压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　IPsec VPN主要有主模式(MAIN node)和積極模式(aggressive mode)。

　　主模式和積極模式的信息交換機制不同。

　　主模式有6條消息要交換，2個一組對稱。主模式中，第1、2條信息中，雙方交換了一些協商信息，如認證算法(hash)、加密算法、DH組、認證機制等。第3、4條信息中，雙方交換了公鑰，在交換了公鑰之后，就可以根據DH算法生成后續所需的密鑰了（SKEYID），其中包括給數據加密的對稱密鑰。第5、6條消息中交換ID，這個ID就是域名這類信息。

　　我們回到第3、4條信息，提到了根據DH算法生成后續密鑰，這里是個關鍵，在DH算法中，需要用到雙方定義的預共享密鑰，而當一個設備有多個對等體的情況下，就是說有多個VPN隧道的時候，設備需要使用ID信息（比如域名）來判定對應的對等體的預共享密鑰，而這個信息是在第5、6條里面，這豈不是來不及了，那么也就是說這時候只能使用IP信息來判斷多個對等體，然后匹配共享密鑰。

　　這就是主模式下，使用共享密鑰配對的時候，只能使用IP地址的原因。

　　而積極模式使用的是類似TCP3次握手的信息交換模式。交換的是3條信息。

　　首先由sa的發起者發送一條信息給sa的接受者，sa的接受者收到第一條信息以后，會將自己的sa協商消息附上電子簽名認證信息后發回給sa的發起者，這是第二條信息，第三條信息再由sa的發起者發送給sa的接受者，這條信息中包含了sa的發起者的簽名認證信息。

　　對于DH組，雙方沒有協商就進行了DH信息的交換，是固定的。

　　由于其在第一條信息交換時就發送了對應的ID信息，sa的接收方可以根據該ID信息匹配對應的預共享密鑰，從而計算對應的SKEYID。因此積極模式是可以使用除IP地址以外的域名來進行對等體標識的。但是由于積極模式中，是在加密身份信息的安全sa建立之前就進行了身份信息的交換，所以交換的消息都是明文的，ID信息也是明文的，這帶來了安全隱患。