IKE简介

安全联盟SA：

定义： 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定，包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。

为什么要实施?

实施的最大动机是省钱。

虚拟专用网络的分类：

虚拟专用网分类方法很多。

1. 站点到站点的虚拟专用网

   ATM，Rrame Relay， GRE， MPLS 虚拟专用网 ， IPSec 虚拟专用网。

   常用的是IPSec 虚拟专用网 。

谁来告诉CPU读写内存

我们第一个要搞清楚的问题是：谁来告诉CPU去读写内存？答案很明显，是程序员，更具体的是编译器。CPU只是按照指令按部就班的执行，机器指令从哪里来的呢？是编译器生成的，程序员通过高级语言编写程序，编译器将其翻译为机器指令，机器指令来告诉CPU去读写内存。在精简指令集架构下会有特定的机器指令，Load/Store指令来读写内存，以x86为代表的复杂指令集架构下没有特定的访存指令。精简指令集下，一条机器指令操作的数据必须来存放在寄存器中，不能直接操作内存数据，因此RISC下，数据必须先从内存搬运到寄存器，这就是为什么RISC下会有特定的Load/Store访存指令，明白了吧。

这里相对openswan的性能做个简单的说明。为什么要介绍这个话题呢？

其实最主要的原因还是想openswan的性能到底如何、极限是多少隧道、会有哪些瓶颈等等？ 比如某个项目，客户需要设备支持1000条隧道，那么首先要考虑自己的产品能否支持到这么多？也就是说需要知道自己的实力。如果不考虑这些实际的问题，只一味的接项目，那么最可能的结果就是白白投入这么多的人力物力时间，最终对于公司来说收效甚微。

IKE端口浮动

IPsec在隧道建立第一第二阶段主要进行加密方式、加密策略等信息的协商，这部分功能是通过IKE协议来实现的。 IKE协议默认端口为500，但是如果IPsec隧道传输路径上存在NAT设备，那么IKE的端口会从500浮动到4500端口，这样做最主要的目的是：

前几天和同事讨论IKE密钥交换流程时，提到了Diffie-Hellman交换。DH算法最主要的作用便是在不安全的网络上成功公共密钥(并未传输真实密钥)。但由于对于DH算法的数学原理则不清楚，因此私下对DH算法进行一个简单学习。

在IPSEC通信中涉及到一个重要方面，那就是如何定义要保护的数据流（又称为感兴趣流）。这不仅涉及到IPSEC最终要保护哪部分数据，还关系到IPSEC的实现方式，因此有必要把感兴趣流的定义方式进行详细说明。

严格地说，只能是隧道模式下的ESP才能穿越NAT。

首先需要了解的是IPSEC的作用，即数据的机密性、完整性、认证性。

• 机密性就是保证数据包的原始内容不被看到；

• 完整性即保证数据包的内容不会被修改；

• 认证性保证数据来自被信任的客户端。