ISAKMP（Internet Security Association Key Management Protocol，Internet安全关联密钥管理协议）由RFC2408定义，定义了协商、建立、修改和删除SA的过程和包格式。ISAKMP只是为SA的属性和协商、修改、删除SA的方法提供了一个通用的框架，并没有定义具体的SA格式。

ISAKMP没有定义任何密钥交换协议的细节，也没有定义任何具体的加密算法、密钥生成技术或者认证机制。这个通用的框架是与密钥交换独立的，可以被不同的密钥交换协议使用。

ISAKMP报文可以利用UDP或者TCP，端口都是500，一般情况下常用UDP协议。

ISAKMP双方交换的内容称为载荷（payload），ISAKMP目前定义了13种载荷，一个载荷就像积木中的一个“小方块”，这些载荷按照某种规则“叠放”在一起，然后在最前面添加上ISAKMP头部，这样就组成了一个ISAKMP报文，这些报文按照一定的模式进行交换，从而完成SA的协商、修改和删除等功能。

在配置IPSEC VPN的时候，只能设置它，前两个协议不能被设置，

IKE是以上三个框架协议的混合体。IP SEC强是因为他IKE强。

IKE为IPSec通信双方提供密钥材料，这个材料用于生成加密密钥和验证密钥。另外，IKE也为IPSec协议AH ESP协商SA。

IKE中有4种身份认证方式：

（1） 基于数字签名（Digital Signature），利用数字证书来表示身份，利用数字签名算法计算出一个签名来验证身份。

（2） 基于公开密钥（Public Key Encryption），利用对方的公开密钥加密身份，通过检查对方发来的该HASH值作认证。

（3） 基于修正的公开密钥（Revised Public Key Encryption），对上述方式进行修正。

（4） 基于预共享字符串（Pre?Shared Key），双方事先通过某种方式商定好一个双方共享的字符串。

IKE目前定义了4种模式：主模式、积极模式、快速模式和新组模式。前面3个用于协商SA，最后一个用于协商Diffie Hellman算法所用的组。主模式和积极模式用于第一阶段；快速模式用于第二阶段；新组模式用于在第一个阶段后协商新的组。

在第一阶段中：

主模式：LAN to LAN 六个包交换，在认证的时候是加密的，

1、2个包：策略和转换集的协商。第一阶段的加密和HASH的策略，包括对方的IP地址。对第阶段策略的协商，发起者把它所有的策略发给接收者让它选择协商（发起者可以设很多个策略），

3、4个包：进行DH（DH算出的公共值和两边产生的随机数）的交换，这两外包很大，MTU小可能在这个地方出错。

5、6个包：彼此进行认证，HASH被加密过，对方解密才能进行认证。

远程拔号VPN：激进模式，3个包，减少对PC的压力，在认证的时候是不加密的

在第二阶段中（快速模式）：会对第一阶段的信息再做一次认证

快速模式：当IP SEC参数设的不一致，它会在快速模式的第1、2个包报错，会出现不可接受信息。以及感兴趣流（ACL定义内容）也要匹配。ACL两边要对应一致。

快速模式的1、2、3个包的作用是再进行双方的认证，协商IP sec SA的策略，建立IP sec的安全关联，周期性的更新IP sec的SA，默认一小时一次，ISAKMP默认是一天更新一次，协商双方的感兴趣流，如果有PFS，就会进行新一轮的DH交换，过程与第一阶段的DH交换基本一样。