Я строил IPsec VPN в течение многих лет, но, честно говоря, я никогда полностью не осознавал техническое различие между IKE и ISAKMP. Я часто вижу два термина, которые взаимозаменяемы (вероятно, неправильно).
Я понимаю две основные фазы IPsec и то, что ISAKMP, кажется, имеет дело главным образом с первой фазой. Например, команда IOS «show crypto isakmp sa» отображает информацию об IPsec первой фазы. Но нет эквивалентной команды для IKE.
Ответы:
ISAKMP является частью IKE. (У IKE есть ISAKMP, SKEME и OAKLEY). IKE устанавливает общую политику безопасности и аутентифицированные ключи. ISAKMP - это протокол, который определяет механизм обмена ключами.
Путаница (для меня) заключается в том, что в Cisco IOS ISAKMP / IKE используются для обозначения одной и той же вещи. Под этим я понимаю, что в IKE Cisco используется только ISAKMP. Итак, кто-то настраивает IKE, а затем концептуально внутри него настраивает ISAKMP.
Пожалуйста, проверьте, помогает ли это, я знаю, что я опоздал :)
Да, это из статьи в Википедии, Ассоциации безопасности Интернета и протокола управления ключами , но я не видел пока никаких ссылок на Wiki / RFC здесь в обсуждении.
ISAKMP определяет процедуры для аутентификации взаимодействующего узла, создания и управления Ассоциациями безопасности, методов генерации ключей и снижения угроз (например, отказ в обслуживании и повторные атаки). В качестве основы ISAKMP обычно используется IKE для обмена ключами, хотя были реализованы и другие методы, такие как Kerberized Internet Negotiation of Keys. Предварительный SA формируется с использованием этого протокола; позже новый ключ сделан.
ISAKMP определяет процедуры и форматы пакетов для установления, согласования, изменения и удаления сопоставлений безопасности. SA содержат всю информацию, необходимую для выполнения различных сервисов сетевой безопасности, таких как сервисы уровня IP (такие как аутентификация заголовка и инкапсуляция полезной нагрузки), сервисы транспортного или прикладного уровня или самозащита трафика переговоров. ISAKMP определяет полезные нагрузки для обмена данными генерации ключей и аутентификации. Эти форматы обеспечивают согласованную структуру для передачи ключа и данных аутентификации, которая не зависит от метода генерации ключа, алгоритма шифрования и механизма аутентификации.
ISAKMP отличается от протоколов обмена ключами, чтобы четко отделить детали управления связями безопасности (и управления ключами) от деталей обмена ключами. Может быть много разных протоколов обмена ключами, каждый с разными свойствами безопасности. Однако для согласования формата атрибутов SA и для согласования, изменения и удаления SA требуется общая структура. ISAKMP служит этой общей структурой.
ISAKMP может быть реализован по любому транспортному протоколу. Все реализации должны включать возможность отправки и получения для ISAKMP с использованием UDP на порту 500.
Фактически, IKE, Internet Key Exchange (IKE), является синонимом протокола управления ключами Internet Security Association (ISAKMP).