IPsec学习（1）

ike  internet key exchange
INTERNET密钥交换协议
在×××中交换加密密钥。IKE是混合协议，由ISAKMP(INTERNET安全关联和密钥管理协议)和OAKLEY、SKEME组成

IPsec (IP SECURITY PROTOCOL,IP安全协议)是一组开放标准集，他们协同工做来确保对等设备之间的数据机密性、数据完整性以及数据认证。
Tunnel Mode ： 产生新的可路由头部，能够解决不一样私有网络之间跨越Internet 数据包的加密传送，加密点不是通讯点
Transport Mode: 不产生新的IP头部，要求原IP包能够在Internet路由，要求通讯点和加密点为同一个IP
IPSEC支持HDLC、ATM、PPP、帧中继串行封装 IPSEC能与GRE一级IP-IN-IP封装第三层隧道协议共同工做。IPSEC不支持DLSW（data-link switching），SRB（source-route bridging）或其余三层隧道协议 IPSEC不支持多端点隧道 IPSEC只能以单播形式工做，不能以组播或广播形式工做 IPSEC为每一个分组数据提供认证，速度比CET（CISCO ENCRYPTION TECHNOLOGY）更慢 IPSEC提供分组扩展，致使分段存储和IPSEC分组的从新组装 使用NAT时，须要肯定NAT在IPSEC封装前有效，以便IPSEC有全局地址 IPSEC用来提供通讯安全的协议时AH（authentication header,认证头）,ESP（encapsulating security payload，封装安全负载）。 IKE和IPSEC在对等实体之间协商加密及认证服务，协商以在安全对等实体之间创建SA为结束。IKE SA是双向的，IPSEC SA不是双向，为了创建双向通讯×××对等实体的每一个成员必须创建IPSEC。为了在对等实体之间创建安全通讯，在每一个对等实体上必须有一个相同的SA。 每一个SA相关信息存在SADB，而且被分配一个SPI，当它与目的地IP地址以及安全协议（AH或ESP）结合在一块儿，就能惟一标示一个SA AH，认证头。IP端口51。 它提供数据完整性、数据源认证以及反重传。AH不提供加密，分组以明文形式传送。