众所周知,无论是复杂深奥的理论干货,还是晦涩难懂的语言文字,不管对错与否,只是因为我们没有达到那种高度,不能转化为属于自己的东西罢了,于是真正能懂的人还是很少,而且每个人对懂的定义不一样,只能细细去体会,慢慢去品味,只要有着自己的理解角度就好,下面我就以简单的IPSecVPN理论入手,让大家去体验一下外行人中是如何入门的,菜鸟路过,大神勿扰!
IPSecVPN两个阶段的协商过程:
第一阶段:
有主模式和积极模式2种。
通过协商让IKE对等体彼此验证对方并确定会话密钥,这个阶段用DH进行密钥交换,创建完IKE SA后,所有后续的协商都将通过加密和完整性检查来保护。阶段一phase1帮助在对等体之间创建了一条安全通道,使后面的阶段二phase2过程协商受到安全保护。
第二阶段:
有快速模式
协商IPSec SA使用的安全参数,创建IPSec SA后,使用AH或ESP来加密码IP数据流。
注:只有RemoteVPN和EasyVPN是积极模式的,其他都是主模式进行协商的!!!
我们在接受新知识的时候,往往就是狗咬刺猬无从下手,但既然要接受,就要根据自己的理解方式进行理解,然后死学活用,这就是知识存在的意义!!!
在看到IPSecVPN这一新知识时,我首先想到类似两个远在天涯的好朋友相互借钱,而且沟通方式是电话,所以我就有了强烈的类比方式,并且将这一类比方式进行到底,套在这个IPSecVPN身上进行细细去体会,慢慢去品味!!!所以就有了如下的啼笑皆非的趣解。
好朋友借钱的两个阶段的成功借钱过程:
第一阶段:
有主模式和积极模式2种,主模式是我不管远在对方的朋友现在怎么样,我会主动汇钱给你,因为我听说你遇到了困难,所以我心甘情愿,一切由我围着你转。而积极模式却是朋友你在实际生活中遇到了困难,想到了我,听后我也乐意借给你,也是积极主动的,但主要是碍于面子,也不想失去你这么一位好朋友!(所以两种模式我们就理解了)
通过电话沟通并确定对方是我认识的多年没有见面的朋友(当今社会用技术实现电话伪造熟人已经不是什么新鲜事了),但通过什么来确认呢?哦,对了?身份证,它代表某一个人的唯一身份,所以我相信身份证号码,将它作为借钱密钥,这个阶段用暗号(身份证号码)进行借钱密钥交换,确定真实身份,即创建了第一阶段phase1的IKE SA后,以后一系列的互帮互助都将可以通过电话沟通、身份证确认方式来实现现金的保护,不被他人欺骗!这一阶段我们主要创建了朋友之间的相互信任,打通了一条“苟富贵,勿相忘”的安全信任之路,使未来的日子,我们之间只会更加信任,更加有朋友间真诚的保障,也即是在IPSecVPN中的阶段二phase2过程协商受到安全保护!
第二阶段:
有快速模式,这一模式也是基于我们在第一阶段建立了长期的真诚的革命友谊,所以在以后打交道的过程中我会毫不犹豫的伸出援助之手,十分迅速及时!!!
既然肯借钱了,那就借呗!但要保证钱能安全顺利的到达朋友方,所以有必要再进行安全保障,实施密封包装,然后快递过去!!!(快递送钱不知道可不可以),这就是第二阶段的创建IPSecSA后,使用AH或ESP加密进行IP数据流的传递。
所以说了那么多,也用类比思维进行了逐一类比,将每个阶段反复类比,相信你也理解了许多,也深刻了许多,如果是这样,那我也就为你尽了一点绵薄之力,我会笑而不哭!