IKE — Internet Key Exchange protokoli bo‘lib, IPsec peerlarini autentifikatsiya qilish, cryptographic algoritmlarni kelishish va ESP yoki AH uchun Security Association hamda key materialini yaratishga xizmat qiladi. Zamonaviy deploymentlarda IKEv2 keng ishlatiladi. U odatda UDP 500, NAT mavjud bo‘lsa UDP 4500 orqali ishlaydi.
IKE SA_INIT
IKEv2 almashinuvi IKE_SA_INIT bilan boshlanadi. Tomonlar supported proposal, Diffie–Hellman public value va nonce almashadi. Natijada key derivation uchun umumiy secret hosil bo‘ladi. Bu bosqich hali peer identityni to‘liq autentifikatsiya qilmaydi.
Proposal encryption, integrity, pseudorandom function va DH groupni belgilaydi. Mos kombinatsiya topilmasa negotiation tugaydi. Juda ko‘p proposal CPU va interoperabilityni murakkablashtiradi; policy ruxsat etilgan kuchli to‘plamni beradi.
IKE_AUTH
IKE_AUTH encrypted kanal ichida identity, authentication va Child SA parametrlarini almashadi. Pre-shared key, digital signature yoki EAP orqali autentifikatsiya mumkin. Certificate ishlatilsa chain, name, key usage, amal muddati va revocation policy tekshiriladi.
Traffic Selector initiator va responder himoyalanadigan subnet yoki host diapazonini kelishadi. Toraytirish peer policyga mos scope hosil qiladi. Noto‘g‘ri selector tunnel up ko‘rinsa ham kerakli trafik o‘tmasligiga olib keladi.
IKE SA va Child SA
IKE SA keyingi control xabarlarini himoya qiladi. Child SA real ESP/AH trafik keylari va parametrlarini saqlaydi. Bir IKE SA ostida bir nechta Child SA bo‘lishi mumkin. Har yo‘nalishning SPI va sequence statei alohida.
CREATE_CHILD_SA yangi Child SA yaratish yoki rekey uchun ishlatiladi. Rekey paytida eski va yangi SA qisqa vaqt birga turishi mumkin. Delete exchange eskisini tartibli tugatadi; xabar yo‘qolsa lifetime cleanup yordam beradi.
NAT va mobility
NAT detection hashlar orqali manzil-port translation borligi aniqlanadi. NAT-T ESPni UDP encapsulationga o‘tkazadi. Keepalive NAT mappingni jim davrda saqlashi mumkin.
MOBIKE IKEv2 extensioni endpoint IP o‘zgarganda tunnelni yangi manzilda davom ettirishga yordam beradi. Bu remote access mobil client uchun foydali. Identity va SA saqlansa ham yangi path policy va reachability tekshiruvdan o‘tadi.
Liveness va nosozlik
Dead Peer Detection yoki IKEv2 liveness so‘rovi peer javob bermayotganini aniqlaydi. Network partition peer o‘lganini mutlaq isbotlamaydi; timeoutdan keyin SA cleanup va qayta negotiation policyga ko‘ra bajariladi.
Diagnostikada state machine bosqichi, notify payload, proposal mismatch, certificate va traffic selector ko‘riladi. System clock xato bo‘lsa certificate validligi va rekey timer buzilishi mumkin. IKE logi sensitiveni, ayniqsa pre-shared keyni chiqarmaydi.
Cookie va xizmatni himoyalash
IKE responder qimmat Diffie–Hellman hisobini boshlashdan oldin initiator manzilini cookie bilan tekshirishi mumkin. Bu spoof qilingan paketlar orqali state va CPUni tugatishga qarshi yordam beradi. Cookie autentifikatsiyaning o‘rnini bosmaydi; u faqat so‘rovchi qaytish manzilidagi javobni ola bilishini taxminan tasdiqlaydi. Rate limit va connection state monitoring ham zarur. Negotiation failure logida peer identity, proposal va notify code yetarli bo‘ladi, ammo nonce, private key yoki PSK kabi secretlar yozilmaydi.
IKE fragmentation katta certificate zanjiri IP fragmentatsiyasiga tushmasligi uchun xabarni protokol darajasida bo‘laklaydi. Ikki peer extensionni qo‘llashi kerak. Fragmentlar yo‘qolsa negotiation timeout bo‘ladi; MTU, firewall va certificate hajmi birgalikda tekshiriladi. Keraksiz oraliq sertifikatlar xabarni kattalashtiradi.
Bog‘liq tushunchalar
IKEv2, IPsec, ESP, Diffie–Hellman, Security Association, NAT Traversal, MOBIKE