IPsec 流程
当对VPN做数据中转时,如果中转需要变更端口,nat环境对应端口一般是4500,直连端口是500
详细资料 https://wenku.baidu.com/view/7f588e1c5f0e7cd184253650.html
百度百科词条 https://baike.baidu.com/item/ipsec
IPsec(Internet Protocol Security)是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
IPsec主要由以下协议组成:
一、认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护;
二、封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;
三、安全关联 SA(Security association),包含了加密模式与加密算法,安全加密金钥等数据包,提供AH、ESP操作所需的参数。
第一阶段通过IKE协议建立SA安全通道之后,然后开始协商IPsec SA(CHILD_SA),进行AH数据认证和用CHILD_SA 进行ESP加密通信
IPsec 的ESP协议只能一对一建立通道,无法在NAT环境下进行多台机器同时ESP通信,需要一个UDP封装ESP通信。端口也会从500 变更到4500