ความแตกต่างระหว่าง IKE และ ISAKMP คืออะไร

ฉันสร้าง IPsec VPN มาหลายปีแล้ว แต่จริงๆแล้วฉันไม่เคยเข้าใจถึงความแตกต่างทางเทคนิคระหว่าง IKE และ ISAKMP ฉันมักจะเห็นคำสองคำที่ใช้แทนกันได้ (อาจไม่ถูกต้อง)

ฉันเข้าใจสองขั้นตอนพื้นฐานของ IPsec และ ISAKMP นั้นดูเหมือนว่าจะเกี่ยวข้องกับเฟสแรกเป็นหลัก ตัวอย่างเช่นคำสั่ง IOS "show crypto isakmp sa" แสดงข้อมูล IPsec เฟสหนึ่ง แต่ไม่มีคำสั่งเทียบเท่าสำหรับ IKE

ipsec ike vpn

— Jeremy Stretch
แหล่งที่มา

ISAKMP เป็นส่วนหนึ่งของ IKE (IKE มี ISAKMP, SKEME และ OAKLEY) IKE สร้างนโยบายความปลอดภัยที่ใช้ร่วมกันและคีย์ที่ใช้งาน ISAKMP เป็นโปรโตคอลที่ระบุกลไกการแลกเปลี่ยนคีย์

ความสับสน (สำหรับฉัน) คือใน Cisco IOS ISAKMP / IKE ใช้เพื่ออ้างถึงสิ่งเดียวกัน โดยที่ฉันหมายถึงความเข้าใจของฉันคือ IKE ของ Cisco ใช้ / ใช้ ISAKMP เท่านั้น ดังนั้นหนึ่งกำหนดค่า IKE และจากนั้นภายในแนวคิดหนึ่งกำหนดค่า ISAKMP

— Craig Constantine
แหล่งที่มา

สวัสดี craig มีคำถามที่คล้ายกันที่นี่security.stackexchange.com/questions/35872/…ถ้าคุณต้องการฉันสามารถลบคำตอบของฉันที่นั่นถ้าคุณต้องการเพิ่มของคุณ

— ลูคัสคอฟฟ์แมน

ไม่จำเป็น. แต่ขอบคุณสำหรับข้อเสนอที่ใจดีมาก!

— Craig Constantine

networklessons.com/cisco/ccie-routing-switching/…นี่อาจเป็นคำอธิบายที่ดีที่สุดสำหรับ IPSec

— gaurav parashar

โปรดตรวจสอบว่าสิ่งนี้ช่วยได้หรือไม่ฉันรู้ว่าฉันมาสาย :)

ใช่นี่คือจากบทความ Wikipedia สมาคมความปลอดภัยทางอินเทอร์เน็ตและ Key Management Protocolแต่ฉันไม่เห็นการอ้างอิงใด ๆ จนถึง Wiki / RFC ที่นี่ในการสนทนา

ISAKMP กำหนดขั้นตอนการตรวจสอบความถูกต้องของเพื่อนการสื่อสารการสร้างและการจัดการสมาคมความปลอดภัยเทคนิคการสร้างกุญแจและการลดภัยคุกคาม (เช่นการปฏิเสธการให้บริการและการโจมตีซ้ำ) ตามกรอบ ISAKMP จะถูกใช้โดย IKE สำหรับการแลกเปลี่ยนคีย์แม้ว่าวิธีการอื่น ๆ ได้ถูกนำไปใช้เช่น Kerberized Internet Negotiation of Keys Preliminary SA เกิดขึ้นโดยใช้โปรโตคอลนี้ หลังจากนั้นจะทำการ keying ใหม่

ISAKMP กำหนดกระบวนการและรูปแบบแพ็คเก็ตเพื่อสร้างเจรจาปรับเปลี่ยนและลบ Security Associations SAs มีข้อมูลทั้งหมดที่จำเป็นสำหรับการดำเนินการบริการรักษาความปลอดภัยเครือข่ายที่หลากหลายเช่นบริการเลเยอร์ IP (เช่นการตรวจสอบส่วนหัวและการห่อหุ้มส่วนของข้อมูล) การขนส่งหรือบริการแอพพลิเคชั่นเลเยอร์ ISAKMP กำหนด payloads สำหรับการแลกเปลี่ยนการสร้างคีย์และข้อมูลการรับรองความถูกต้อง รูปแบบเหล่านี้จัดทำเฟรมเวิร์กที่สอดคล้องกันสำหรับการถ่ายโอนคีย์และข้อมูลการตรวจสอบความถูกต้องซึ่งไม่ขึ้นอยู่กับเทคนิคการสร้างคีย์อัลกอริทึมการเข้ารหัสและกลไกการพิสูจน์ตัวตน

ISAKMP นั้นแตกต่างจากโปรโตคอลการแลกเปลี่ยนคีย์เพื่อแยกรายละเอียดของการจัดการความปลอดภัย (และการจัดการคีย์) ออกจากรายละเอียดของการแลกเปลี่ยนคีย์ อาจมีโปรโตคอลการแลกเปลี่ยนคีย์ที่แตกต่างกันจำนวนมากแต่ละอันมีคุณสมบัติความปลอดภัยที่แตกต่างกัน อย่างไรก็ตามจำเป็นต้องมีกรอบงานทั่วไปสำหรับการยอมรับรูปแบบของคุณลักษณะ SA และสำหรับการเจรจาปรับเปลี่ยนและลบ SAs ISAKMP ทำหน้าที่เป็นกรอบทั่วไปนี้

ISAKMP สามารถใช้งานผ่านโปรโตคอลการขนส่งใด ๆ การใช้งานทั้งหมดจะต้องมีความสามารถในการส่งและรับสำหรับ ISAKMP โดยใช้ UDP บนพอร์ต 500

— KM Feroze
แหล่งที่มา

คุณควรแก้ไขเพื่อใช้คุณสมบัติใบเสนอราคาและคุณควรให้เครดิตแหล่งที่มา

— Ron Maupin

ดูเหมือนว่าคำตอบนี้ถูกคัดลอกมาจากแหล่งอื่นมาก่อนแล้วและคุณลืมที่จะระบุแหล่งที่มาเดิม ฉันได้แก้ไขสิ่งนี้ให้ดีที่สุดเท่าที่จะทำได้ แต่โปรดยืนยันว่าการเปลี่ยนแปลงของฉันนั้นถูกต้องและให้แน่ใจว่าได้ทำสิ่งนี้ด้วยตัวเองในอนาคต

— YLearn

คุณควรระบุแหล่งที่มาและระบุลิงก์หากเป็นไปได้ ฉันแก้ไขการแก้ไข @ YLearn ของคุณเพื่อเพิ่มลิงก์กลับ

— Ron Maupin

พวกฉันไม่ได้เห็นการอ้างอิงถึงวิกิหรือคำอธิบายอย่างละเอียดในการสนทนาข้างต้นในขณะที่ฉันกำลังโพสต์ข้อความเพื่อหาความแตกต่างระหว่าง IKE / ISAKMP ดังนั้นความคิดของการวางไว้ที่นี่และนี่คือไม่ต้องใช้เครดิตใด ๆ :) :) :)

— Feroze KM

รูปแบบที่ไม่ดีคือการอ้างงานของใครบางคนโดยไม่ให้เครดิต หลักคำสอนการใช้อย่างเป็นธรรมช่วยให้คุณสามารถอ้างงานของใครบางคนได้ แต่คุณต้องให้เครดิตในกรณีที่เครดิตครบกำหนดไม่เช่นนั้นในบางบริบทเรียกว่าการลอกเลียนแบบ เราแค่พยายามปรับปรุงคำตอบของคุณ (และเพื่อความยุติธรรมกับผู้เขียนต้นฉบับ)

— Ron Maupin

พูดจริง - IKE, Internet Key Exchange (IKE) มีความหมายเหมือนกันกับ Internet Management Association Key Management Protocol (ISAKMP)

— รอนรอยสตัน
แหล่งที่มา