2024年5月25日发(作者:)

抓包分析ISAKMP协商过程

IKE野蛮模式和主模式的区别在与进行IKE 协商的时候,所采用的协商方式不同,具体在

于,IKE主模式在IKE协商的时候要经过三个阶段:SA交换、密钥交换、ID交换和验证。

IKE的野蛮模式只有两个阶段:SA交换和密钥生成、ID交换和验证。

在实际应用中,一般情况下,IKE的主模式适用于两设备的公网IP固定、且要实现设备之

间点对点的环境。对于例如ADSL拨号用户,其获得的公网IP不是固定的,且可能存在NAT

设备的情况下,采用野蛮模式作NAT穿越,同时,由于IP不是固定的,用name作为id-type,

总部采用模板的方式接收分支的IPSEC 接入。

--------------------------------

主模式和主动模式(野蛮)区别

他们都是就VPN得第一阶段IKE的协商而言。主模式中双方三层交换信息,总

共六个包。简单说下1、2个包协商加密和认证算法。3、4个包DH交换。5、6

个包提供身份和密钥的验证。主动模式(即你说的野蛮模式)双方进行两次交换,

总共三个包。1个包发起方建议SA,发起DH交换。2包接收方接受SA。3个包

发起方认证接受方。这是IKE协商方面的一些差别,另外,在主动模式中数据包

是在明文中进行交换的,不提供身份保护,而主模式则不然。

第一阶段主模式原理分析

MM 模式下:6个包

1-2 包:双方互相提供可以实现的Isakmp参数 包括下面的内容

1 对端ip

2 authentication 方式:presharekey CA 等

3 加密类型 des 3des aes

4 hash md5 sha-1

5 DH 1,2.7

3-4 包 通过DH算法产生可以密钥

1 给isakmp phase 1 阶段使用

2 给ISakmap phase2 阶段使用

5-6 包 验证对等体的身份,建立isakmp sa

1 共享密钥

2 CA

3 NO-nonce

在MM模式下要配置参数在

1 cryipsec isakmp key cisco X.X-----配置共享密钥

2 authentication 方式:presharekey CA 等

3 加密类型 des 3des aes

4 hash md5 sha-1

5 DH 1,2.7

第1-2个数据包

1.作用

(1)通过数据包源地址确认对端体的和合法性。

(2)协商IKE策略

2.第一个包的格式

通过比较收到的数据包的源地址和本端配置的CRYPTO ISAKMP KEY 密码 address IP

中的IP 是否相等验证合法性。相等就接收设个包,不相等就丢弃。