Tôi đã xây dựng VPN IPsec trong nhiều năm nhưng thành thật mà nói tôi chưa bao giờ nắm bắt được sự khác biệt kỹ thuật giữa IKE và ISAKMP. Tôi thường thấy hai thuật ngữ được sử dụng thay thế cho nhau (có thể không chính xác).
Tôi hiểu hai giai đoạn cơ bản của IPsec và ISAKMP dường như chủ yếu xử lý giai đoạn một. Chẳng hạn, lệnh IOS "show crypto isakmp sa" hiển thị thông tin giai đoạn một của IPsec. Nhưng không có lệnh tương đương cho IKE.
Câu trả lời:
ISAKMP là một phần của IKE. (IKE có ISAKMP, SKEME và OAKLEY). IKE thiết lập chính sách bảo mật được chia sẻ và các khóa xác thực. ISAKMP là giao thức chỉ định các cơ chế trao đổi khóa.
Sự nhầm lẫn, (đối với tôi,) là trong Cisco IOS ISAKMP / IKE được sử dụng để đề cập đến điều tương tự. Ý tôi là, sự hiểu biết của tôi là IKE của Cisco chỉ thực hiện / sử dụng ISAKMP. Vì vậy, một cấu hình IKE, và sau đó về mặt khái niệm, một cấu hình ISAKMP.
Vui lòng kiểm tra xem điều này có giúp ích không, tôi biết rằng tôi đến trễ :)
Vâng, đây là từ bài viết Wikipedia, Hiệp hội bảo mật Internet và Giao thức quản lý khóa , nhưng tôi chưa thấy bất kỳ tài liệu tham khảo nào cho đến Wiki / RFC ở đây trong cuộc thảo luận.
ISAKMP xác định các quy trình xác thực giao tiếp ngang hàng, tạo và quản lý Hiệp hội bảo mật, kỹ thuật tạo khóa và giảm thiểu mối đe dọa (ví dụ: từ chối dịch vụ và phát lại các cuộc tấn công). Là một khung, ISAKMP thường được IKE sử dụng để trao đổi khóa, mặc dù các phương pháp khác đã được triển khai như Đàm phán về các khóa của Kerberized. Một SA sơ bộ được hình thành bằng giao thức này; sau đó một khóa mới được thực hiện.
ISAKMP xác định các quy trình và định dạng gói để thiết lập, đàm phán, sửa đổi và xóa các Hiệp hội bảo mật. Các SA chứa tất cả thông tin cần thiết để thực hiện các dịch vụ bảo mật mạng khác nhau, chẳng hạn như các dịch vụ lớp IP (như xác thực tiêu đề và đóng gói tải trọng), dịch vụ vận chuyển hoặc lớp ứng dụng hoặc tự bảo vệ lưu lượng đàm phán. ISAKMP xác định tải trọng để trao đổi dữ liệu xác thực và tạo khóa. Các định dạng này cung cấp một khung nhất quán để truyền dữ liệu khóa và xác thực độc lập với kỹ thuật tạo khóa, thuật toán mã hóa và cơ chế xác thực.
ISAKMP khác với các giao thức trao đổi khóa để tách biệt rõ ràng các chi tiết về quản lý hiệp hội bảo mật (và quản lý khóa) khỏi các chi tiết trao đổi khóa. Có thể có nhiều giao thức trao đổi khóa khác nhau, mỗi giao thức có các thuộc tính bảo mật khác nhau. Tuy nhiên, cần có một khung chung để đồng ý với định dạng của các thuộc tính SA và để đàm phán, sửa đổi và xóa SA. ISAKMP phục vụ như khuôn khổ chung này.
ISAKMP có thể được thực hiện trên bất kỳ giao thức vận chuyển. Tất cả các triển khai phải bao gồm khả năng gửi và nhận cho ISAKMP bằng UDP trên cổng 500.
Nói một cách thực tế - IKE, Trao đổi khóa Internet (IKE), đồng nghĩa với Giao thức quản lý khóa của Hiệp hội bảo mật Internet (ISAKMP).