ike  internet key exchange
INTERNET密钥交换协议
在***中交换加密密钥。IKE是混合协议,由ISAKMP(INTERNET安全关联和密钥管理协议)和OAKLEY、SKEME组成

IPsec (IP SECURITY PROTOCOL,IP安全协议)是一组开放标准集,他们协同工作来确保对等设备之间的数据机密性、数据完整性以及数据认证。
Tunnel Mode : 产生新的可路由头部,可以解决不同私有网络之间跨越Internet 数据包的加密传送,加密点不是通信点
Transport Mode: 不产生新的IP头部,要求原IP包可以在Internet路由,要求通信点和加密点为同一个IP



IPSEC支持HDLC、ATM、PPP、帧中继串行封装
IPSEC能与GRE一级IP-IN-IP封装第三层隧道协议共同工作。IPSEC不支持DLSW(data-link switching),SRB(source-route bridging)或其他三层隧道协议
IPSEC不支持多端点隧道
IPSEC只能以单播形式工作,不能以组播或广播形式工作
IPSEC为每个分组数据提供认证,速度比CET(CISCO ENCRYPTION TECHNOLOGY)更慢
IPSEC提供分组扩展,导致分段存储和IPSEC分组的重新组装
使用NAT时,需要确定NAT在IPSEC封装前有效,以便IPSEC有全局地址

IPSEC用来提供通信安全的协议时AH(authentication header,认证头),ESP(encapsulating security payload,封装安全负载)。

IKE和IPSEC在对等实体之间协商加密及认证服务,协商以在安全对等实体之间建立SA为结束。IKE SA是双向的,IPSEC SA不是双向,为了建立双向通信***对等实体的每个成员必须建立IPSEC。为了在对等实体之间建立安全通信,在每个对等实体上必须有一个相同的SA。
每个SA相关信息存在SADB,并且被分配一个SPI,当它与目的地IP地址以及安全协议(AH或ESP)结合在一起,就能唯一标示一个SA

AH,认证头。IP端口51。
它提供数据完整性、数据源认证以及反重传。AH不提供加密,分组以明文形式传送。