IKEv2个人学习笔记.pdf

IKEv2 个人学习笔记 目 录 1.IKEv2 理论2 1.1 Flex VPN 的优点2 1.2 简介2 1.2.1 IKEv2 介绍与改变2 1.2.2 V2 和V1 的对比3 1.2.3 IKEv2 第一对包交换（INIT）4 1.2.4 IKEv2 第二对包交换（AUTH）5 1.2.5 information Exchanges(信息交换)6 2.IKEv2 实验之crypto map7 3.IKEV2 实验之SVTI9 4.IKEV2 实验-SVTI 之双向证书认证10 5.IKEV2 实验-SVTI 之 证书认证+预共享密钥12 6.IKEV2 实验-client to server DVTI14 7.IKEv2 实验之-Spoke to Spoke17 8.IKEV2 实验-anyconnect to ASA22 第1 页 IKEv2 个人学习笔记 1.IKEv2 理论 IKEv2 其实就是思科所说的FLEX VPN。包含了站点到站点，远程访问，星形 拓扑、spoke-spoke 等等。思科统一专称为FLEX VPN。 1.1 Flex VPN 的优点 A．统一的CLI 命令行 B.统一的架构：使用IOS 点对点的隧道接口 C.统一的特性：很多特性都可以在技术里互用。比如AAA、config-mode、 动态路由协议、IPV6。比如cof-mode，在思科的EZVPN 的确1.5 阶段的， 现在已经是一个标准了。 D.使用默认策略配置更加简单。有很多默认的策略。比如第一阶段的策略， 第二阶段的策略、转换集等都有默认的了。 E.符合IKEv2 标签，可以和非CISCO 设备兼容。由此可以看出，IKEv2 是为 了实现厂商兼容性。因为很多厂商的设备都有自己的VPN。比如ezvpn， 根本无法其它厂商设备兼容。唯一能兼容其它的可能就只有crypto map 的配置方式了。 D.易于学习和管理，没啥感觉，命令多得一B。烦得很。而且V2 和V1 是完 全不兼容的。 1.2 简介 1.2.1 IKEv2 介绍与改变 和V1 一样，也是使用UDP500 端口。但是不再存在esp 和AH 的流量了。因 为在后续的流量中，统一流量都是UDP4500 传输了。也就是说，用NAT-T 传输了。 所以在IKEV2 的环境里，不再担心啥NAT 环境了。因为有UDP 端口了嘛。 第1 页 IKEv2 个人学习笔记 如上图： 比如什么DPD、mode-config、NAT-T 等等这些技术，都不是标准技术的，而 在ikev2 里，这些全部是标准技术了。这样子厂商的兼容性效果将会更好。 由图中可以看出，IKEv2 改变了包交换的模式。 1.2.2 V2 和V1 的对比 在IKEv1 里，一般都需要9 个包交换，除了EZVPN VPN 预共享密钥6 个包除 第1 页 IKEv2 个人学习笔记 外。而在IKEv2 里，最少4 个包就可以完成VPN 建立了，因此就产生一对的IPSEC SA 了。由此可以看出，IKEv2 更精简了。但是事实并不是这样啵，只是最小的情 况下而已，但是如果要加其它的认证什么的话，包的数量就会增加的。看环境而 定。 1.2.3 IKEv2 第一对包交换 （INIT） A.IKE_SA_INIT 的第一个包： 发起双方提供基本的SA 参数，和密钥交换材料。也就是等同于IKEV1 里 的第一和第三个包。 如上图： HDR：表示IKE 头部。