的，IPSEC SA不是雙向，爲了創建雙向通訊×××對等實體的每一個成員必須創建IPSEC。爲了在對等實體之間創建安全通訊，在每一個對等實體上必須有一個相同的SA。 每一個SA相關信息存在SADB，而且被分配一個SPI，當它與目的地IP地址以及安全協議（AH或ESP）結合在一塊兒，就能惟一標示一個SA AH，認證頭。IP端口51。 它提供數據完整性、數據源認證以及反重傳。AH不提供加密，分組以明文形式傳送。