ipsec和ikev2哪个好ipsec和ssl

抓包可以看到访问者对自己做的所有操作对称：私钥算法，加密和解密都是使用这个密钥，一旦丢了，数据不安全，3次DES算法，加密大量数据很快非对称：公钥算法，生成公钥和私钥，公钥加密，私钥课解开，私钥加密，只能成对的公钥解开rsa(缺点慢)作用：给数字证书加密

非对称算法：cjdlh算法：生成密钥(group1(768bit),group2(1024bit),group5)RSA:不可逆hash：不能反运算，防止：将data 对称密钥用hash加密，对端也将收到data 对称密钥hash比较（md5，SHA）

A将publickey加密key后发给B（黑客回截到加密后数据，但是没有publickey无法解开）

nar1(conf-keyring)#pre-shared-keyaddress0.0.0.00.0.0.0key123

r1(config)#pr1(conf-isa-prof)#ar1(conf-isa-prof)#matchidentityaddress0.0.0.0(谁都可以跟我协商)

r1(config)#cryptodynamic-mapcisco1r1(config-crypto-map)#pr1(config-crypto-map)#ie•关联r1(config)#isco（静态不能直接调用第一阶段profile）

tunnel口下调用：（接口）tunnelprotectionipsecprofilel2l

EIGRP:单播，组播BMA:有几个点只发一份，NBMA:有几个点发几份，不具备广播功能MGRE：类似NBMA,总比和分布在一个网段hub端p2mp默认hello是30s，维护数据库，记录spoke的公网IP地址NHRP:一分部向总部发送，解析到另一分部公网IP地址，实现两个分部建隧道，当有流量触发每个spoke在启动时，将自己的IP地址注册在hub

hubinttunnel1ipadd1.1.1.1255.255.255.0modegremultiple

work-id1（进程号）ipnhrpmapmulticastdynamic（动态获取spoke端IP地址）

下一跳问题在hub端：ipnhrpredirect在spoke端：ipnhrpshortcut

OSPFhub默认是点到点，需要改成10s建邻居workp-2-mpiphello-interval10

（查看nhrp表）showipnhrpbr•ospf无法建立邻居，因为时nbma网络，不是广播，无法发hello包•EIGRP有水平分割问题：noipsplit-horizoneigrp100

spoketunnelsourcee0/0ipaddress1.1.1.2255.255.255.0modegremultipoint

work-id1ipnhrpmap1.1.1.115.1.1.1（手动写一条映射告诉hub）ipnhrpnhs1.1.1.1（去服务器注册）ipnhrpmapmulticast15.1.1.1（承载组播报文）