ESP处理流程

出方向（传输模式）

1.插入ESP头部并填充相应字段 2.选择SA进行加密 3.Hash 插入ESP尾部 4.重算IP头部校验和

入方向

1.检查SA是否存在 2.序列号是否有效 3.数据包完整性和源验证 4.解密

5.有效性验证（模式是否匹配） 6.传送模式（查询路由表 转发）

对分片的处理：默认 先分片再加密

AH（Authentication Header） AH 协议号：51 不支持加密

不支持NAT IKE

负责在两个IPSec对等体间协商一条IPsec隧道的协议

协商协议参数 交换公共密钥 对双方进行认证 在交换后对密钥进行管理

IKE三个组成部分（混合协议） SKEME：（定义一种密钥交换方式）

Oakley：（对多模式的支持，例如对新加密技术，并没有具体定义交换信息） ISAKMP：定义了消息交换的体系结构，包括两个IPsec对等体间分组形式和状态 （定义封装格式和协商包交换个方式）

三个模式

主模式，主动模式，快速模式

主动模式：预共享密钥的远程拨号VPN（降低PC的资源消耗） 主IKE 1阶段1-2个数据包模式：其余所有

---------------------------------------------------------

Phase 1 SA（ISAKMP SA/双向）：用于认证（吃饭） 主模式（6个包） 主动模式（3个包）

| | | | ----------------------------

| 新的IPsec隧道或者rekey ----------------------------

Phase 2 SA (IPSEC SA) Phase 2 SA (IPSEC SA/单向) （签合同） 快速模式（3个包） 快速模式 | |

A<---受保护的数据--->B c<---受保护的数据--->d ----------------------------------------------------------

第一阶段：认证

第二阶段：协商具体流量的处理办法

IKE 1阶段主模式第1-2个数据包（明文）

交换IP地址（设置对端）和策略（认证方式、HASH认证、加密5-9个包，DH组，Key life）

发送方将自己的策略全部交给接收方，接收方根据序号匹配自己的策略，然后将相同的策略交给发送方

IKE 1阶段主模式第3-4个数据包（明文） 交换DH公共值

IKE 1阶段主模式第5-6个数据包（密文） 双方认证初始化设备

IKE 1阶段主动模式第1-2个数据包（明文）

=主模式1-6个包，但认证的信息是通过hash明文显示

IKE 1阶段主动模式第3个数据包 确认

IKE 2阶段快速模式3个数据包 基于感兴趣流

1.提交发送方对实际流量处理策略 2.接受方匹配并返回策略 3.确认