私は長年IPsec VPNを構築してきましたが、正直に言うと、IKEとISAKMPの技術的な違いを完全に理解したことはありません。2つの用語が同じ意味で使用されていることがよくあります(おそらく間違っています)。
IPsecの2つの基本フェーズを理解しており、ISAKMPは主にフェーズ1を扱っているようです。たとえば、IOSコマンド「show crypto isakmp sa」は、IPsecフェーズ1情報を表示します。ただし、IKEに対応するコマンドはありません。
私は長年IPsec VPNを構築してきましたが、正直に言うと、IKEとISAKMPの技術的な違いを完全に理解したことはありません。2つの用語が同じ意味で使用されていることがよくあります(おそらく間違っています)。
IPsecの2つの基本フェーズを理解しており、ISAKMPは主にフェーズ1を扱っているようです。たとえば、IOSコマンド「show crypto isakmp sa」は、IPsecフェーズ1情報を表示します。ただし、IKEに対応するコマンドはありません。
回答:
ISAKMPはIKEの一部です。(IKEにはISAKMP、SKEME、およびOAKLEYがあります)。IKEは、共有セキュリティポリシーと認証済みキーを確立します。ISAKMPは、鍵交換のメカニズムを指定するプロトコルです。
(私にとっては)混乱は、Cisco IOSでは同じものを指すためにISAKMP / IKEが使用されていることです。つまり、私の理解では、CiscoのIKEはISAKMPのみを実装/使用しているということです。したがって、IKEを構成し、概念的にその内部でISAKMPを構成します。
これが役立つかどうかを確認してください、私は遅れていることを知っています:)
はい、これはWikipediaの記事、Internet Security Association and Key Management Protocolからのものですが、ここでの議論でWiki / RFCについての言及はこれまで見ませんでした。
ISAKMPは、通信ピアの認証、セキュリティアソシエーションの作成と管理、キー生成技術、脅威の軽減(サービス拒否攻撃やリプレイ攻撃など)の手順を定義しています。フレームワークとして、ISAKMPは通常、キー交換のためにIKEによって利用されますが、キーのKerberosインターネットネゴシエーションなどの他の方法が実装されています。Preliminary SAは、このプロトコルを使用して形成されます。後で新しいキーイングが行われます。
ISAKMPは、セキュリティアソシエーションを確立、ネゴシエート、変更、削除する手順とパケット形式を定義します。SAには、IPレイヤーサービス(ヘッダー認証やペイロードカプセル化など)、トランスポートまたはアプリケーションレイヤーサービス、ネゴシエーショントラフィックの自己保護など、さまざまなネットワークセキュリティサービスの実行に必要なすべての情報が含まれています。ISAKMPは、キー生成と認証データを交換するためのペイロードを定義します。これらの形式は、キー生成技術、暗号化アルゴリズム、および認証メカニズムに依存しない、キーおよび認証データを転送するための一貫したフレームワークを提供します。
ISAKMPは、セキュリティアソシエーション管理(およびキー管理)の詳細をキー交換の詳細から明確に分離するために、キー交換プロトコルとは異なります。多くの異なるキー交換プロトコルがあり、それぞれが異なるセキュリティプロパティを持ちます。ただし、SA属性の形式に同意し、SAをネゴシエート、変更、および削除するには、共通のフレームワークが必要です。ISAKMPは、この共通のフレームワークとして機能します。
ISAKMPは、任意のトランスポートプロトコルで実装できます。すべての実装には、ポート500でUDPを使用するISAKMPの送受信機能が含まれている必要があります。