其实这个不算在数通里面,因为IPsec是安全的技术
突然想到这个就写这个了,面试或者考试会问这个
IPsec有两个版本
今天说的是版本1
有两个阶段
一个是 IKEv1,一个 IKEv2
那么在版本1的阶段1有两个模式
一个叫主模式,一个叫野蛮模式
一般情况下用主模式,野蛮模式用得少
小总结,主模式的话两端固定IP,野蛮模式因为没有固定的公网IP需要用域名(DDNS花生壳)
现在用的比较多的是主模式
主模式一共有6个数据包的交互
野蛮模式只有3个包的交互
这个角度来看,野蛮模式更快,更加节省设备的资源
主模式里面,前4个包都是裸奔的,第5个包用来做身份认证,这个是加密的。
但是野蛮模式,有安全风险,他的身份认证是在第一第二个包里, 而且是明文的!!!
但是呢
版本1的IKEV1早期是不支持NAT-T的(NAT穿越),现在都支持了,野蛮模式一直支持
主模式,第五第六个包认证
野蛮模式,第一个包和第二个包里面交互,这里面呢有一个问题
如果是用的IP,那没问题,因为每个数据包里面都有IP,五元组,他会在第五个包之前就计算完了
但是如果是ID,主机名hostname,就会在第五第六个包再交互
如果用到了预共享密钥,那么这个要用到认证信息,
所以现实中,用IP的话,两边都没什么问题,如果用IP以外的,主模式会协商失败,就要用野蛮模式了