2种模式:主要模式(site to site)和积极模式(remote access),这里主要是主要模式

ISAKMP 协议协商
2种传输模式:
Transport模式(因为不产生新的IP,所以用在内网中)
包的封装:L2--IP--ESP--TCP/IP/DATA--ESP Trailer--ESP Auth
Tunnel模式(会产生新的IP,跨广域网)
包的封装:L2--NewIP--ESP--IP--TCP/UDP--DATA
ESP协议号:50 ,加密和验证,验证不包括NewIP。
AH协议号:51 只能验证不加密,认证包括了NewIP,这就出现TTL变化产生的问题,所以会屏蔽某些字段后进行hash计算
扩展: DPD(冗余备份)
NAT-T:L2--NewIP--New UDP--ESP--IP--TCP/UDP--DATA--ESP Trailer--ESP Auth
(新增UDP默认端口4500,cisco私有协议可以打上新增TCP)
 
 
IPSEC *** 中,SITE TO SITE通道的建立需要数据包的触发(有优化的方法)
 
第0步:有路由
 
第1步:定义感兴趣流
用ACL抓取source到destination的流量
R5(config)#access-list 100 permit ip 5.5.5.0 0.0.0.255 2.2.2.0 0.0.0.255
 
第2步:IKE 通道协商
R5(config)#crypto isakmp policy 10
 encr aes 192
 hash md5
 authentication pre-share
 
R5(config)#crypto isakmp key 0 keyword address 12.1.1.2 定义一个key,对端为12.1.1.2
 
第3步:IKE 第二阶段 IPSEC
R5(config)#crypto ipsec transform-set set esp-md5-hmac esp-des 数据加密认证方式
R5(cfg-crypto-trans)#mode tunnel 传输方式是tunnel(site to site ***只能选择tunnel)
 
 
 
 
第4步:结合1,2,3起一个map
R5(config)#crypto map mapname 10 ipsec-isakmp 启用一个ipsec的map
R5(config-crypto-map)#set peer 12.1.1.2 配置对端地址
R5(config-crypto-map)#match address 100 调用之前定义的ACL
R5(config-crypto-map)#set transform-set set 设置传输模式
 
第5步:在接口上调用定义的map
R5(config-if)#crypto map mapname 
 
 
IKE第一阶段 交互6个包:协商policy 交互DH算出的SKEYID 认证peer
 
IKE第二阶段 协商IPSEC加密算法是用ESP还是AH(一般选择ESP),模式是tunnel