IPSec IKE端口理解
IKE 的全称是 Internet Key Exchange(互联网密钥交换)。
它是一套 UDP 协议,用于在两个通信实体之间 自动协商、建立并维护 IPSec 安全关联(SA) 所需的加密算法、密钥、身份认证等参数,而无需人工手动配置密钥。
要点
- 版本:IKEv1(RFC 2409)和 IKEv2(RFC 7296)。
- 默认端口:
- UDP 500 — IKE 正常协商
- UDP 4500 — 当存在 NAT-T(NAT Traversal) 时,IKE 会把 500 自动迁移到 4500,以穿越 NAT 设备。
- 工作流程:
- 交换提议(加密算法、哈希、DH 组、认证方式)。
- DH 交换 — 生成共享密钥。
- 身份认证 — 证书、预共享密钥或 EAP。
- 建立 IPSec SA — 得到加密/解密所需的密钥与参数。
IKE 就是 IPSec 的“自动配钥匙机器人”,默认在 UDP 500/4500 上工作。