IKEv1和IKEv2對比，場景和原理

IKEv1 VS IKEv2：

IKEv2更快，引入了EAP，支持遠程接入解決方案，整合了多個技術，比如DPD NAT-T。支持消息確認，感興趣流協商，抵御DDOS攻擊(源認證，生成一個根據時間產生的cookie值，讓對方下次發送帶這個cookie值)

IKEv2沒有主模式和野蠻模式，正常情況使用2次交換共4條消息即可完成協商IKE SA和IPSec SA

Message3 : HDR,SK{IDi,證書,和證書請求,IDr,AUTH,SAi2,TSi,TSr}

SK:加密載荷 證明{}中是加密的

IDi:主模式第五個包的ID

IDr:發送方ID

AUTH:相當于主模式第五個包的HASH_i???

SAi2:快速模式的IPSec的Proposal

TSi,TSr:感興趣流（V2感興趣流可以協商）

IKEv2，B驗證A的身份主要有三種方式：如果是預共享秘鑰的方式 ，B通過驗證AUTH字段，是一個HASH值，HASH的內容是ID值、skeyid，前面交互過的值

如果B計算出來的AUTH值和A發送過來的AUTH值，就驗證成功了A的身份；

如果是數字證書：1.B獲得CA證書? 2.B驗證CA證書合法性(CA頒發的證書為合法證書,檢查CA用私鑰加密的"簽名")? 3.身份驗證(通過AUTH值，通過證書中A的公鑰解密AUTH。B自己計算一次AUTH，相同則為A)

1.協議建立區別：

IKEv1分為兩個階段，第一階段分為兩個模式：主模式和野蠻模式，主模式協商6個報野蠻模式3個包協商IKE SA，協商IPSec SA需要3個包，

而IKEv2協商IKE? SA和IPSec SA只需要4個包，協商速度更快

正常情況IKEv2協商一對IPSec SA只需要2(協商IKE SA)+2(協商IPSec SA)=4條消息。后續每建立一對IPSec SA只會增加2條消息

2.終端接入區別

增加了EAP方式的身份認證。IKEv2通過EAP協議解決了遠程接入用戶認證的問題，徹底擺脫了L2TP的牽制。IKEv2已經廣泛引用于遠程接入網絡中了

IKEv2增加EAP身份認證，支持遠程訪問接入，而IKEv1不支持，需要結合L2TP進行認證

3.IKEv2整合多個技術,dpd,nat-t

虛擬專用網絡 VPN

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。