Đề tài Dynamic Multipoint VPN

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA CÔNG NGHỆ THÔNG TIN ---------------------------------------- BÁO CÁO BÀI TẬP LỚN DYNAMIC MULTIPOINT VPN Thực hiện: Nhóm 8 - lớp HCD06CNTT Bùi Thu Huyền Phạm Thanh Dung Quách Văn Phong Vũ Như Trình Hà Nội, Tháng 6 năm 2007 LỜI NÓI ĐẦU Lý do chính thúc đẩy phát triển VPN là để tiết kiệm chi phí . Các tập đoàn, các công ty, các tổ chức có các văn phòng làm việc ở khắp nơi trên thế giới nhưng mạng máy tính của các văn phòng cùng một tập đoàn hay tổ chức lại muốn kết nối với nhau để trao đổi công việc hàng ngày. Để có được kết nối mạng máy tính này, họ phải thuê một đường truyền riêng để kết nối giữa các văn phòng hoặc kết nối vào mạng internet. Như vậy internet và hình thài mạng VPN được hình thành từ đây. Mỗi văn phòng có mạng máy tính cục bộ (site) muốn kết nối điểm-tới-điểm (point-to-point) cần thuê một đường truyền riêng (leased line) để kết nối với một văn phòng khác. Nếu một site lại cần kết nối đến nhiều site khác (hay nhiều site kết nối nhiều site any-to-any, full-mesh là mỗi site lại kết nối các site còn lại), có n site và 1 site cần kết nối với các site còn lại thì cần n-1 leased line. Giá mỗi leased line phụ thuộc vào khoảng cách và tốc độ của leased line. Đường truyền qua các nước hay xuyên các châu lục là rất đắt. Để làm xây dựng một mạng kiểu full-mesh và dùng các leased thì chi phí quá đắt. Thay vì sử dụng leased line cho các kết nối đó bằng cách thiết kế các nối đó sử dụng qua đường kết nối internet công cộng. Mỗi một site kết nối vào mạng công cộng, có thể cũng là kết nối bằng leased line, nhưng giữa các site lại là kết nối ảo (virtual connection), trái ngược với kết nối vật lý giữa các site ở mô hình kết nối bằng leased line. MỤC LỤC Lời nói đầu 2 Mục lục 3 Danh mục hình vẽ 4 Ký hiệu viết tắt 5 Nguyên lý hoạt động VPN đa điểm động 6 Mô hình GRE (Quách Văn Phong) 6 Giao thức Next Hop Resolution Protocol – NHRP (Phạm Thanh Dung) 9 IPSec động (Bùi Thu Huyền) 10 Quy trình thiết lập VNP đa điểm động (Vũ Như Trình) 18 Ứng dụng của VNP đa điểm động (Phạm Thanh Dung) 25 Bài toán thực tế 25 Các giải pháp thực hiện 26 Tài liệu tham khảo 30 DANH MỤC HÌNH VẼ Hình 1.1: Mô hình VPN sử dụng giao thức mã hoá GRE Hình 1.2: Giao diện mGRE Hình 2.1 Minh hoạ hoạt động của giao thức NHRP Hình 2.2 thể hiện chuỗi sự kiện cần thiết lập kết nối giữa Spoke và Hub Hình 3.1 Kết hợp SA kiểu Tunnel khi 2 điểm cuối trùng nhau Hình 3.2 Kết hợp SA kiểu Tunnel khi một điểm cuối trùng nhau Hình 3.3 Kết hợp SA kiểu Tunnel khi không có điểm cuối trùng nhau Hình 3.4: Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE Hình 3.5 Danh sách bí mật ACL Hình 3.6: IKE pha thứ nhất sử dụng chế độ chính (Main Mode) Hình 3.7 Các tập chuyển đổi IPSec Hình 4.1: Đặc trưng của máy khách VPN Hình 4.2: Bước 1 Hình 4.3: Bước 2 Hình 4.4: Bước 3 Hình 4.5: Bước 4 Hình 4.6: VPN có thể cung cấp nhiều kết nối TỪ VIẾT TẮT Từ viết tắt  Nghĩa Tiếng Anh  Nghĩa tiếng Việt   AH  authentication header  Giao thức tiêu đề xác thực   DH  Diffie – Hellman  Giao thức trao đổi khoá Diffie – Hellman   DMVPN  Dynamic Multipoint Virtual Private Network  Mạng riêng ảo kết nối đa điểm động   ESP  Encapsulating security payload  Giao thức đóng gói an toàn tải tin   GRE  Generic Routing Encapsulation  Giao thức mã hoá định tuyến   IETF  Internet Engineering Task Force  Cơ quan tiêu chuẩn kỹ thuật cho Internet   IKE  Internet Key Exchange  Giao thức trao đổi khoá trên internet   IKE SAs  Internet Key Exchanges Security Associaion  Kết hợp an ninh và trao đổi khoá qua internet   ISAKMP  Internet Security Association and Key Management Protocol  Giao thức kết hợp an ninh và quản lý khoá qua internet   L2TP  Layer 2 tunneling Protocol  Giao thức đường ngầm lớp 2   NBMA  Non-Broadcast Multiple Access    PKI  Public Key Infrastructure  Cơ sở hạ tầng khoá công khai   PPTP  Point – to – Point tunneling Protocol  Giao thức đường ngầm điểm - điểm   RFC  Request For Comment  Các tài liệu về tiêu chuẩn IP do IETF đưa ra   VPN  Virtual Private Network  Mạng riêng ảo   Nguyên lý hoạt động VNP đa điểm động Mô hình GRE GRE là gì ? Là giao thức mã hóa định tuyến cung cấp cơ cấu đóng gói giao thức gói tin để truyền đi trong quá trình truyền tải. Nó bao gồm : + Thông tin về loại gói tin mà bạn đang mã hóa + Thông tin về kết nối giữa máy gửi và máy nhận 2.2. GRE trong mô hình Site to Site
Hình 1.1: Mô hình VPN sử dụng giao thức mã hoá GRE Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa. + Trong quá trình di chuyển, các gói tin (packet) được định hướng đi theo các tuyến đường khác nhau để đến đích. Khi đi qua các router, chúng được mã hóa và từ đó Router chuyển đi trên các Interface khác nhau. Quá trình đó gọi là quá trình mã hóa định tuyến . + Để có các thông tin quyết định cho việc di chuyển gói dữ liệu đi theo đường nào các Router sử dụng các giao thức định tuyến(Routing Protocol) cho việc thu thập thông tin để xây dựng nên bảng định tuyến(Routing Table) Thiết lập GRE Tunnel GRE sử dụng khái niệm mật mã truy nhập để truyền DL an toàn trên mạng . Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã chung. Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được. Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng. Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì. Quá trình đóng gói, mã hóa và định tuyến DL : * Sử dụng giao thức PPTP _ Point to Point Tunnelling Protocol : Cấu trúc gói tin : Data – link Header  IP Header  GRE Header  PPP Header  Encrypted PPP data(IP, IPX, NetBEUI)  Data-link trailer   + PPTP là giao thức lớp 2, dựa trên giao thức PPP (Point to Point) của Microsoft + Việc mã hóa trong PPTP sử dụng giao thức MPPE (Microsoft Point-To-Point Encryption Protocol). Có thể sử dụng 40bit, 56bit, 128 bit. + Đầu tiên các khung PPP được tạo bằng cách đóng gói các dữ liệu mã hóa PPP và PPP header. Sau đó khung PPP được đóng gói với GRE header (Generic Routing Encapsulation). Sau đó tải được đóng gói với IP header (Bao gồm các thông tin về địa chỉ nguồn, đích). Cuối cùng dữ liệu được đóng gói với data-link layer header and trailer. Tùy thuộc vào công nghệ sử dụng mà data-link layer header and trailer có thể khác nhau. * Sử dụng giao thức L2TP _ Layer 2 Tunneling Protocol : + L2TP được phát triển từ 2 giao thức L2F và PPTP. L2TP sử dụng giao thức UDP trên nền IP cho cả 2 loại gói tin điều khiển và dữ liệu. Trong Window L2TP sử dụng UDP cổng 1701 + Để mã hóa dữ liệu truyền L2TP không sử dụng MPPE mà sử dụng IPSec ESP (Encapsulating Security Payload) + Cấu trúc gói tin điều khiển của L2TP Data-link Header  IP Header  IPSec ESP Header  UDP Header  L2TP Message  IPSec ESP Trailer  IPSec ESP Auth Trailer  Data-link Trailer   + Sử dụng Next-Received Field (similar to the TCP Acknowledgment field) và Next-Sent Field (similar to the TCP Sequence Number field) để duy trì và đặt thứ tự cho các thông báo điều khiển + Cấu trúc gói tin DL của L2TP Data link Header  IP Header  IPSec ESP Header  UDP Header  L2TP Header  PPP Header  PPP Payload  IPSec ESP Trailer  IPSec ESP Auth Trailer  Data Link Trailer   + Đầu tiên dữ liệu PPP được đóng gói với PPP header và L2TP header. + Sau đó được đóng gói tiếp với UDP header với cổng nguồn và đích là 1701 + Dựa trên cơ chế bảo mật của IPSec, các bản tin UDP sẽ được mã hóa và đóng gói với IPSec Encapsulating Security Payload (ESP) header và trailer cùng với một IPSec Authentication (Auth) trailer. + Các gói tin IPSec sẽ được đóng gói tiếp tục với IP header bao gồm địa chỉ IP nguồn và đích + Cuối cùng gói tin IP sẽ được đóng gói với header và trailer của lớp data-link mGRE mGRE Tunnel Interface : Cho phép 1 giao diện GRE đơn lẻ được hỗ trợ multiple IPSec Tunnel và làm đơn giản hóa kích thước và sự phức tạp của cấu hình.
Hình 1.2: Giao diện mGRE + Mỗi một Spoke đều có một IPSec Tunnel tới Hub không phải tới một Spoke khác trên mạng. Mỗi một Spoke này đăng kí như một clients của NHRP server. + Khi một Spoke cần gửi một gói tin tới một mạng khác qua một Spoke khác ( bảo vệ ), NHRP sẽ đọc địa chỉ đích nơi gói tin sẽ được chuyển đến. + Kênh kết nối Spoke to Spoke được xây dựng bởi rất nhiều mGRE Interface. + Sự kết nối Spoke to Spoke được thiết lập dựa trên nhu cầu của các Spoke trên mạng . Gói tin sẽ đi qua Hub và sử dụng Spoke to Spoke Tunnel để truyền đi trên mạng. Giao thức Next Hop Resolution Protocol – NHRP Một số khái niệm Tunnel address là địa chỉ IP định nghĩa cho một giao diện đường hầm (đường dẫn ảo) NBMA(Non-Broadcast Multiple Access) address là địa chỉ IP sử dụng là điểm nguồn hoặc điểm đích của đường hầm, đây là địa chỉ vật lý của Hub hoặc Spoke NHRP là giao thức mạng lớp 2, là chuẩn RFC2332. NHRP trong DMVPN thiết lập bản đồ một địa chỉ IP của đường hầm của Hub hoặc Spoke tương ứng với một địa chỉ NBMA gọi là cơ sở dữ liệu liền kề NHRP. Mỗi Spoke phải thiết lập trước tới Hub trong thời gian khởi động kết nối, nó phải kết nối, đăng kí và khai báo với Hub một khoảng địa chỉ qua NHRP Nguyên lý hoạt động của giao thức NHRP Khi dữ liệu được gửi đi tới một Spoke khác cùng mạng, nó được đóng gói bởi mGRE cùng với địa chỉ đường hầm của bước truyền tiếp theo.Spoke gửi yêu cầu tới Hub địa chỉ chỉ cuối NBMA của bước truyền tiếp theo khi truyền đi địa chỉ đường hầm. Hub sẽ tra trong cơ sở dữ liệu liền kề để trả lời địa chỉ NBMA của điểm đến của dữ liệu. Bây giờ Spoke nguồn có thể thiết lập một đường hầm tới Spoke đích Như vậy :Đường hầm IPSec giữa Spoke –to- Hub là tĩnh và đường hầm giữa Spoke-to-Spoke là động, có tính chất tạm thời. Như vậy một giao diện mGRE có thể có nhiều đường hầm kết nối hoạt động đồng thời Hai mô hình định tuyến tiêu biểu là thuật toán định tuyến trạng thái liên kết(OSPF và ISIS) và thuật toán định tuyến khoảng cách vecto( RIP và EIGRP) Hình 2.1 Minh hoạ hoạt động của giao thức NHRP Giả sử Spoke A cần chuyển một gói tin sang Spoke B, ban đầu Spoke A biết địa chỉ router Spoke B là 192.168.1.0 và địa chỉ mGRE hay Tunnel address là 10.0.0.12 và Spoke A không biết địa chỉ vật lý NBMA của SpokeB. Giao thức NHRP sẽ thiết lập một đường hầm Spoke- Hub có địa chỉ đường hầm là 10.0.0.1 và địa chỉ NBMA là 172.16.0.1 để trả về địa chỉ vật lý NBMA của Spoke B là 172.16.2.1 dựa trên cơ sở dữ liệu liền kề. Sau đó Spoke A sẽ thiết lập một đường hầm động giữa Spoke A và Spoke B Hình 2.2 thể hiện chuỗi sự kiện cần thiết lập kết nối giữa Spoke và Hub
IPSec động Tổng quan IPSec bảo vệ của GRE tunnel bao gồm 2 thuộc tính cơ bản: + Chính sách IPSec được thiết lập tại mỗi GRE tunnel. + Một khoá nhận dạng IKE được thiết lập cho chính sách IPSec của từng tunnel. Trong DMVPN việc gán địa chỉ cho mỗi spoke là động nên không thể cấu hình trước Ipsec hoặc khoá nhận dạng IKE cho kết nối spoke-to-spoke. DMVNP thực hiện việc so khớp địa chỉ IP header GRE tunnel của nguồn và đích. Cisco đã phát triển tiến trình thiết lập Ipsec proxy tự động cho GRE tunnel. Với việc bảo vệ GRE tunnel có nghĩa là Ipsec phải bảo vệ gói tin địa chỉ GRE header (IP addresses encapsulating the GRE header). NHRP thực hiện quy trình khởi động spoke với địa IP tunnel có liên quan. Ipsec proxy được thiết lập động để bảo vệ gói tin gốc RGE từ khi được gắn địa chỉ nguồn và địa chỉ đích. Một lưu lượng truyền thông nào đó được định tuyến vào GRE tunnel từ lúc so khớp Ipsec proxy; do đó Ipsec được khởi động việc thiết lập điểm - điểm tunnel giữa các spoke. Việc thiết lập 1 khoá nhận dạng trong mối quan hệ kết nối VPN này có mấy cách có thể lựa chọn sau: + Cài đặt sẵn cho các IKE tunnel, mỗi cái một khoá riêng. + Cài đặt một khoá chung cho tất cả các IKE tunnel. + Thực thi một cơ sở hạ tầng khoá công cộng - PKI. Trong 2 phương pháp trên thì lựa chọn thứ 3 tối ưu hơn cả áp dụng cho mô hình DMVNP. Phương pháp PKI thiết lập giao thức IKE (Internet Key Exchange protocol). IKE thiết kế để cung cấp hệ thống xác thực lẫn nhau, cũng như là chứng minh một khoá bí mật ch tạo ra sự kết hợp bảo vệ Ipsec. Chức năng chính của giao thức IKE là thiết lập và duy trì ISAKMP/IKE SAs và Ipsec SAs. Hoạt động của IKE gồm 2 pha thiết lập IKE và IPSec SAs: Pha 1: xác thực lẫn nhau giữa các điểm ngang hàng và thiết lập 1 khoá cho phiên làm việc. Mục đích của pha 1 là tạo ra 1 kênh làm việc an toàn để pha 2 trao đổi xuất hiện. Pha 2: trao đổi và thiết lập IPSec SAs dùng ESP hoặc AH để bảo vệ IP data traffic. Kết hợp an ninh SA và giao thức trao đổi khóa IKE Kết hợp các SA Các gói IP truyền qua một SA riêng biệt được cung cấp sự bảo vệ một cách chính xác bởi giao thức an ninh có thể là AH hoặc ESP nhưng không phải là cả hai. Đôi khi một chính sách an toàn có thể được gọi cho một sự kết hợp của các dịch vụ cho một luồng giao thông đặc biệt mà không thể thực hiện được với một SA đơn lẻ. Trong trường hợp đó cần thiết để giao cho nhiều SA thực hiện chính sách an toàn được yêu cầu. Thuật ngữ cụm SA được sử dụng để một chuỗi các SA xuyên qua lưu lượng cần được xử lý để thỏa mãn một tập chính sách an toàn. Đối với kiểu Tunnel, có 3 trường hợp cơ bản của kết hợp an ninh như sau: Cả hai điểm cuối SA đều trùng nhau: mỗi đường ngầm bên trong hay bên ngoài là AH hay ESP, mặc dù host 1 có thể định rõ cả hai đường ngầm là như nhau, tức là AH bên trong AH và ESP bên trong ESP.
 Hình 3.1 Kết hợp SA kiểu Tunnel khi 2 điểm cuối trùng nhau Một điểm cuối SA trùng nhau: đường hầm bên trong hay bên ngoài có thể là AH hay ESP.
 Hình 3.2 Kết hợp SA kiểu Tunnel khi một điểm cuối trùng nhau Không có điểm cuối nào trùng nhau: Mỗi đường hầm bên trong và bên ngoài là AH hay ESP.
 Hình 3.3 Kết hợp SA kiểu Tunnel khi không có điểm cuối trùng nhau Giao thức trao đổi khóa IKE Kết nối IPSec chỉ được hình thành khi SA đã được thiết lập. Tuy nhiên bản thân IPSec không có cơ chế để thiết lập SA. Chính vì vậy, IETF đã chọn phương án chia quá trình ra làm hai phần: IPSec cung cấp việc xử lý ở mức gói, còm IKMP (Internet Key Management Protocol) chịu trách nhiệm thỏa thuận các kết hợp an ninh. Sau khi cân nhắc các phương án, trong đó có SKIP (Simple Key Internet Protocol), và Photuis, IETF đã quyết định chọn IKE (Internet Key Exchange) là chuẩn để cấu hình SA cho IPSec. Một đường ngầm IPSec IP-VPN được thiết lập giữa hai bên qua các bước như sau: Bước 1: Quan tâm đến lưu lượng được nhận hoặc sinh ra từ các bên IPSec IP-VPN tại một giao diện nào đó yêu cầu thiết lập phiên thông tin IPSec cho lưu lượng đó. Bước 2: Thương lượng chế độ chính (Main Mode) hoặc chế độ tấn công (Aggressive Mode) sử dụng IKE cho kết quả là tạo ra liên kết an ninh IKE (IKE SA) giữa các bên IPSec. Bước 3: Thương lượng chế độ nhanh (Quick Mode)sử dụng IKE cho kết quả là tạo ra 2 IPSec SA giữa hai bên IPSec. Bước 4: Dữ liệu bắt đầu truyền qua đường ngầm mã hóa sử dụng kỹ thuật đóng gói ESP hoặc AH (hoặc cả hai). Bước 5: Kết thúc đường ngầm IPSec VPN. Nguyên nhân có thể là do IPSec SA kết thúc hoặc hết hạn hoặc bị xóa. Tuy là chia thành 4 bước, nhưng cơ bản là bước thứ 2 và bước thứ 3, hai bước này định ra một cách rõ ràng rằng IKE có tất cả 2 pha. Pha thứ nhất sử dụng chế độ chính hoặc chế độ tấn công để trao đổi giữa các bên, và pha thứ hai được hoàn thành nhờ sử dụng trao đổi chế độ nhanh.
Hình 3.4: Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE Sau đây chúng ta sẽ đi xem xét cụ thể các bước và mục đích của các pha IKE. Bước thứ nhất Việc quyết định lưu lượng nào cần bảo vệ là một phần trong chính sách an ninh của mạng VPN. Chính sách được sử dụng để quyết định cần bảo vệ lưu lượng nào (những lưu lượng khác không cần bảo vệ sẽ được gửi dưới dạng văn bản rõ). Chính sách an ninh sẽ được phản chiếu trong một danh sách truy nhập. Các bên phải chứa danh sách giống nhau, và có thể có đa danh sách truy nhập cho những mục đích khác nhau giữa các bên. Những danh sách này được gọi là các danh sách điều khiển truy nhập (ACLs- Acess Control List). Nó đơn giản là danh sách truy nhập IP mở rộng của các routers được sử dụng để biết lưu lượng nào cần mật mã. ACLs làm việc khác nhau dựa vào mục đích các câu lệnh permit (cho phép) và denny (phủ nhận) là khác nhau. Hình 3.17 trình bày kết quả của các trạng thái khi thực hiện lệnh permit và deny của nguồn và đích:
 Hình 3.5 Danh sách bí mật ACL Từ khóa permit và deny có ý nghĩa khác nhau giữa thiết bị nguồn và đích: Permit tại bên nguồn: cho qua lưu lượng tới IPSec để nhận thực, mật mã hóa hoặc cả hai. IPSec thay đổi gói tin bằng cách chèn tiêu đề AH hoặc ESP và có thể mật mã một phần hoặc tất cả gói tin nguồn và truyền chúng tới bên đích. Deny tại bên nguồn: cho đi vòng lưu lượng và đưa các gói tin bản rõ tới bên nhận. Permit tại bên đích: cho qua lưu lượng tới IPSec để nhận thực, giải mã, hoặc cả hai. ACL sử dụng thông tin trong header để quyết định. Trong logic của ACL, nếu như header chứa nguồn, đích, giao thức đúng thì gói tin đã được xử lý bởi IPSec tại phía gửi và bây giờ phải được xử lý ở phía thu. Deny tại bên đích: cho đi vòng qua IPSec và giả sử rằng lưu lượng đã được gửi ở dạng văn bản rõ. Khi những từ khóa permit và deny được kết hợp sử dụng một cách chính xác, dữ liệu được bảo vệ thành công và được truyền. Khi chúng không kết hợp chính xác, dữ liệu bị loại bỏ. Bảng 3.2 trình bày kết hợp các lệnh permit và deny và kết quả thực hiện cho các kết hợp: Kết quả khi kết hợp lệnh permit và deny Nguồn  Đích  Kết quả   Permit  Permit  Đúng   Permit  Deny  Sai   Deny  Permit  Sai   Deny  Deny  Đúng   Bước thứ hai Bước thư hai này chính là IKE pha thứ nhất. Mục đích của IKE pha thứ nhất: Đồng ý một tập các tham số được sử dụng để nhận thực hai bên và mật mã một phần chế độ chính và toàn bộ trao đổi thực hiện trong chế độ nhanh. Không có bản tin nào ở chế độ tấn công được mật mã nếu chế độ tấn công được sử dụng để thương lượng. Hai bên tham gia IP-VPN nhận thực với nhau. Tạo khóa để sử dụng làm tác nhân sinh ra khóa mã hóa mã hóa dữ liệu ngay sau khi thương lượng kết thúc. Tất cả thông tin thương lượng trong chế độ chính hay chế độ tấn công, bao gồm khóa sau đó sử dụng để tạo khóa cho quá trình mật mã dữ liệu, được lưu với tên gọi là IKE SA hay ISAKMP SA (liên kết an ninh IKE hay ISAKMP). Bất kỳ bên nào trong hai bên cũng chỉ có một ISAKMP liên kết an ninh giữa chúng.
Hình 3.6: IKE pha thứ nhất sử dụng chế độ chính (Main Mode) Chế độ chính có trao đổi 6 bản tin (tức là có 3 trao đổi 2 chiều) giữa hai bên khởi tạo và biên nhận: Trao đổi thứ nhất: Các thuật toán mật mã và xác thực (sử dụng để bảo vệ các trao đổi IKE) sẽ được thỏa thuận giữa các đối tác. Trao đổi thứ hai: Sử dụng trao đổi Diffie-Hellman để tạo khóa bí mật chia sẻ (shared secret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của mỗi đối tác. Khóa bí mật chia sẻ được sử dụng để tạo ra tất cả các khóa bí mật và xác thực khác. Trao đổi thứ ba: xác minh nhận dạng các bên (xác thực đối tác). Kết quả chính của c