من خلال فهمي البسيط فالـIPSEC تعتمد على الـ Internet Key Exchange (IKE)
الـIKE تحتوي على ثلاث مراحل. مرحلتين لازم تكون موجوده والثالثه اختياري.
المرحله الاولى (اجباري)
المرحله واحد ونص (اختياري)
المرحله الثانيه (اجباري)
ولكن قبل التحدث عن المراحل الثلاث فما الخصائص التي تعطيك هي الـIPSec.
اربع خصائص وهي الـdata confidentiality, data integrity, data orgin authentication and anti-replay
data confidentiality: وهي تأمين البيانات المرسله من الـattacker.
data integrity : مهمتها التأكد بان البيانات لم يتم تغيرها خلال رحلتها من الـsource الى الـdestination.
data orgin authentication : وهي التأكد من ان المخاطب مع هو المقصود وليس هكر.
anti-replay : وهي تأكيد عدم وجود تكرار في ارسال الـpackets.
هذه الخصائص يتم الحصول عليها باستخدام الـIKE phases.
المرحله الاولى (اجباري)
في المرحله الاولى هناك خيارين الـmain والـ aggressive. العمل متشابه في كلا الحالتين ولكن في الـmain هناك رسائل اكثر تتم مابين الوجهتين. مجموع الرسائل في الـmain هي سته وهي كتالي
Policy negotiation : تتم تبادل الـISAKAMP وتحتوي على التالي IPSec protocols (ESP or AH), encryption algorithms (DES, 3Des or AES), Authentication (MD5 or SHA1) وايضاً عمر الـtunnel اما بتحديد الوقت ام بعدد البيانات المرسله.
Diffie-Hellman : وهي انشاء بيئه لتبادل الـsecret key.
لتفهم الـDiffie-hellman اكثر انظر الى كتاب الـCCNA Security فيه شرح حتى على الرياضيات المستخدمه.
Peer authentication : ويتم تبادل كلمة السر او الـpre-shared key
ملاحظه: قد يظهر ان هناك ثلاث مراحل ولكن كل مرحله تتم في كل الاتجاهين اي ان كل روتر يرسل هذه المسجات للاخر فيكون مجموعه سته رسائل في الـmain
المرحله واحد ونص (اختياري)
في هذه المرحله هي اضافه خصائص امان اضافيه مثل ترك الـRemote user يعمل authentication باستخدام الـactive directory على الويندوز الخاصه بالمستخدم.
المرحله الثانيه (اجباري)
المفضلات