今天发现了一个有趣的问题,有个WSG的客户用ipsec组网,服务端和客户端组网时有两个网段需要互通,但是只能有一个网段可以组网成功。检查后发现原来用来ike v1的野蛮模式。IPsec的ike v1和ike v2有很多的差别,如下:
IKEv1和IKEv2的主要差异对比
| 特性 | IKEv1 | IKEv2 |
|---|---|---|
| 交换过程 | 6条消息(主模式)或3条消息(野蛮模式) | 4条消息 |
| 身份保护 | 主模式提供,野蛮模式不提供 | 始终提供身份保护 |
| 验证灵活性 | 相对固定 | 支持混合验证(如服务端证书+客户端EAP) |
| 重验证 | 需要重新建立整个IKE_SA | 支持会话恢复和重验证 |
| DoS保护 | 较弱 | 更好的Cookie机制 |
