VPN配置說(shuō)明書(shū)對(duì)IKE協(xié)商階段的描述，VPN配置說(shuō)明書(shū)分為很多內(nèi)容，了解下面的IKE協(xié)商的階段簡(jiǎn)單描述之后就會(huì)讓你輕松學(xué)會(huì)VPN配置說(shuō)明書(shū)的安裝及其相關(guān)設(shè)置。

IKE協(xié)商的階段簡(jiǎn)單描述：

IKE協(xié)商可以和TCP的三次握手來(lái)類比，只不過(guò)IKE協(xié)商要比TCP的三次握手要復(fù)雜一些，IKE協(xié)商采用的UDP報(bào)文格式，VPN配置說(shuō)明書(shū)默認(rèn)端口是500，在主模式下，一個(gè)正常的IKE協(xié)商過(guò)程需要經(jīng)過(guò)9個(gè)報(bào)文的來(lái)回，才最終建立起通信雙方所需要的IPSec SA，然后雙方利用該SA就可以對(duì)數(shù)據(jù)流進(jìn)行加密和解密。下面結(jié)合簡(jiǎn)單描述一下協(xié)商的過(guò)程。

VPN配置說(shuō)明書(shū)假設(shè)A和B進(jìn)行：

VPN配置說(shuō)明書(shū)通信，A作為發(fā)起方，A發(fā)送的第一個(gè)報(bào)文內(nèi)容是本地所支持的IKE的策略（即下面所提到的Policy），該policy的內(nèi)容有加密算法、hash算法、D-H組、認(rèn)證方式、SA的生存時(shí)間等5個(gè)元素。這5個(gè)元素里面值得注意的是認(rèn)證方式，目前采用的主要認(rèn)證方式有預(yù)共享和數(shù)字證書(shū)。

在簡(jiǎn)單的VPN配置說(shuō)明書(shū)應(yīng)用中，一般采用預(yù)共享方式來(lái)認(rèn)證身份。在本文的配置中也是以預(yù)共享為例來(lái)說(shuō)明的?？梢耘渲枚鄠€(gè)策略，對(duì)端只要有一個(gè)與其相同，對(duì)端就可以采用該policy，并在第二個(gè)報(bào)文中將該policy發(fā)送回來(lái)，表明采用該policy為后續(xù)的通信進(jìn)行保護(hù)。

第三和第四個(gè)報(bào)文是進(jìn)行D-H交換的D-H公開(kāi)值，這與具體的配置影響不大。在完成上面四個(gè)報(bào)文交換后，利用D-H算法，A和B就可以協(xié)商出一個(gè)公共的秘密，后續(xù)的密鑰都是從該秘密衍生出來(lái)的。第五和第六個(gè)報(bào)文是身份驗(yàn)證過(guò)程，前面已經(jīng)提高后。

有兩種身份驗(yàn)證方式——預(yù)共享和數(shù)字證書(shū)，在這里，A將其身份信息和一些其他信息發(fā)送給B，B接受到后，對(duì)A的身份進(jìn)行驗(yàn)證，同時(shí)B將自己的身份信息也發(fā)送給A進(jìn)行驗(yàn)證。采用預(yù)共享驗(yàn)證方式的時(shí)候，需要配置預(yù)共享密鑰，標(biāo)識(shí)身份有兩種方式，其一是IP地址，其二是主機(jī)名（hostname）。

在一般的配置中，可以選用IP地址來(lái)標(biāo)識(shí)身份。完成前面六個(gè)報(bào)文交換的過(guò)程，就是完成IKE第一階段的協(xié)商過(guò)程。如果打開(kāi)調(diào)試信息，會(huì)看到IKE SA Establish（IKE SA已經(jīng)建立），也稱作主模式已經(jīng)完成。

IKE的第二階段是快速模式協(xié)商的過(guò)程。VPN配置說(shuō)明書(shū)該模式中的三個(gè)報(bào)文主要是協(xié)商IPSec SA，利用第一階段所協(xié)商出來(lái)的公共的秘密，可以為該三個(gè)報(bào)文進(jìn)行加密。在配置中，主要涉及到數(shù)據(jù)流、變換集合以及對(duì)完美前向保護(hù)（PFS）的支持。

VPN配置說(shuō)明書(shū)在很多時(shí)候，會(huì)發(fā)現(xiàn)IKE SA已經(jīng)建立成功，但是IPSec SA無(wú)法建立起來(lái)，這時(shí)最有可能的原因是數(shù)據(jù)流是否匹配（A所要保護(hù)的數(shù)據(jù)流是否和B所保護(hù)的數(shù)據(jù)流相對(duì)應(yīng)）、變換集合是否一致以及pfs配置是否一致。