IPsec 三协议
IKE(Internet Key Exchange)
Authentication /确认是真的对等体,而不是攻击者
Diffie-Hellman //密钥算法,确保密钥安全
Group 1(默认)768bit
Group 2 1024bit
Group 5 1536bit
SA //Security Association,一组规则
SA有2类
1.IKE SA(ISAKMP Association ) 保护对象为密钥相关,IKE不直接关心数据,IKE SA为安全协商IPsec SA服务的
2.IPsec SA(IP Security Association) 保护用户数据流的安全
IKE Phase One
Authentication,Encryption,Hash,Diffie-Hellman,
IKE Phase Two
Encryption,Hash,Lifetime,IPsec mode(Tunnel默认和Transport)
ESP(Encapsulating Security Protocol)
AH(Authentication Header)