阅读量:280
IPSec专线主模式和积极模式的区别
1. 消息交换数量:主模式(Main Mode)需要交换6条消息,而积极模式(Aggressive Mode)只需要交换3条消息。在积极模式中,消息交换类似于TCP的三次握手,首先由安全关联(SA)的发起者发送一条消息给接受者,然后接受者回复第二条消息,最后发起者再发送第三条消息。而主模式中的消息交换是成对进行的,每次双方都发送相同类型的字段,总共进行三次这样的消息交换。
2. NAT穿越支持:在预共享密钥(PSK)的情况下,主模式不支持NAT穿越,而积极模式支持NAT穿越。在证书认证的情况下,两种模式都支持NAT穿越。
3. 对等体标识的使用:在主模式中,只能使用IP地址来标识对等体。而在积极模式中,可以使用IP地址或域名来标识对等体。这是因为主模式和积极模式的消息交换机制不同所导致的。在主模式中,前四条消息用于协商加密和认证算法等,第五条和第六条消息用于交换公共密钥和预共享密钥。而在一个设备有多個对等体的情况下,设备需要使用ID信息(如域名信息)来匹配对应的预共享密钥,但此时只能使用IP地址进行对等体标识,因为ID信息在最后两条消息中交换。因此,主模式不支持使用域名信息来标识对等体。