IPSEC VPN 主模式和積極模式詳解

來源:本站原創 VPN 超過3,411 views圍觀 0條評論

主模式和積極模式的區別:
1、交換消息的數量:主模式為6條,而積極模式只有3條,而且形式上也不同。
主模式中,每兩條是對稱的,也就是對等體都向對方發送相同類型字段的消息,這樣的消息交換共分為三次,一共是6條;
而在積極模式中,首先由sa的發起者發送一條消息給sa的接受者,sa的接受者收到第一條消息以后,會將自己的sa協商消息附上簽名認證信息后發回給sa的發起者,這是第二條信息,第三條信息再由sa的發起者發送給sa的接受者,這條信息中包含了sa的發起者的簽名認證信息。 這有點類似于TCP的三次握手。
2、對于NAT穿越的支持:這也要視對等體雙方的認證方式而定,主要的區別在預共享密鑰的情況下。
如果是預共享密鑰的情況下,主模式是不支持NAT穿越的,而積極模式可以支持NAT穿越。
而在證書認證的情況下,主模式和積極模式都是支持NAT穿越的。
3、對于對等體標識的使用:對于主模式,在對等體標識的配置使用上,只能使用ip地址進行標識;而對于積極模式,則可以使用ip地址或者域名進行對等體的標識。
這也是由于主模式和積極模式的消息交換機制所決定的。主模式中,第1、2條信息中,雙方交換了一些協商信息,如加密算法、認證算法(hash)、DH組、認證機制等;在雙方交換的第3、4條消息中,雙方交換了公共密鑰,在交換了公共密鑰之后,就可以根據DH算法生成后續所需的密鑰了(SKEYID),其中包括給數據加密的對稱密鑰。這在DH算法中,需要用到雙方定義的預共享密鑰。而在一個設備有多個對等體的情況下,設備需要使用ID信息(如域名信息)來判定對應的對等體的預共享密鑰,而這個ID信息是在消息5、6中雙方才進行交換的,所以設備這時候只能使用IP地址進行對等體預共享密鑰的匹配。所以主模式中無法使用域名信息來進行對等體標識。
而對于積極模式,由于其在第一條信息交換時就發送了對應的ID信息,sa的接收方可以根據該ID信息匹配對應的預共享密鑰,從而計算對應的SKEYID。故積極模式是可以使用IP地址或者域名來進行對等體標識的。但是由于積極模式中,是在加密身份信息的安全sa建立之前就進行了身份信息的交換,所以交換的消息都是明文的,ID信息也是明文的,這帶來了安全隱患。
4、對于DH組的協商:在主模式中,雙方使用消息1、2進行了所使用的DH組的協商,但是在積極模式中,雙方沒有協商就進行了DH信息的交換,所以DH組是確定的。
5、協商速度及協商能力:由于信息交換的數量較少,所以積極模式下,協商的速度更快,但是協商能力不如主模式。

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=3017轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
?
?
萌宠夺宝游戏