IKE建設立SA
有SA就可以用ESP和AH了
第一階段是認證,認識,交換名片
主動模式在CISCO用的少,只有在遠程撥號預共享的方式下才用,其它的都是主模式;它的目的是降低客戶端CPU的利用率;3個包全部是加密的
第二階段的建立過程是3個包,
1 發起方給接收方再一次認證,一般不會出錯
2 交換安全策略,用可以接受的作迴應,
1 感興趣的數據流
2 加密
3 HASH
4 ESP/AH
5 模式 ESP/AH
6 時間 默認是一個小時.
過程:
感興趣的數據流à查路由表à進遂道道口à撞上mapà加密(會用加密點[也就是peer]作爲一個新的頭部)à查路由à轉發