ESP在两种模式下的封装:
AH-ESP共用:
隧道模式下:
(d)ESP协议加密算法:
ESP能够对IP报文内容进行加密保护,防止报文内容在传输过程中被窥探。加密算法的实现主要通过对称密钥系统,即使用相同的密钥对数据进行加密和解密。 一般来说IPSec使用两种加密算法:DES和3DES。 (e)ESP协议即AH协议的验证算法:
AH和ESP都能够对IP数据包的完整性进行验证,以判别报文在传输过程中是否被篡改。
一般来说IPSec使用两种验证算法:MD5和SHA-1
MD5:MD5输入任意长度的消息,产生128bit的消息摘要; SHA-1:SHA-1输入长度小于2的64次方比特的消息,产生160bit的消息摘要。SHA-1的摘要长于MD5,因而是更安全的。 (f)使用NAT穿越:
在IPSec/IKE组建的VPN隧道中,若存在NAT安全网关设备,则必须配置IPSec/IKE的NAT穿越功能。
消息2:响应者向发起者发送第二条消息,同意第一条消息中的属性,同时,也能
起到确认收到对端消息的作用。
在消息1和消息2中报错可能出现的原因:
(1)双方的模式不匹配(即,可能一端用传输模式,另一端用隧道模式); (2)感兴趣流不对称(如上述消息1中的(d));
消息3:发送方发送第三条消息,其中包含一个HASH,其作用是确认接收方的消
息以及证明发送方处于Active状态(表示发送方的第一条消息不是伪造的)
这一步一旦完成,隧道就建立起来了,用户的数据就能被放入隧道中传递。
本文参考资料:
http://www.360doc.com/content/11/0517/14/706976_117422649.shtml http://www.docin.com/p-549203149.html