IPSec 主模式、快速模式、预共享密钥(5)

CISCO文档

暂时不会被使用，直到有新的VPN连接建立时或IPSEC SA加密密钥超时时，才会用第一阶段的策略重新生成并传递新的加密数据和认证的密钥。

4， 加密5-9消息的密钥SKEYID_e =PRF(SKEYID, SKEYID_a| gab |CKY-i|CKY-r|2)

5， 真正加密数据的密钥用于入口的IPSec SA 的IPSec会话密钥=PRF(SKEYID_d,portocol(ISAKMP),新的共享密钥,SPIr,Ni',Nr')

用于出口的IPSec SA 的IPSec会话密钥=PRF(SKEYID_d,portocol(ISAKMP),新的共享密

钥,SPIi,Ni',Nr')

6， 第一阶段配置的 加密算法 是 加密5-9个包的算法。不是用户数据的加密算法。

7， 如果穿越的是路由，则在放行UDP 500号端口的基础之上，还需要放行UDP的4500号端口。 8，如果穿越的是防火墙，刚在放行UDP 500号端口的基础之上，还需要放行ESP协议

9，这个阶段要协商的SA是密钥交换协议最终要协商的IPSEC SA，当IKE为IPSec协商时

可以称为IPSec SA，是保证AH或者ESP的安全通信。阶段2的安全由阶段1的协商结果

来保证。阶段1所协商的一个SA可以用于协商多个阶段2的SA。

第1个包协商IP sec SA的策略，建立IP sec的安全关联，

在IKE SA协商进行认证的基础上，产生新的Key再次进行双方的认证