IKE協商第二階段快速模式協商過程

今天帶大家了解一下IKE協商第二階段快速模式協商過程。

第二階段共産生3個互動封包，都是被第一階段的ISAKMP/IKE SA中的加密算法、驗證算法所保護，IKE協商第二階段的目的是産生最終用于加密和驗證IP資料封包的IPSec SA。

lPSec SA包含通信的IPSec實體雙方使用ESP還是AH，對何種IP封包實施保護，雙方加密和驗證的密鑰等。IPSec通信實體雙方對于上述參數必須達成一緻，否則IKE第二階段協商将無法通過。同時為降低密鑰之間的關聯性，第二階段重新進行DH交換，并計算出新的共享密鑰，進而計算出IPSec SA中用于加密和驗證的密鑰。

第1個ISAKMP封包攜帶RA所配置的IPSec保護政策，即使用ESP還是AH、采用什麼模式、加密IP資料使用什麼加密算法、驗證IP資料使用什麼算法、對什麼樣的資料流進行保護等