IPsec穿越NAT浅析

IPsec穿越NAT浅析上海博达公司数据通信有限公司2010年11月上海博达数据通信有限公司SHANGHAIBAUDDATACOMMUNICATION CO.，LTD版本主要作者版本描述完成日期1.0.0闻凯华IPsec穿越NAT浅析2010-11-24目 录1 概述22 技术介绍22.1 IPsec 和NAT之间的存在的矛盾22.2.ESP报文结构32.3端口NAT流程32.4. 检测NAT设备32.5 .NAT 穿越42.6. NAT Keepalives42.7. 两个Lifetime53.典型配置53.1典型配置示例(对应老版本IPsec模块)53.1.1组网需求：53.1.2配置示例：63.1.3配置信息查看：93.1.4抓包分析交互过程：113.2典型配置示例（对应新版本IPsec模块）173.2.1组网需求：173.2.2典型实例配置：183.2.3配置信息查看：223.2.4抓包分析交互过程：274 结束语29说明：29附录A 缩略语301 概述点对点的IPsec VPN在大型网络内部或者行业私网里面应用比较广泛。解决网络内部传输的部分数据需要加密，网络内部的点到点设备需要身份验证的问题。而在一些企业中企业节点连接到Internet，用户打算在不改变原有的网络结构的同时，在内网新增一台VPN设备，实现与远端VPN设备之间的IPSec VPN。此时点到点的IPsec VPN显然无法满足，而IPsec穿越NAT技术却解决了这一问题。2 技术介绍IPSec提供了端到端的IP通信的安全性，但在NAT环境下对IPSec的支持有限。从IPsec的角度上说，IPsec要保证数据的安全，因此它会加密和校验数据。而从NAT的观点来看，为了完成地址转换，势必会修改IP地址。当NAT改变了某个包的IP地址和（或）端口号时，它通常要更新TCP或UDP校验和。当TCP或UDP校验和使用了ESP来加密时，它就无法更新这个校验和。由于地址或端口已经被NAT更改，目的地的校验和检验就会失败。虽然UDP校验和是可选的，但是TCP校验和却是必需的。ESP隧道模式将整个原始的IP包整个进行了加密，且在ESP的头部外面新加了一层IP头部，所以NAT如果只改变最前面的IP地址对后面受到保护的部分是不会有影响的。因此，IPsec只有采用ESP的隧道模式来封装数据时才能与NAT共存。2.1 IPsec 和NAT之间的存在的矛盾(1)从IPsec的角度上说，IPsec要保证数据的安全，因此它会加密和校验数据。IPSec提供了端到端的IP通信的安全性，但在NAT环境下对IPSec的支持有限，AH协议是肯定不能进行NAT的了，这和AH设计的理念是相违背的；ESP协议在NAT环境下最多只能有一个VPN主机能建立VPN通道，无法实现多台机器同时在NAT环境下进行ESP通信。 (2)从NAT的观点来看，为了完成地址转换，势必会修改IP地址。当NAT改变了某个包的IP地址和（或）端口号时，它通常要更新TCP或UDP校验和。当TCP或UDP校验和使用了ESP来加密时，它就无法更新这个校验和。由于地址或端口已经被NAT更改，目的地的校验和检验就会失败。虽然UDP校验和是可选的，但是TCP校验和却是必需的。 ESP封装的隧道模式：从ESP隧道模式的封装中，我们可以发现，ESP隧道模式将整个原始的IP包整个进行了加密，且在ESP的头部外面新加了一层IP头部，所以NAT如果只改变最前面的IP地址对后面受到保护的部分是不会有影响的。因此，IPsec只有采用ESP的隧道模式来封装数据时才能与NAT共存。由于完整性校验牵涉到IP头部，所以NAT无法对其修改，不兼容。ESP的传输模式，因为TCP部分被加密，NAT无法对TCP校验和进行修改，不兼容。ESP的隧道模式，由于NAT改动外部的IP而不能改动被加密的原始IP，使得只有这种情况下才能与NAT共存。2.2.ESP报文结构ESP是一种安全封装协议，对应的协议号为50。用于为 IP 提供机密性、数据源验证、抗重播以及数据完整性等安全服务。ESP 可用来保护一个上层协议（传输模式）或一个完整的 IP数据包（隧道模式）。ESP报文的协议相关部分分为两部分：ESP协议头部和尾部。ESP不保护报文位于ESP协议头部前面的部分。ESP的隧道模式下的报文格式：2.3端口NAT流程NAT设备收到私网侧主机发送的访问公网侧服务器的报文。NAT设备从地址池中选取一对空闲的“公网IP地址端口号”，建立与私网侧报文“源IP地址源端口号”间的NAPT转换表项（正反向），并依据查找正向NAPT表项的结果将报文转换后向公网侧发送。NAT设备收到公网侧的回应报文后，根据其“目的IP地址目的端口号”查找反向NAPT表项，并依据查表结果将报文转换后向私网侧发送。2.4. 检测NAT设备NAT-D负载不仅仅是检测两个IKE对等体之间存在NAT设备而且要检测NAT设备的位置。检测IKE对等体之间是否存在NAT通过检测IP地址和端口是否在传输的路径上被修改来决定。具体过程是：首先发送各自的ip和端口的哈希值给对方。如果IKE对等体收到哈希值计算后发现没有被修改那就表明两个IKE对等体之间没有NAT设备。如果计算后发现哈希值被修改那就表明IKE对等体之间存在NAT设备并翻译了地址和端口。NAT-D负载包含在主模式的第三和第四个数据包中。如果IKE peer之间没有NAT设备，那收到的第一个NAT-D负载需要匹配其中的一个本地NAT-D负载，另外一个NAT-D负载需要匹配对端IKE peer的IP和端口。如果第一个NAT-D检验失败，那就表明两个IKE对等体之间存在动态NAT，本端就需要开始发送keeplives。2.5 .NAT 穿越将ESP协议包封装到UDP包中（在原ESP协议的IP包头外添加新的IP头和UDP头）。使得NAT对待它就像对待一个普通的UDP包一样。NAT-T的基本原理和执行步骤1.检测通信中是否存在NAT设备和对方是否支持NAT-T2.检测对方是否支持NAT-T是通过交换vendor ID载荷来实现的，如果自身支持NAT-T，在IKE开始交互就要发送这种载荷，载荷内容是“RFC 3947”的MD5值，也就是十六进制的“4a131c81070358455c5728f20e95452f”。是否支持NAT-T 这个过程在主模式的第一、二个数据包中完成交换。UDP封装后的IPSEC ESP 报文格式：检测两端设备是否支持NAT-T和NAT设备在两个IKE对等体之间位置。启用新端口：在主模式中，NAT inside端当他发送数据时必须修改端口，而且必须把源端口和目的端口都修改为4500.NAT设备会修改IKE UDP的源端口，接收者需要能处理源端口不是500的IKE数据包。有两种情况下NAT设备不需要修改源端口:.NAT设备outside端只有一个用户。.对于第一个用户，NAT可以保持他的500端口，只修改后续用户的端口号。2.6. NAT Keepalives NAT将一个私有IP地址映射为一个公有IP地址(或者还有端口)的时间是有限度的，要是在这个限度内没有被使用，就会被释放掉，这样就删除该IPSec SA。表示对等方NAT穿越的映射关系已经被删除。这样会使后续的IPSec通信中断。所以专门设计了一个UDP的Keepalive数据包，定时发送，保证NAT设备中的映射关系不被释放。接收方接收到Keepalive数据包后，不对Keepalive数据包进行处理，而是直接将其丢弃。这样做的目的是NAT中的映射关系在IPSec通信的过程中不会被过早地释放掉。2.7. 两个Lifetime在policy下的lifetime是指第一阶段（MM）的SA生存时间，NAT Keepalive报文只在这个lifetime时间内发送。而map（不管是动态map还是静态map）下的lifetime是指第二阶段（QM）的SA的生存时间。只要第二阶段的SA存在（第一阶段的SA存在与否没有关系）两端传输数据时不需要再次协商。当第一阶段的SA存在，第二阶段的SA不存在时两端传输数据的时只需要进入QM阶段的协商。Lifetime不管隧道里面在不在传输数据只要超时就会根据MM和QM的lifetime的设置值来删除MM和QM的SA。 3.典型配置3.1典型配置示例(对应老版本IPsec模块)3.1.1组网需求：某企业总部和分部通过两台路由器实现互联，但由于总部需要和分部建立IPsec VPN通道，总部增加了一台新的路由器用于和分部建立VPN之用，但是又不想改变现有的网络环境，所以把新增的路由器直接挂接在核心交换机下面。现网络环境描述如下：l R4860,R2622都支持IPsec穿越NAT功能（R2622和R1722使用的均是1.33H的软件版本。） l 总部(PC 1)通过交换机接入到R2622的F0/1口,网关地址为192.168.1.1；l 分部(PC 2)通过交换机接入到分部R2622的F0/1口,网关为172.16.1.1；l 总部的R2622的F0/0通过核心交换机连接到总部出口路由器R4860的G0/1口；l 总部R4860通过G0/0口接入互联网，分部R2622通过F0/0口接入到互联网；网络管理员希望通过总部的R2622和分部的R2622通过IPsec VPN建立连接。使用IPsec 穿越NAT功能实现该需求，进行如下配置：l 总部R2622作为NAT inside侧的IPsec设备，R4860作为NAT网关，分部R2622作为分部的IPsec设备；l 总部R2622和分部R2622作为VPN设备，配置ipsec vpn与对端建立IPsec通道。l R4860作为总部的出口路由器配置NAT实现网络地址的转换。组网图如图1 所示图13.1.2配置示例：（1）分部R2622配置!version 1.3.3H! crypto nat /开启NAT协商，默认关闭/!crypto isakmp key bdcom 0.0.0.0 0.0.0.0 /配置预共享密钥/!crypto isakmp policy 1 /定义IKE策略、策略优先级/ encryption 3des /指定加密算法默认DES/ group 2 /指定Diffie-Hellman 组/ hash md5 /指定哈希算法/ lifetime 120 /指定第一阶段SA时间/!crypto ipsec transform-set ipsec /定义ipsec变换集合/ transform-type esp-3des esp-md5-hmac /指定变换类型：加密、认证/!crypto dynamic-map dmap /定义动态加密映射表/ set pfs group2 /指定协商新SA是使用的DH组/ set security-association lifetime seconds 120 /指定第二阶段SA时间/ set transform-set ipsec /调用变换集合/ match address ipsec /匹配感兴趣数据流/!crypto map ipsec 1 ipsec-isakmp dynamic dmap /定义静态映射并调用动态映射/!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 crypto map ipsec /接口下调用静态映射/!interface FastEthernet0/1 ip address 172.16.1.1 255.255.255.0！ip route default 1.1.1.2!ip access-list extended ipsec /定义感兴趣数据流/ permit ip 172.16.1.0 255.255.255.0 192.168.1.0 255.255.255.0!（2）总部R4860网关配置!hostname R4860!interface GigaEthernet0/0 ip address 1.1.1.2 255.255.255.0 ip nat outside!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip nat inside!ip route default 1.1.1.1ip route default 192.168.2.2!ip access-list standard nat permit 192.168.2.0 255.255.255.0!ip nat inside source list nat interface GigaEthernet0/0！（3）总部R2622配置!version 1.3.3H!crypto nat ! crypto isakmp key bdcom 1.1.1.1 255.255.255.255!crypto isakmp policy 1 encryption 3des group 2 hash md5 lifetime 120!crypto ipsec transform-set ipsec transform-type esp-3des esp-md5-hmac!crypto map ipsec 1 ipsec-isakmp set peer 1.1.1.1 set pfs group2 set security-association lifetime seconds 120 set transform-set ipsec match address ipsec !interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0crypto map ipsec!interface FastEthernet0/1 ip address 192.168.1.1 255.255.255.0!ip route default 192.168.2.1!ip access-list extended ipsec permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0!3.1.3配置信息查看：做好配置后可以使用show run 命令查看整体的配置信息，检查在配置过程中是否有错误或者遗漏的地方。也可以使用其它命令查看配置是否生效，在上面的配置实例中的R2622路由器上使用 debug crypto isakmp，show crypto isakmp policy，show crypto isakmp sa， show crypto map 查看。router#debug crypto isakmp 2004-1-1 01:53:41 ISAKMP: received initiate-msg from core /本端触发ipsec连接/2004-1-1 01:53:41 ISAKMP: initiate negotiation 2 ipsec 1 with 1.1.1.1 /加密映射表开始协商/2004-1-1 01:53:41 ISAKMP: new state 162004-1-1 01:53:41 ISAKMP: state 16 bind conn 2 ipsec 12004-1-1 01:53:41 initiating Main Mode 2004-1-1 01:53:41 ISAKMP(16): main_outI1 sending packet to 1.1.1.12004-1-1 01:53:41 ISAKMP: received packet from 1.1.1.12004-1-1 01:53:41 ISAKMP(16): processing ISAKMP-SA payload.2004-1-1 01:53:41 ISAKMP(16): Checking ISAKMP transform 02004-1-1 01:53:41 encrypt: OAKLEY_3DES_CBC2004-1-1 01:53:41 hash: OAKLEY_MD52004-1-1 01:53:41 auth: OAKLEY_PRESHARED_KEY2004-1-1 01:53:41 group: OAKLEY_GROUP_MODP10242004-1-1 01:53:41 life-seconds: 1202004-1-1 01:53:41 attrs accept again isakmp policy 12004-1-1 01:53:41 enabling possible NAT-traversal with method 3/两端NAT-Traversal协商通过并开启该功能/2004-1-1 01:53:41 ISAKMP(16): M_SA_XCHG sending packet to 1.1.1.12004-1-1 01:53:41 ISAKMP: received packet from 1.1.1.12004-1-1 01:53:41 thinking about whether to send my certificate:2004-1-1 01:53:41 I have RSA key: OAKLEY_PRESHARED_KEY cert.type: CERT_NONE 2004-1-1 01:53:41 sendcert: CERT_SENDIFASKED and I did not get a certificate request 2004-1-1 01:53:41 so do not send cert.2004-1-1 01:53:41 I did not send a certificate because I do not have one.2004-1-1 01:53:42 ISAKMP(16): M_KEY_XCHG sending packet to 1.1.1.12004-1-1 01:53:42 ISAKMP: received packet from 1.1.1.12004-1-1 01:53:42 ISAKMP: new state 172004-1-1 01:53:42 ISAKMP: state 17 bind conn 2 ipsec 12004-1-1 01:53:42 ISAKMP(17): initiating Quick Mode with 2 ipsec 1 /第一阶段协商成功，第二阶段协商开始/2004-1-1 01:53:42 ISAKMP(17): quick_outI1 sending packet to 1.1.1.12004-1-1 01:53:43 ISAKMP: received packet from 1.1.1.12004-1-1 01:53:43 ISAKMP(17): processing IPsec-SA payload.2004-1-1 01:53:43 transform: ESP_3DES2004-1-1 01:53:43 encapsulation: ENCAPSULATION_MODE_UDP_TUNNEL2004-1-1 01:53:43 auth: AUTH_ALGORITHM_HMAC_MD52004-1-1 01:53:43 group: OAKLEY_GROUP_MODP10242004-1-1 01:53:43 life-seconds: 1202004-1-1 01:53:43 life-kliobytes: 46080002004-1-1 01:53:43 ISAKMP: attr accept again transform-set ipsec2004-1-1 01:53:43 ISAKMP(17): add inbound sa2004-1-1 01:53:43 2004-1-1 01:53:43 ISAKMP(17): add outbound sa2004-1-1 01:53:43 2004-1-1 01:53:43 ISAKMP(17): Q_SA_SETUP sending packet to 1.1.1.1/隧道没有数据传输后开始开始发送NAT keepalive报文/2004-1-1 01:54:02 ISAKMP(16): NAT-T Keep Alive sending packet to 1.1.1.12004-1-1 01:54:22 ISAKMP(16): NAT-T Keep Alive sending packet to 1.1.1.12004-1-1 01:54:42 ISAKMP(16): NAT-T Keep Alive sending packet to 1.1.1.12004-1-1 01:55:02 ISAKMP(16): NAT-T Keep Alive sending packet to 1.1.1.12004-1-1 01:55:22 ISAKMP(16): NAT-T Keep Alive sending packet to 1.1.1.12004-1-1 01:55:42 ISAKMP(16): NAT-T Keep Alive sending packet to 1.1.1.12004-1-1 01:55:42 ISAKMP(16): ISAKMP-SA expired2004-1-1 01:55:43 ISAKMP(17): IPsec-SA expired/120秒以后lifetime超时开始删除SA/2004-1-1 01:55:43 ISAKMP(17): delete inbound sa /首先删除inbound SA/2004-1-1 01:55:43 2004-1-1 01:55:43 ISAKMP(17): delete outbound sa /然后删除outbound SA/2004-1-1 01:55:43 router#show crypto isakmp policy Protection suite of priority 1 encryption algorithm: 3DES - Triple Data Encryption Standard. hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #2 (1024 bit) lifetime: 120 secondsDefault protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: 86400 secondsrouter#show crypto isakmp sa dst src state state-id conn1.1.1.1 192.168.2.2 Q_SA_SETUP 13 2 ipsec 1 1.1.1.1 192.168.2.2 M_SA_SETUP 12 2 ipsec 1router#show crypto map Crypto Map ipsec 1 ipsec-isakmp Extended IP access list ipsec permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0 peer = 1.1.1.1 PFS (Y/N): Y DH group: group2 Security association lifetime: 4608000 kilobytes/120 seconds Transform sets= ipsec,debug crypto isakmp 可以查看ipsec协商的时候每一步交互的过程方便出现问题的时候进行查看；show crypto isakmp policy显示所有存在的IKE策略，可以看到策略里面的配置的参数和默认的参数；show crypto isakmp sa可以查看存在的isakmp SA，show crypto map可以查看配置的映射表里面配置的参数。注意对于1.33H和之前的软件版本在配置IPsec穿越NAT时需要手工开启NAT协商。新的ipsec版本已经默认开启。3.1.4抓包分析交互过程：R2到NAT设备之间抓包抓包发现R1发起icmp报文去触发ike的协商，R2会发起IKE的协商。主模式第一步：R2作为协商发起者发送的payload中包含Security Association（包含提议）、检测是否支持NAT-T功能的载荷Vendor ID、Vendor ID（NAT-T功能）发送该字段是告诉对方自己支持NAT-T功能。主模式第二步：R1作为协商的响应者发送的payload中包含Security Association（包含一个选定的提议）、Vendor ID，因为自己也支持NAT-T功能响应的时候也会发送Vendor ID（NAT-T 功能）载荷。主模式第三步：交互：Key Exchange（包含 Diffie-Hellman 公开密钥）、Nonce、检测是否存在NAT设备，NAT-D（目标地址和端口）, NAT-D（源地址和端口）主模式第四步：交互：Key Exchange(包含 Diffie-Hellman 公开密钥）、Nonce、Kerberos Token（响应者）、检测是否存在NAT设备，并且确定nat网关的位置。NAT-D（目标地址和端口）, NAT-D（源地址和端口）主模式第五步：交互：Identification、Hash（发起者） NAT-T协商完成，开始使用UDP 4500端口传输数据主模式第六步：交互：Identification、Hash（响应者）快速模式第一步（已加密）交互：Security Association (包含建议，包括对“UDP 封装的隧道”或“UDP 封装的传输隧道”模式的选择)、Identification（包含安全流量描述）、Nonce、NAT-OA快速模式第二步（已加密）交互：Security Association（包含一个选定的建议）、Identification（包含安全流量描述）、Nonce、NAT-OA快速模式第三步（已加密）：此时两个 IPSec 对话方都拥有彼此的原始地址，并根据需要定期发送 NAT-Keepalive 包，同时对 ESP PDU 使用 UDP 封装。NAT keeplive报文：3.2典型配置示例（对应新版本IPsec模块）3.2.1组网需求：某企业总部和分部通过两台路由器实现互联，但由于总部需要和分部建立IPsec VPN通道，总部增加了一台新的路由器用于和分部建立VPN之用，但是又不想改变现有的网络环境，所以把新增的路由器直接挂接在核心交换机下面。现网络环境描述如下：l R2605,R4860都支持IPsec穿越NAT功能l 总部(PC 1)通过交换机接入到R2605的F0/1口,网关地址为192.168.1.1；l 分部(PC 2)通过交换机接入到分部R2605的F0/1口,网关为172.16.1.1；l 总部的R2605的F0/0通过核心交换机连接到总部出口路由器R4860的G0/1口；l 总部R4860通过G0/0口接入互联网，分部R2605通过F0/0口接入到互联网；网络管理员希望通过总部的R2605和分部的R2605通过IPsec VPN建立连接。使用IPsec 穿越NAT功能实现该需求，进行如下配置：l 总部R2605作为NAT inside侧的IPsec设备，R4860作为NAT网关，分部R2622作为分部的IPsec设备；l 总部R2605和分部R2622作为VPN设备，配置ipsec vpn与对端建立IPsec通道。l R4860作为总部的出口路由器配置NAT实现网络地址的转换。组网图如图1 所示图13.2.2典型实例配置：（1）分部R2605配置5.01AR1#!hostname R1!crypto isakmp key 0 bdcom address 0.0.0.0 0.0.0.0 /定义预共享密钥/crypto isakmp nat keepalive 20crypto isakmp policy 10 authentication pre-share encryption 3des group 2 hash md5 lifetime 60!crypto ipsec transform-set ipsec esp-3des esp-md5-hmac /!crypto dynamic-map dmap 10 /定义动态映射注意这里不能指定邻居（即使指定为0.0.0.0 在这个版本里面也不能表明是以任意为邻居）/ match address ipsec set pfs group2set security-association lifetime seconds 180 set transform-set ipsec! crypto map ipsec 10 ipsec-isakmp dynamic dmap!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0crypto map ipsec!interface FastEthernet0/1 ip address 172.16.1.1 255.255.255.0!ip access-list extended ipsec permit ip 172.16.1.0 255.255.255.0 192.168.1.0 255.255.255.0!（2）总部R4860网关配置!hostname R4860!interface GigaEthernet0/0 ip address 1.1.1.2 255.255.255.0 ip nat outside!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip nat inside!ip route default 1.1.1.1ip route default 192.168.2.2!ip access-list standard nat permit 192.168.2.0 255.255.255.0!ip nat inside source list nat interface GigaEthernet0/0！（3）总部R2605配置！hostname R2!crypto isakmp key 0 bdcom address 1.1.1.1 255.255.255.255crypto isakmp nat keepalive 20 /NAT keeplive时间间隔为20s/crypto isakmp policy 10 authentication pre-share /认证方式预共享密钥/ encryption 3des /加密方式为3DES/ group 2 /DH组为2/ hash md5 /哈希方式MD5/ lifetime 60 /第一阶段SA生存时间为60s/!crypto ipsec transform-set ipsec esp-3des esp-md5-hmac /定义变换集合/! crypto map ipsec 10 ipsec-isakmp match address ipsec /匹配感兴趣数据流/ set peer 1.1.1.1 /指定对端邻居/ set pfs group2 /指定pfs的DH组 / set security-association lifetime seconds 120 /第一阶段SA生存时间/ set transform-set ipsec /调用变换集合/!interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0crypto map ipsec /接口下调用映射/!interface FastEthernet0/1 ip address 192.168.1.1 255.255.255.0!ip route default 192.168.2.1!ip access-list extended ipsec /定义感兴趣数据流/ permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0!3.2.3配置信息查看：做好配置后可以使用show run 命令查看整体的配置信息，检查在配置过程中是否有错误或者遗漏的地方。也可以使用其它命令查看配置是否生效，在上面的配置实例中的R2605路由器上使用 debug crypto isakmp， show crypto sa isakmp，show crypto sa ipsec 查看。R2#debug crypto iskamp2005-2-1 13:06:55 ISAKMP: initiate main mode negotiation to 1.1.1.12005-2-1 13:06:55 ISAKMP: build a state 0x01c93ec0 for peer 1.1.1.1, state is MM_OUT_I1 /主模式发起协商方第一步/SKEYID-psk:e2ff82bd2d34c786bf94624d28d51e2/从密钥材料中衍生出的字符串，只有某次交换中的活跃双方才知道/SKEYID-d:b1f04440f19f7d74d24b7ab4c694b0af/非ISAKMP安全联盟用来衍生出密钥所使用的密钥材料/SKEYID-a:c8371a433c1d5fc0a793c3e69e3651 /ISAKMP SA用来验证消息所使用的密钥材料/SKEYID-e:d2d4c361cb425e62c7fa31e1944ed0fa /ISAKMP SA用来保护消息的机密性的密钥材料/SKEYID-iv:1a909840437fd94agi:e17f85d5538ec057f952925ef76a3a5891191aa16fe1928e8b7c5bee23dd4bb50e43c1db5d7f53f8fb89d4e8ddf5a971232863287803b2f46ae6edb5b2105ef7682544764e329e433bc1b2949a03571961646b8b1db2e4a0ea4edb6b0ce05d43c1706d5efb55f491d97bb0d1f8ed30ce495a65822d5382b81b7gr:73f0e842ea3cd8f570ea93fde0c3c4588aa0b0f6d13ece28926bdbc2e6d499d106f58b8c2e507b238ca