IPSec专线主模式和积极模式的区别
1、交换消息的数量:主模式为6条,而积极模式只有3条,而且情势上也不同。
主模式中,每两条是对称的,也就是对等体都向对方发送相同类型字段的消息,这样的消息交换共分为三次,一共是6条;
而在积极模式中,首先由sa的发起者发送一条消息给sa的接受者,sa的接受者收到第一条消息以后,会将自己的sa协商消息附上签名认证信息后发回给sa的发起者,这是第二条信息,第三条信息再由sa的发起者发送给sa的接受者,这条信息中包括了sa的发起者的签名认证信息。这有点类似于TCP的三次握手。
2、对NAT穿越的支持:这也要视对等体双方的认证方式而定,主要的区分在预同享密钥的情况下。
如果是预同享密钥的情况下,主模式是不支持NAT穿越的,而积极模式可以支持NAT穿越。
而在证书认证的情况下,主模式和积极模式都是支持NAT穿越的。
3、对对等体标识的使用:对主模式,在对等体标识的配置使用上,只能使用ip地址进行标识;而对积极模式,则可使用ip地址还是域名进行对等体的标识。
这也是由于主模式和积极模式的消息交换机制所决定的。主模式中,第1、2条信息中,双方交换了一些协商信息,如加密算法、认证算法(hash)、DH组、认证机制等;在双方交换的第3、4条消息中,双方交换了公共密钥,在交换了公共密钥以后,就能够根据DH算法生成后续所需的密钥了(SKEYID),其中包括给数据加密的对称密钥。这在DH算法中,需要用到双方定义的预同享密钥。而在一个装备有多个对等体的情况下,装备需要使用ID信息(如域名信息)来判定对应的对等体的预同享密钥,而这个ID信息是在消息5、6中双方才进行交换的,所以装备这时候候只能使用IP地址进行对等体预同享密钥的匹配。所以主模式中没法使用域名信息来进行对等体标识。
