这个IPsec过程分两类报文,一类是IKE报文,一类是ESP报文。然后我们抛开ESP报文不讨论。现在,这个现象是这样的。除了第一次交互(也就是前两个包)使用500端口之外。之后的所以报文都使用4500端口进行通信。 即使是在发送IKE的rekey或reauth时,也使用4500端口。也就是说500端口,后续的报文序列里再也不会使用了。 当使用4500承载的时候,IKE报文头与UDP报文头之间,会插入4个字节的0,用来区分ESP报文和IKE报文。