一般在什么情况下需要手工配置IPSEC 协商
大神们好!小弟有个疑问一般在什么情况下需要手工去配置IPSEC的协商(比如SPI什么的)。像这种方式是不是已经不进行阶段一的协商了?求大神给小弟解释心中的迷惑。谢谢也是可以的,目前市场上安全产品对于vpn技术的支持都已经很成熟了,如果说要有什么缺陷就是部分厂商在主模式协商中加入一些自己独有的小特性(wei le long duan~~),这样就可能会导致不同厂商自动协商出现问题,所以一般在对接不同厂商时还可以考虑用野蛮模式(会忽略特性)来完成协商。 我们所说的一阶段就是ike sa协商,其过程是双方根据ike这个复合协议自动协商出来的一些信息:安全提议(加密算法、验证算法、加密方式)、密钥素材、身份核验等,这些息都是为第二阶段的ipsec sa来服务的,而ipsec sa协商出来的密钥是最终为数据安全传输提供服务的。而手工配置的方式就不用ike这个协议了(都自己配置,累~~),所以也就没有所谓的ike sa协商阶段了。总结来看ike sa协商的好处就是:1.安全(dh算法);2.周期性的重新计算各类密钥素材(缺省86400),使用于一些组网灵活的大型企业或者有多分支交互(hub-spoke组网)的场景,反过来看手工方式一般就用于规模较小的场景或比较单一的组网。 keluhexiaoq 发表于 2020-11-11 10:05
我们所说的一阶段就是ike sa协商,其过程是双方根据ike这个复合协议自动协商出来的一些信息:安全提议(加 ...
大神你好,是不是还有不同厂商设备之间有时候无法自动协商也需要手工配置啊?谢谢 我的理解你说的是手工去配置IPSEC的协商,是手工设置IPSec使用的密钥吧。不管是什么设备和其他设备协商IPSec VPN,IPSec的协商的的参数(加密算法、身份认证方法、一致检查方法等)都要手工设置,或者设备有内置默认的组合,可以直接使用的。
为什么要用IPSec VPN ,因为传输网络可能有人窃听嘛,所以IPSec IKE里面包括的很多机制最终目标就是在一个不安全的网络上协商出密钥来加密数据包。
第一阶段协商,协商一个加密密钥加密第二阶段协商报文,第二阶段真正协商出数据包加密和一致检查用的密钥。
尽管这些机制有人告诉你,很安全,但是你还是很担心 有超级牛人可以通过窃听协商报文里面的信息能计算出你的加密密钥,那你就在两边设备上手工设置报文加密和一致检查用的密钥,这样不会在网络上有任何协商的报文。
这种方法就是,没法做的定期自动更新密钥了。要改密钥必须手工改。 tanzhy 发表于 2020-11-12 19:44
我的理解你说的是手工去配置IPSEC的协商,是手工设置IPSec使用的密钥吧。不管是什么设备和其他设备协商IPSe ...
谢谢 {:6_267:}{:6_267:}{:6_267:}
页:
[1]