一.引言

原想着在链接：IPSEC VPN详解中把它一起讲完的，害怕一开始体系太大各位理解不了，于是单独拿出来作为一个知识点作为讲解，望大家看完后加强对IPSEC VPN的理解。

二.IKE介绍

Internet密钥交换协议(IKE)，属于一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成。其中：

（1） 因特网安全连接和密钥管理协议ISAKMP包含独特的密钥交换和鉴定部分。

（2）Oakley协议中指定了密钥交换的顺序。

（3）SKEME协议说明了密钥交换的具体方法。

但这些在IPSEC里面我们都不具体了解，我们要知道IKE是为了搭建SA（安全联盟），来在SA基础下对数据包提供安全服务

三.IKE协议与IPSEC VPN的逻辑关系

1.IPSEC的实现基础是SA(安全联盟)，也正是IKE协议动态建立 SA来保障IPSEC的实现。

2.IKE为对等题之间生成并提供密钥，这为IPSEC中的安全协议AH/ESP共同组成加密算法

​

四.SA介绍

定义

安全联盟SA（Security Association）：在ipsec中，俩加密点经过IKE协议协商建立的一种关系，他为双方提供俩用哪种安全协议保护数据安全，应用的算法标识，以及密钥和密钥的生存周期。

与ipsec的关系

SA是IPSEC的基础，也是IPSEC实现的本质

通俗描述

实际上ipsec就是在ipsec对等体之间提供某种约定，或者提供一定的参数，当通信点A与B传递消息时，SA会为其提供约定的工作模式（传输模式或则隧道模式），或则为安全协议提供所需要的密钥。

注意事项

安全联盟时单向的，如果要在俩个对等体之间实现双向通信，那么至少需要建立俩个安全联盟来对俩个方向的数据进行保护。

有趣的是你可以一边设置为AH，一边设置为ESP.

五.IKE的工作流程

目的

想要IPSEC保护业务数据在对等题之间转发，就必须要建立SA（安全联盟），SA的建立方法有多种这里我们采用internet密钥交换（IKE）的方法动态建立SA。具体工作流程分为阶段一和阶段二来实现。

阶段一

主模式

解析：

一二步重点在于交换协商各种策略（加密算法，认证方法，SA存活时间），为后续IPSEC SA的建立打下基础

三四步重在与交换并生成密钥，为后续的使用做下铺垫

五六步就用前面产生的密钥相互认证，从而互相认证对方，从而建立ISAKMP SA.

野蛮模式

解析：

第一步传过去就有了各种策略（加密算法，认证方法。。。）

第二步回包确认策略，并发送“认证散列值”来（hash）

第三步返回所确认的散列值，确认一致性

比较俩者区别：

阶段二

解析：阶段二采用快速模式，在第一阶段协商的ISAKMP SA的基础上去再次协商各自安全参数（加密算法，hash算法，安全协议，封装模式，存活时间）从而升级为IPSEC SA，达成建立最终SA（安全联盟）的目的。

六.检验分析

第一阶段检验：

第二阶段检验：

七.尾言

以上为基于IPSEC讲解的IKE协议知识点，望大家能结和IPSEC VPN详解去理解他，去理解IKE的实现目的和方式，望大家能好好掌握！！！加油