Как работает туннель IKE

В этом разделе описывается алгоритм работы туннеля обмена Internet-ключами (IKE).

Туннели IKE настраиваются с помощью команды ike, при этом используются следующие демоны:
tmd
Демон администратора туннелей.
iked
Демон-посредник IKE (активен, только когда в системе настроены демоны IKEv1 и IKEv2).
isakmpd
Демон IKEv1.
ikev2d
Демон IKEv2.
cpsd
Демон Proxy сертификатов.
Для правильной настройки туннелей IKE демоны tmd и isakmpd должны быть запущены. Если защита IP запускается при загрузке, то эти демоны запускаются автоматически. В противном случае их следует запускать с помощью следующей команды:

startsrc -g ike

Для запуска туннеля администратор туннелей передает запрос команде isakmpd. Если туннель уже существует или недопустим (например, для него задан недопустимый удаленный адрес), то выдается сообщение об ошибке. Если запущено согласование, то для его выполнения может потребоваться некоторое время, зависящее от скорости сети. В случае успешного согласования определить состояние туннеля можно с помощью команды ike cmd=list. События администратора туннелей передаются syslog на уровне debug, event и information, и могут применяться для мониторинга процесса согласования.

При этом выполняется следующая последовательность операций:

  1. Затем туннель можно активировать командой ike.
  2. Демон tmd передает демону isakmpd запрос на установление соединения для управления ключами (первый этап).
  3. Демон isakmpd возвращает состояние SA создана или сообщение об ошибке.
  4. Демон tmd передает демону isakmpd запрос на установление соединения для управления данными (второй этап).
  5. Демон isakmpd возвращает состояние SA создана или сообщение об ошибке.
  6. Параметры туннеля добавляются в кэш туннелей ядра.
  7. В динамическую таблицу фильтров ядра добавляются правила фильтрации.

Если система выполняет функции отвечающей стороны, то демон isakmpd уведомляет демона tmd администратора туннелей об успешном согласовании туннеля и добавляет в ядро новый туннель. В этом случае процесс начинается с шага 3 и продолжается до шага 7 без выдачи запросов на соединение демоном tmd.