IPsec VPN'leri yıllardır yapıyorum ama dürüst olmak gerekirse, IKE ile ISAKMP arasındaki teknik farkı hiçbir zaman tam olarak anlamadım. Sık sık birbirinin yerine kullanılan iki terim görüyorum (muhtemelen yanlış).
IPsec'in iki temel aşamasını anlıyorum ve ISAKMP'nin öncelikli olarak birinci aşama ile ilgilendiği görülüyor. Örneğin, IOS komutu "show crypto isakmp sa" IPsec faz bir bilgisini görüntüler. Ancak IKE için eşdeğer bir komut yoktur.
Yanıtlar:
ISAKMP IKE'nin bir parçasıdır. (IKE'de ISAKMP, SKEME ve OAKLEY vardır). IKE paylaşılan güvenlik politikasını ve kimliği doğrulanmış anahtarları oluşturur. ISAKMP, anahtar değişiminin mekaniğini belirleyen protokoldür.
Karışıklık, (benim için) Cisco'da IOS ISAKMP / IKE'nin aynı şeyi ifade etmek için kullanılmasıdır. Demek istediğim, benim anladığım kadarıyla Cisco'nun IKE'si yalnızca ISAKMP'yi kullanıyor / kullanıyor. Böylece biri IKE'yi, sonra da kavramsal olarak ISAKMP'yi yapılandırır.
Lütfen bunun yardımcı olup olmadığını kontrol edin, geç kaldığımı biliyorum :)
Evet, bu Vikipedi makalesi, İnternet Güvenlik Birliği ve Anahtar Yönetimi Protokolü'nden geliyor , ancak tartışmada Wiki / RFC'ye şu ana kadar herhangi bir referans görmedim.
ISAKMP, iletişim kuran, Güvenlik Birlikleri oluşturma ve yönetimini, kilit üretim tekniklerini ve tehdit azaltma işlemlerini (örneğin, hizmet reddi ve tekrarlama saldırıları) doğrulama prosedürlerini tanımlar. Bir çerçeve olarak, ISAKMP tipik olarak IKE tarafından anahtar değişimi için kullanılır, ancak Anahtarların Kerberize İnternet Anlaşması gibi başka yöntemler de uygulanmıştır. Bu protokol kullanılarak bir Ön SA oluşturulur; daha sonra taze bir anahtarlama yapılır.
ISAKMP, Güvenlik Birlikleri kurmak, pazarlık etmek, değiştirmek ve silmek için prosedürleri ve paket biçimlerini tanımlar. SA'lar, IP katmanı hizmetleri (başlık kimlik doğrulaması ve taşıma yükü kapsüllemesi gibi), taşıma ya da uygulama katmanı hizmetleri ya da pazarlık trafiğinin kendini koruması gibi çeşitli ağ güvenliği hizmetlerinin yürütülmesi için gereken tüm bilgileri içerir. ISAKMP, anahtar oluşturma ve doğrulama verilerini değiştirmek için kullanılan yükleri tanımlar. Bu formatlar, anahtar oluşturma tekniğinden, şifreleme algoritmasından ve kimlik doğrulama mekanizmasından bağımsız olarak anahtar ve kimlik doğrulama verilerini aktarmak için tutarlı bir çerçeve sağlar.
ISAKMP, güvenlik birliği yönetimi (ve anahtar yönetimi) ayrıntılarını anahtar değişimi detaylarından açıkça ayırmak için anahtar değişim protokollerinden farklıdır. Her biri farklı güvenlik özelliklerine sahip birçok farklı anahtar değişim protokolü olabilir. Bununla birlikte, SA özelliklerinin formatını kabul etmek ve SA'ları pazarlık etmek, değiştirmek ve silmek için ortak bir çerçeve gereklidir. ISAKMP bu ortak çerçeve olarak hizmet vermektedir.
ISAKMP, herhangi bir taşıma protokolü üzerinden uygulanabilir. Tüm uygulamaların 500 numaralı bağlantı noktasında UDP kullanarak ISAKMP için gönderme ve alma özelliği içermesi gerekir.
Pratik konuşma - IKE, Internet Anahtar Değişimi (IKE), Internet Security Association Anahtar Yönetimi Protokolü (ISAKMP) ile eşanlamlıdır.