IPsec 9个包分析（主模式+快速模式）

第一阶段：ISAKMP协商阶段

1.1 第一包

• 包1：发起端协商SA，使用的是UDP协议，端口号是500，上层协议是ISAKMP，该协议提供的是一个框架，里面的负载Next payload类似模块，可以自由使用。可以看到发起端提供了自己的cookie值，以及SA的加密套件，加密套件主要是加密算法，哈希算法，认证算法，生存时间等。

• Initiator cookie：817622ea01367ec9

发起者的cookie值，告知响应端主机要使用IPSEC的哪一把密钥来加密这个封包。

• Responder cookie：0000000000000000

响应者的cookie值，第一个包只有发起者没有响应者所以响应者的cookie为空

• Version：1.0

IKE版本号，1.0表示使用IKE v1建立连接

• Exchange type:Identity Protection (Main Mode) (2)

IKE协商模式为主模式

• Life-Type (11): Seconds (1)

生存期时间的单位为秒

• Life-Duration (12): Duration-Value (86400)

密钥周期86400，密钥周期超过86400后会重新协商IKE

• Encryption-Algorithm (1): AES-CBC (7)

IKE使用DES-CBC加密算法加密数据

• Hash-Algorithm (2): SHA (2)

IKE使用SHA算法校验数据完整性

• Authentication-Method (3): RSA-SIG (3)

RSA方式进行认证，除此之外还有与共享秘钥(Pre-shared key)

• Group-Description (4): Alternate 1024-bit MODP group (2)

Diffie-Hellman (DH) 组在密钥交换进程中使用的1024 bit的密钥的强度

• Key-Length (14): Key-Length (128)

秘钥长度128位

1.2第二包

包2：响应端收到发送端发送的加密套件后，对比自己是否有相对应的加密套件，如果有就使用和发送端相同的加密套件加密数据，把自己的cookie值和选择好的加密套件发送给发送端；如果没有相同加密套件则IKE建立失败响应。

• 
• Initiator cookie：817622ea01367ec9

发起者的cookie值，告知响应端主机要使用IPSEC的哪一把密钥来加密这个封包。

• Responder cookie: