Я будував VPN-адреси IPsec протягом багатьох років, але, чесно кажучи, ніколи не розумів технічну різницю між IKE та ISAKMP. Я часто бачу два терміни, які вживаються взаємозамінно (можливо, неправильно).
Я розумію дві основні фази IPsec, і що, схоже, ISAKMP стосується насамперед першої фази. Наприклад, команда IOS "show crypto isakmp sa" відображає інформацію про IPsec фази. Але немає еквівалентної команди для IKE.
Відповіді:
ISAKMP є частиною IKE. (IKE має ISAKMP, SKEME та OAKLEY). IKE встановлює загальну політику безпеки та автентифіковані ключі. ISAKMP - це протокол, який визначає механіку обміну ключами.
Плутанина (для мене) полягає в тому, що в Cisco IOS ISAKMP / IKE використовуються для позначення того ж самого. Маючи на увазі, я розумію, що IKE Cisco реалізує / використовує тільки ISAKMP. Отже, один конфігурує IKE, а потім концептуально всередині цього, налаштовує ISAKMP.
Будь ласка, перевірте, чи це допомагає, я знаю, що я спізнююсь :)
Так, це зі статті Вікіпедії, Асоціації безпеки в Інтернеті та протоколу управління ключами , але я поки не бачив жодних посилань на Wiki / RFC тут в дискусії.
ISAKMP визначає процедури аутентифікації зв'язку з однолітком, створення та управління Асоціаціями безпеки, методи генерації ключових засобів та зменшення загроз (наприклад, відмова в обслуговуванні та повторна атака). В якості основи ISAKMP зазвичай використовується IKE для обміну ключами, хоча були застосовані інші методи, такі як керберизоване Інтернет-переговори ключів. Попередній SA формується за допомогою цього протоколу; пізніше робиться свіжа клавіша.
ISAKMP визначає процедури та формати пакетів для створення, узгодження, зміни та видалення асоціацій безпеки. SA містять усю інформацію, необхідну для виконання різних служб мережевої безпеки, таких як послуги рівня IP (такі як аутентифікація заголовка та інкапсуляція корисного навантаження), послуги транспортного рівня чи додатку або самозахист переговорного трафіку. ISAKMP визначає корисні навантаження для обміну даними генерації ключів та автентифікації. Ці формати забезпечують послідовну основу для передачі даних ключа та автентифікації, яка не залежить від техніки генерації ключів, алгоритму шифрування та механізму аутентифікації.
ISAKMP відрізняється від протоколів обміну ключами, щоб чітко відокремити деталі управління асоціацією безпеки (і управління ключами) від деталей обміну ключами. Можливо, існує багато різних протоколів обміну ключами, кожен з яких має різні властивості безпеки. Однак для узгодження формату атрибутів SA та для узгодження, зміни та видалення SA необхідна загальна основа. ISAKMP слугує цією загальною основою.
ISAKMP може бути реалізований через будь-який транспортний протокол. Усі реалізації повинні включати можливість відправки та прийому для ISAKMP з використанням UDP на порт 500.
Практично кажучи - IKE, Інтернет-обмін ключами (IKE), є синонімом протоколу управління ключами асоціації Інтернет-безпеки (ISAKMP).