vpn ike1和ike2的协商过程

本文格式为Word版，下载可任意编辑——vpnike1和ike2的协商过程

Vpnike协商过程和vpn命令解释

发现很都学ccnp以及好多学完ccnp的人对远程这门课都不是十分的好，特别是vpn这门课。哈哈，在我潜伏了n天ccsp后对vpn也算有了个更加全面和具体的了解（绝对不能说精通啊），这里把vpn的ike协商过程极其配置说明和相映的命令解释下，希望对大家理解vpn有一定的帮助，至于试验解析会在rs试验文档区补上这里就不再写了。

一、IKE协商过程描述：

IKE协商采用的UDP报文格式，默认端口是500，在主模式下，一个正常的IKE协商过程需要9个报文，才最终建立起通信双方所需要的IPSecSA（安全关联），然后双方利用该SA就可以对数据流进行加密和解密。

假设A和B进行通信，A作为发起方，A发送的第一个报文内容是本地所支持的IKE(internetkeyexchang)的策略（即下面所提到的Policy），该policy的内容有加密算法（保护数据）、hash算法（生成一个散列确保数据没被改动）、D-H组（就是密钥）、认证方式、SA的生存时间等5个元素。这5个元素里面值得注意的是认证方式，目前采用的主要认证方式有预共享和数字证书。在简单的VPN应用中，一般采用预共享方式来认证身份。在本文的配置中也是以预共享为例来说明的。可以配置多个策略，对端只要有一个与其一致，对端就可以采用该policy。（诶~说白了不就是策略可以有多个吗，只要两边有一个一样就可以拉。）

并在其次个报文中将该policy发送回来，说明采用该policy为后续的通信进行保护。这里正好说明白其实ike1阶段里协商出来的密钥是为了给ike2阶段使用的。

第三和第四个报文是进行D-H交换的D-H公开值，这与具体的配置影响不大。在完成上面四个报文交换后，利用D-H算法，A和B就可以协商出一个公共的机要，后续的ike阶段2的密钥就是从这里延伸出来的，当然是用延伸出来的密钥来对数据进行加密和解密咯。

第五和第六个报文是身份验证过程，前面已经提高后，有两种身份验证方式——预共享和数字证书，在这里，A将其身份信息和一些其他信息发送给B，B接受到后，对A的身份进行验证，同时B将自己的身份信息也发送给A进行验证。采用预共享验证方式的时候，需要配置预共享密钥，标识身份有两种方式，其一是IP地址，其二是主机名（hostname）。在一般的配置中，可以选用IP地址来标识身份。完成前面六个报文交换的过程，就是完成IKE第一阶段的协商过程。（哇~~~哈哈，ike第一阶段就用了6个报文，主要的作用就是验证对方然后协

商出一个公共密钥，当然还要等于说是协商出一个通道咯，哈哈，就是tmd的简单啊）

假使开启调试信息，会看到IKESAEstablish（IKESA已经建立），也称作主模式已经完成。Ike是主动模式。

IKE的其次阶段是快速模式协商的过程。该模式中的三个报文主要是协商IPSecSA，利用第一阶段所协商出来的公共的机要，可以为该三个报文进行加密。在配置中，主要涉及到数据流、变换集合以及对完美前向保护（PFS）的支持。在好多时候，会发现IKESA（也叫isakmapsa）已经建立成功，但是IPSecSA无法建立起来，这时最有可能的原因是数据流是否匹配（A所要保护的数据流是否和B所保护的数据流相对应）、变换集合是否一致以及pfs配置是否一致。

二：

其实在知道了整个的vpn的ike协商过程后就不难配置vpn了，由于我们可以依照ike的协商过程来配置vpn，那么如下将会具体的讲解如何配置一个ipsec的vpn。1：配置ike策略，其实这个就是在配置ike主动模式下的相关参数譬如加密算法，hash算法，认证方式，dh组，sa的生存周期Enable

Configureterminal

Cryptoisakmpenable(首先开启isakmp)Cryptoisakmppolicy10EncryptiondesHashmde

Authenticationper-shareGroup1Lifetime100Exit

Cryptoisakmpkey0cisocaddress172.16.11.2255.255.255.0

哈哈，到这里ike1的策略就搞定了，哈哈简单吧，不要不相信就是这么简单，这些配置的参数就是ike1号阶段发送第一个包里的相关的参数，我们只要定义下就好了。2：

可能你觉得这个时候该配置第2个包的参数了，不过很惋惜，第2个包并不需要配置什么参数，他是在第一个包发送出去后经过协商后再反发个policy，告诉你这个policy通过了可以为后续的通信进行保护，说白了就是ike2吗。

3：那么探讨完第2个包后明显的探讨第3和第4个包了，哈哈又是很不辛的是第34个包也不需要定义，由于他在通过dh的交换和公开在算出第一个密钥。

4：再接着探讨第5和第6个包了，哈哈还是不用探讨，由于这个时候开始验证对方…………感觉到了其实只要搞明白ike1和2的过程配置vpn就是这么简单。

5：在这里整个的ike1号阶段的主动模式就算是终止了，那么下面自然的进入了ike的2阶段也要快速模式，当然这里最终的3个包其实也不要去详细的探讨，但要注意的是这里有3个参数是必需要通过命令行来设置的：第一个参数是对等体，交换集，以及pfs设置。那么我们先来定义感兴趣流：

Access-list100permitip1.1.1.0255.255.255.02.2.2.0255.255.255.0

那么接着我们设置交换集

Cryptoipsectransform-setr1vpnesp-desesp-md5-hmacModetunnelExit6：到这里可能你觉得是不是就终止了由于ike1和ike2已经被我门全部的都设置好了，但实际配置作到这里远远的没有终止，由于现在你还没有将你定义的感兴趣流和你的交换集想绑定，那么下面很简单的就是利用配置将他们绑定在一起。

Cryptomapr1map1isakmp-ipsecMatchaddrss100Setpeer2