建立协商过程

IPSec VPN建立过程中，需要经过两个阶段的协商

ISAKMP/IKE第一阶段称为ISAKMP/IKE的管理连接阶段.使用双向的UDP端口为500的数据连接,来共享IPSEC消息，此阶段有两种模式：主模式和积极模式2种。
在第一阶段建立过程中，主模式执行3步，6个数据包的双向交换.过程如下：
1.对等体间协商如何来保护管理连接.(使用加密变换集来保护)
2.对等体间使用DH算法来共享密钥以及保护连接.
3.对等体间进行彼此的验证.
积极模式执行的过程:
1.交换保护管理连接的策略,DH算法建立公钥/密钥对并在对等体间进行认证.
2.对收到的数据包做验证,DH算法来共享加密的密钥,并查看连接是否成功建立。
PS:除了预共享密钥认证外.其他的认证方式默认为主模式。

ISAKMP/IKE阶段1建立过程：

（1） 交换ISAKMP/IKE传输集

ISAKMP/IKE传输集就是一组用来保护管理连接的安全措施，它主要包括以下几个方面：
1、加密算法：DES,3DES或AES 
2、HMAC功能：MD5或SHA-1 
3、设备验证的类型：预共享秘钥（也可以使用RSA签名等方法） 
4、Diffie-Hellman秘钥组：cisco支持1、2,、5、7（cisco的路由器不支持秘钥组7）
5、管理连接的生存周期。

（2）通过DH算法实现秘钥交换
（3）实现设备之间的身份验证

以思科配置为例：crypto isakmp policy 10 （指定IKE传输集策略 为10）

（范围为1-10000，序列号数值越低，优先级越高）

encr 3des （指定加密算法为3des，默认为DES）

hash md5 （IKE数据包完整性校验的散列算法使用MD5，默认SHA-1）

authentication pre-share （认证方式为预共享密钥，默认为数字签名认证）

lifetime 3600 （配置ISAKMP 建立的SA的寿命）

crypto isakmp key testkey address 1.1.1.1 no-xauth

crypto isakmp key testkey address 2.2.2.2 no-xauth

// testkey=预共享密匙 1.1.1.1=对等体IP

crypto isakmp keepalive 60 5 
//IOS上默认把keepalive服务禁用，当isakmp的keepalive激活后，路由器会间隔发送DPD消息，如果没有收到回应，就会以更高的频率发送DPD信息，当频繁发送并无回应，路由器便会删除这个节点的SA

ISAKMP/IKE阶段2建立过程：

协商IPSEC SA使用的安全参数,创建IPSEC SA,使用AH或ESP来加密IP数据流，这个阶段主要是在两个ipsec对等体间建立数据连接，其主要完成以下任务：
1、定义对等体间需要保护何种流量；
2、定义用来保护数据的安全协议；
3、定义传输模式。
4、定义数据连接的生存周期及秘钥刷新的方式。

crypto ipsec transform-set store esp-3des esp-md5-hmac 
（配置转换具体数据的策略，名字store，封装ESP,加密3DES，完整性校验MD5）
 mode tunnel （模式为隧道模式）
!
crypto map WTC 50 ipsec-isakmp  （静态mrypto map名称为wtc调用的序号为 50（范围1-65535，数值越小，优先级越高））
 set peer 1.1.1.1  （指明对端对等体接口IP地址）
 set transform-set store （具体转换策略为ASW_store）
 match address 116 （感兴趣流为 access-list 序号116）
crypto map WTC 70 ipsec-isakmp 
 set peer 2.2.2.2
 set transform-set store 
 match address 118

  （感兴趣流ACL配置）
 
查看命令：
查看IKE策略
R1#show crypto isakmp policy
 
查看管理连接SA的状态
R1#show crypto isakmp sa
 
查看IPSec传输集
R1#show crypto ipsec transform-set
 
查看数据连接SA的状态
R1#show crypto ipsec sa
 
查看Crypto Map
R1#show crypto map