IPSEC协商共分为两个阶段,主模式第一阶段共6个包,第二阶段共3个包。1-4个包是明文传输,5-9个包是加密传输。


 


第一阶段:


  1.第1个包:


     (1).加密算法:DES、3DES、AES...


                  (2).认证方法:pre-share、RSA


                  (3).认证与完整性算法:MD5、SHA-1


                  (4).group组:1、2、5、7


                  (5).IKE SA的存活时间:默认24小时


 


  2.第2个包:是由响应端发起,进行参数比对。 


 


  3.第3-4个包:各自通过DH算法形成公钥和私钥,公钥发给对端,私钥留在本地,在通过对端公钥和自己公钥私钥形成密钥


 


  4.第5-6个包:进行IKE阶段协商的认证,此时第一阶段交互完成。


 


第二阶段:


  1.第1个包:


        (1).在IKE SA协商基础上形成新的KEY。


                  (2).封装方式:AH、ESP


                  (3).加密方式:DES、3DES、AES...


                  (4).完整性算法:MD5、SHA-1


                  (4).IPSEC SA:默认1个小时


                  (5).两端保护子网


       


  2.第2个包:包主要是接收端查看本地有没有一个IPSEC SA策略与发起方的一样,如果有,并且认证成功,感兴趣流协商成功,那么接收端会把协商成功的IPSEC SA策略发给发起端,同时也会把自己的认证Key发给发启端来进行双向认证


 


  3.第3个包:包主要是发起端对接收端发来的第二个包进行确认,协商成功进行业务访问。