CCIE理论-IPSec的主模式和野蛮模式的区别
其实这个不算在数通里面,因为IPsec是安全的技术
突然想到这个就写这个了,面试或者考试会问这个
IPsec有两个版本
今天说的是版本1
有两个阶段
一个是 IKEv1,一个 IKEv2
那么在版本1的阶段1有两个模式
一个叫主模式,一个叫野蛮模式
一般情况下用主模式,野蛮模式用得少 小总结,主模式的话两端固定IP,野蛮模式因为没有固定的公网IP需要用域名(DDNS花生壳) 现在用的比较多的是主模式 为什么?
主模式一共有6个数据包的交互
野蛮模式只有3个包的交互
这个角度来看,野蛮模式更快,更加节省设备的资源
主模式里面,前4个包都是裸奔的,第5个包用来做身份认证,这个是加密的。
但是野蛮模式,有安全风险,他的身份认证是在第一第二个包里, 而且是明文的!!!
但是呢
版本1的IKEV1早期是不支持NAT-T的(NAT穿越),现在都支持了,野蛮模式一直支持
身份认证
主模式,第五第六个包认证
野蛮模式,第一个包和第二个包里面交互,这里面呢有一个问题 如果是用的IP,那没问题,因为每个数据包里面都有IP,五元组,他会在第五个包之前就计算完了 但是如果是ID,主机名hostname,就会在第五第六个包再交互 如果用到了预共享密钥,那么这个要用到认证信息, 所以现实中,用IP的话,两边都没什么问题,如果用IP以外的,主模式会协商失败,就要用野蛮模式了 原文链接:https://blog.csdn.net/weixin_48137911/article/details/128135456?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168449620216800213022052%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=168449620216800213022052&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-1-128135456-null-null.blog_rank_default&utm_term=NAS%E3%80%81%E7%BE%A4%E6%99%96%E3%80%81%E9%98%BF%E9%87%8C%E4%BA%91%E3%80%81%E5%9F%9F%E5%90%8D%E8%A7%A3%E6%9E%90%E3%80%81%E5%86%85%E7%BD%91%E7%A9%BF%E9%80%8F%E3%80%81ipv6%E3%80%81ddns%E3%80%81%E8%BD%BB%E9%87%8F%E7%BA%A7%E4%BA%91%E6%9C%8D%E5%8A%A1%E5%99%A8%E3%80%81%E9%93%81%E5%A8%81%E9%A9%AC%E3%80%81%E5%A8%81%E8%81%94%E9%80%9A%E3%80%81DSM%E3%80%81DSM6.0%E3%80%81%E7%BE%A4%E6%99%96nas%E3%80%81%E4%BA%91%E6%9C%8D%E5%8A%A1%E5%99%A8%E3%80%81%E8%9C%97%E7%89%9B%E6%98%9F%E9%99%85%E3%80%81%E9%BB%91%E7%BE%A4%E6%99%96%E3%80%81docker%E3%80%81%E5%AE%B9%E5%99%A8%E9%95%9C%E5%83%8F%E3%80%81%E5%9F%9F%E5%90%8D%E6%B3%A8%E5%86%8C%E3%80%81%E5%AE%9D%E5%A1%94%E3%80%81%E5%8F%8D%E5%90%91%E4%BB%A3%E7%90%86%E3%80%81nginx%E3%80%81frp%E3%80%81%E5%8A%A8%E6%80%81%E5%9F%9F%E5%90%8D%E8%A7%A3%E6%9E%90
