IPSec主模式和主动模式的区别
主模式和主动模式区分
他们都是就方案得第一阶段IKE的协商而言。主模式中双方三层交换信息,总共六个包。简单说下1、2个包协商加密和认证算法。3、4个包DH交换。5、6个包提供身份和密钥的验证。主动模式(即你说的蛮横模式)双方进行两次交换,总共三个包。1.包发起方建议SA,发起DH交换。2.包接收方接受SA。3.包发起方认证接受方。这是IKE协商方面的一些差别,另外,在主动模式中数据包是在明文中进行交换的,不提供身份保护,而主模式则不然。
分别在甚么环境下采取?
IKE蛮横模式和主模式的理论上的区分在与进行IKE协商的时候,所采取的协商方式不同,具体在于,IKE主模式在IKE协商的时候要经过三个阶段:SA交换、密钥交换、ID交换和验证。IKE的蛮横模式只有两个阶段:SA交换和密钥生成、ID交换和验证。
在实际利用中,一般情况下,IKE的主模式适用于两装备的公网IP固定、且要实现装备之间点对点的环境。对例如ADSL拨号用户,其取得的公网IP不是固定的,且可能存在NAT装备的情况下,采取蛮横模式作NAT穿越,同时,由于IP不是固定的,用name作为idtype,总部采取模板的方式接收分支的IPSEC接入。
