IPSec专线主模式和积极模式的区别

1、交换消息的数量：主模式为6条，而积极模式只有3条，而且情势上也不同。

主模式中，每两条是对称的，也就是对等体都向对方发送相同类型字段的消息，这样的消息交换共分为三次，一共是6条;

而在积极模式中，首先由sa的发起者发送一条消息给sa的接受者，sa的接受者收到第一条消息以后，会将自己的sa协商消息附上签名认证信息后发回给sa的发起者，这是第二条信息，第三条信息再由sa的发起者发送给sa的接受者，这条信息中包括了sa的发起者的签名认证信息。这有点类似于TCP的三次握手。

2、对NAT穿越的支持：这也要视对等体双方的认证方式而定，主要的区分在预同享密钥的情况下。

如果是预同享密钥的情况下，主模式是不支持NAT穿越的，而积极模式可以支持NAT穿越。

而在证书认证的情况下，主模式和积极模式都是支持NAT穿越的。

3、对对等体标识的使用：对主模式，在对等体标识的配置使用上，只能使用ip地址进行标识;而对积极模式，则可使用ip地址还是域名进行对等体的标识。

这也是由于主模式和积极模式的消息交换机制所决定的。主模式中，第1、2条信息中，双方交换了一些协商信息，如加密算法、认证算法(hash)、DH组、认证机制等;在双方交换的第3、4条消息中，双方交换了公共密钥，在交换了公共密钥以后，就能够根据DH算法生成后续所需的密钥了(SKEYID)，其中包括给数据加密的对称密钥。这在DH算法中，需要用到双方定义的预同享密钥。而在一个装备有多个对等体的情况下，装备需要使用ID信息(如域名信息)来判定对应的对等体的预同享密钥，而这个ID信息是在消息5、6中双方才进行交换的，所以装备这时候候只能使用IP地址进行对等体预同享密钥的匹配。所以主模式中没法使用域名信息来进行对等体标识。

TikTok千粉号购买平台：https://tiktokusername.com/