IPSecVPN两个阶段协商过程分析-李心春

ESP在两种模式下的封装：

AH-ESP共用：

隧道模式下：

（d）ESP协议加密算法：

ESP能够对IP报文内容进行加密保护，防止报文内容在传输过程中被窥探。加密算法的实现主要通过对称密钥系统，即使用相同的密钥对数据进行加密和解密。 一般来说IPSec使用两种加密算法：DES和3DES。 （e）ESP协议即AH协议的验证算法：

AH和ESP都能够对IP数据包的完整性进行验证，以判别报文在传输过程中是否被篡改。

一般来说IPSec使用两种验证算法：MD5和SHA-1

MD5：MD5输入任意长度的消息，产生128bit的消息摘要； SHA-1：SHA-1输入长度小于2的64次方比特的消息，产生160bit的消息摘要。SHA-1的摘要长于MD5，因而是更安全的。 （f）使用NAT穿越：

在IPSec/IKE组建的VPN隧道中，若存在NAT安全网关设备，则必须配置IPSec/IKE的NAT穿越功能。

消息2：响应者向发起者发送第二条消息，同意第一条消息中的属性，同时，也能

起到确认收到对端消息的作用。

在消息1和消息2中报错可能出现的原因：

（1）双方的模式不匹配（即，可能一端用传输模式，另一端用隧道模式）； （2）感兴趣流不对称（如上述消息1中的（d））；

消息3：发送方发送第三条消息，其中包含一个HASH，其作用是确认接收方的消

息以及证明发送方处于Active状态（表示发送方的第一条消息不是伪造的）

这一步一旦完成，隧道就建立起来了，用户的数据就能被放入隧道中传递。

本文参考资料：

http://www.360doc.com/content/11/0517/14/706976_117422649.shtml http://www.docin.com/p-549203149.html