阳光梦的专栏

Host-Only（仅主机模式）Bridged（桥接模式）NAT（网络地址转换模式）

发起方在 IKE 消息中插入 Vendor ID（VID）载荷，用于告知对方自身支持 NAT Traversal（NAT-T）能力。若双方在 IKEv1 交换过程中均声明支持 NAT-T，则后续可以进行 NAT 探测并在需要时启用 NAT-T；若任一方不支持 NAT-T，则 IKE 协商仍可继续，但不能启用 NAT-T 功能（是否终止取决于策略配置）。完成NAT-T检测和NAT网关探测后，如果发现NAT网关，则后续UDP报文端口号修改为4500。消息 3：NAT 探测（NAT-D 载荷交换）

分公司：对外地址是192.168.147.20，保护子网是192.168.30.20。总部：对外地址是192.168.147.10，保护子网是192.168.10.10。除了给总部ipsec设备下发配置，同时给分公司ispec设备下发配置。在总部ispec设备上执行脚本，

使用三台VMware虚拟机搭建环境：客户端设备和ipsec网关设备上编译strongswan见 https://blog.youkuaiyun.com/ygm_linux/article/details/156592285。实验拓扑参考：https://docs.strongswan.org/docs/latest/config/IKEv2.html。开源ipsec参考：https://github.com/strongswan/strongswan。

我们源码使用 strongswan-6.0.4。

实验拓扑参考：https://docs.strongswan.org/docs/latest/config/IKEv2.html。开源ipsec参考：https://github.com/strongswan/strongswan。

模式SA/SP 管理数据包处理核心机制优点缺点典型场景Netlink内核态内核态 ESP/AHLinux 原生 XFRM Netlink 接口1. 性能最好2. 支持全部 XFRM 功能3. 支持实时监控仅限 Linux 系统现代 Linux 生产环境首选PF_KEY内核态内核态 ESP/AHPF_KEYv2 套接字（POSIX 标准接口）1. 跨平台，支持 BSD / Linux2. 协议标准化需要内核支持 PF_KEY性能略低需要兼容 BSD 或老旧 Linux 系统。

采用IKEv2协商安全联盟比IKEv1协商过程要简化的多。要建立一对IPsec SA，IKEv1需要经历两个阶段——“主模式＋快速模式”或者“野蛮模式＋快速模式”。前者至少需要交换九条消息，后者至少需要交换六条消息。而IKEv2在正常情况下仅需要进行两次双向交换（共涉及四条消息）就可以完成一对IPsec SA的建立，后续每新增一对IPsec SA只需额外增加一次（涉及两条消息）即可完成。

采用IKEv1协商安全联盟主要分为两个阶段。建立IKE协议本身使用的安全通道建立一对用于数据安全传输的IPsec SA。

首先理解IKE，AH和ESP封装，传输模式和隧道模式。

场景描述：连接两个物理上分离的局域网，如总部(北京)与分公司(西安)实现局域网互通互联。如何工作：在两个站点的边界网关（如防火墙、路由器）之间建立IPsec隧道，公司人员可以直接局域网访问设备。，就像两个站点通过一条专线直接连接一样。优点：替代昂贵的专线，利用低成本互联网实现安全互联，整合网络资源。