VPN配置說明書對IKE協(xié)商階段的描述，VPN配置說明書分為很多內(nèi)容，了解下面的IKE協(xié)商的階段簡單描述之后就會讓你輕松學(xué)會VPN配置說明書的安裝及其相關(guān)設(shè)置。

IKE協(xié)商的階段簡單描述：

IKE協(xié)商可以和TCP的三次握手來類比，只不過IKE協(xié)商要比TCP的三次握手要復(fù)雜一些，IKE協(xié)商采用的UDP報文格式，VPN配置說明書默認(rèn)端口是500，在主模式下，一個正常的IKE協(xié)商過程需要經(jīng)過9個報文的來回，才最終建立起通信雙方所需要的IPSec SA，然后雙方利用該SA就可以對數(shù)據(jù)流進行加密和解密。下面結(jié)合簡單描述一下協(xié)商的過程。

VPN配置說明書假設(shè)A和B進行：

VPN配置說明書通信，A作為發(fā)起方，A發(fā)送的第一個報文內(nèi)容是本地所支持的IKE的策略（即下面所提到的Policy），該policy的內(nèi)容有加密算法、hash算法、D-H組、認(rèn)證方式、SA的生存時間等5個元素。這5個元素里面值得注意的是認(rèn)證方式，目前采用的主要認(rèn)證方式有預(yù)共享和數(shù)字證書。

在簡單的VPN配置說明書應(yīng)用中，一般采用預(yù)共享方式來認(rèn)證身份。在本文的配置中也是以預(yù)共享為例來說明的?？梢耘渲枚鄠€策略，對端只要有一個與其相同，對端就可以采用該policy，并在第二個報文中將該policy發(fā)送回來，表明采用該policy為后續(xù)的通信進行保護。

第三和第四個報文是進行D-H交換的D-H公開值，這與具體的配置影響不大。在完成上面四個報文交換后，利用D-H算法，A和B就可以協(xié)商出一個公共的秘密，后續(xù)的密鑰都是從該秘密衍生出來的。第五和第六個報文是身份驗證過程，前面已經(jīng)提高后。

有兩種身份驗證方式——預(yù)共享和數(shù)字證書，在這里，A將其身份信息和一些其他信息發(fā)送給B，B接受到后，對A的身份進行驗證，同時B將自己的身份信息也發(fā)送給A進行驗證。采用預(yù)共享驗證方式的時候，需要配置預(yù)共享密鑰，標(biāo)識身份有兩種方式，其一是IP地址，其二是主機名（hostname）。

在一般的配置中，可以選用IP地址來標(biāo)識身份。完成前面六個報文交換的過程，就是完成IKE第一階段的協(xié)商過程。如果打開調(diào)試信息，會看到IKE SA Establish（IKE SA已經(jīng)建立），也稱作主模式已經(jīng)完成。

IKE的第二階段是快速模式協(xié)商的過程。VPN配置說明書該模式中的三個報文主要是協(xié)商IPSec SA，利用第一階段所協(xié)商出來的公共的秘密，可以為該三個報文進行加密。在配置中，主要涉及到數(shù)據(jù)流、變換集合以及對完美前向保護（PFS）的支持。

VPN配置說明書在很多時候，會發(fā)現(xiàn)IKE SA已經(jīng)建立成功，但是IPSec SA無法建立起來，這時最有可能的原因是數(shù)據(jù)流是否匹配（A所要保護的數(shù)據(jù)流是否和B所保護的數(shù)據(jù)流相對應(yīng)）、變換集合是否一致以及pfs配置是否一致。