
ike internet key exchange
INTERNET密鑰交換協議
在×××中交換加密密鑰。IKE是混合協議,由ISAKMP(INTERNET安全關聯和密鑰管理協議)和OAKLEY、SKEME組成
IPsec (IP SECURITY PROTOCOL,IP安全協議)是一組開放標準集,他們協同工做來確保對等設備之間的數據機密性、數據完整性以及數據認證。
Tunnel Mode : 產生新的可路由頭部,能夠解決不一樣私有網絡之間跨越Internet 數據包的加密傳送,加密點不是通訊點
Transport Mode: 不產生新的IP頭部,要求原IP包能夠在Internet路由,要求通訊點和加密點爲同一個IP

IPSEC支持HDLC、ATM、PPP、幀中繼串行封裝 IPSEC能與GRE一級IP-IN-IP封裝第三層隧道協議共同工做。IPSEC不支持DLSW(data-link switching),SRB(source-route bridging)或其餘三層隧道協議 IPSEC不支持多端點隧道 IPSEC只能以單播形式工做,不能以組播或廣播形式工做 IPSEC爲每一個分組數據提供認證,速度比CET(CISCO ENCRYPTION TECHNOLOGY)更慢 IPSEC提供分組擴展,致使分段存儲和IPSEC分組的從新組裝 使用NAT時,須要肯定NAT在IPSEC封裝前有效,以便IPSEC有全局地址 IPSEC用來提供通訊安全的協議時AH(authentication header,認證頭),ESP(encapsulating security payload,封裝安全負載)。 IKE和IPSEC在對等實體之間協商加密及認證服務,協商以在安全對等實體之間創建SA爲結束。IKE SA是雙向的,IPSEC SA不是雙向,爲了創建雙向通訊×××對等實體的每一個成員必須創建IPSEC。爲了在對等實體之間創建安全通訊,在每一個對等實體上必須有一個相同的SA。 每一個SA相關信息存在SADB,而且被分配一個SPI,當它與目的地IP地址以及安全協議(AH或ESP)結合在一塊兒,就能惟一標示一個SA AH,認證頭。IP端口51。 它提供數據完整性、數據源認證以及反重傳。AH不提供加密,分組以明文形式傳送。