ESP、AH用来对IP报文进行加/解密、验证以达到保护IP报文的目的，而IKE则是通信双方用来协商加/解密算法及其密钥、密钥的生命期、验证算法的。IKE协议是Oakley和SKEME协议的一种混合，并在由ISAKMP规定的一个框架内运作。

IKE阶段1，IKE 在两个IKE对等体间创建一个认证过的安全通道，IKE SA。安全关联（SA）是实体间的关系，它表示通信方如何使用安全服务进行安全通信。IKE SA就是IKE之间如何使用安全服务进行通信；IPSec SA就是IPSec实体间如何使用安全服务进行通信。

IKE阶段1的目的是鉴别IPSec对等体，在对等体间设立安全通道，以便IKE交换信息。主要功能如下：鉴别和保护IPSec实体的身份；协商IKE SA；执行D-H交换；建立安全通道以便协商IKE阶段2的参数。存在两种模式：
1、Main Mode
       双方存在3次双向交换：
       第一次交换 保证IKE通信安全的算法和Hash在匹配对等体间的IKE SA被商定
       第二次交换 用D-H交换来产生共享的、用户产生共享密钥的密钥材料，同事传送nonces，对他们进行签名并返回之以确认身份。
       第三次交换 用于验证对方的身份。身份值是以加密的IPSec对等体的IP地址。
       IKE SA为IKE指定下列参数值:
                                                   认证方法{Pre-Share|RSA签名|RSA加密}
                                                   加密和Hash算法
                                                   D-H组
                                                   IKE SA life time
                                                   加密算法的共享密钥
2、积极模式（ Aggressive Mode）
    在一次交换中，该模式中几乎所有的需要交换的信息都被压缩到所建议的IKE SA参数值中了。该模式速度快，但是是不安全的。PIX可以对发起积极模式交换的IPSec对等体进行相应，在一般情况下不用积极模式发起IKE交换。
    
IKE阶段2，协商IPSec SA，还要生产IPSec所需要的密钥。发送端提供一个或多个变换集合(Transform sets)，用于指定一个被允许的交换组合。IKE阶段2 执行以下功能：协商IPSec SA参数，建立IPSec SA，周期性的重新协商IPSec SA，可选的执行一次额外的D-H交换。IKE阶段2只有一种模式，快捷模式（Quick Mode）。快捷模式协商一个共享的IPSec策略，获得共享的、用于IPSec安全算法的密钥材料，并建立IPSec SA。快捷模式也用在IPSec SA life time 过期之后重新协商一个新的IPSec SA。如果在IPSec策略里指定了完美向前保密（Perfect Forward Secrecy，PFS），在快捷模式中将执行一次额外的D-H交换。
      
PIX 建立IKE P1策略的步骤 （IKE阶段1）

一、建立IKE P1策略
1）用优先级号码标识策略 1为最高
fw1(config)# isakm policy ?

configure mode commands/options:
<1-65535> Policy suite priority(1 highest, 65535 lowest)
fw1(config)# isakm policy 10

2）配置isakmp policy
1、指定加密算法
fw1(config-isakmp-policy)# encryption ?

crypto-isakmp-policy mode commands/options:
3des    3des encryption
aes     aes-128 encryption
aes-192 aes-192 encryption
aes-256 aes-256 encryption
des     des encryption

fw1(config-isakmp-policy)# encryption 3des

2、指定Hash算法
fw1(config-isakmp-policy)# hash ?

crypto-isakmp-policy mode commands/options:
md5 set hash md5
sha set hash sha

fw1(config-isakmp-policy)# hash sha

3、指定认证模式
fw1(config-isakmp-policy)# authentication ?

crypto-isakmp-policy mode commands/options:
crack     set auth crack
pre-share set auth pre-share
rsa-sig   set auth rsa-sig

fw1(config-isakmp-policy)# authentication pre-share

4、指定D-H组
fw1(config-isakmp-policy)# group ?

crypto-isakmp-policy mode commands/options:
1 Diffie-Hellman group 1
2 Diffie-Hellman group 2
5 Diffie-Hellman group 5
7 Diffie-Hellman group 7

configure mode commands/options:
fw1(config-isakmp-policy)# group 2

5、IKE SA生存时间
fw1(config-isakmp-policy)# lifetime ?

crypto-isakmp-policy mode commands/options:
<120-2147483647> Lifetime in seconds
none              Disable rekey and allow an unlimited rekey period
fw1(config-isakmp-policy)# lifetime 86400

PIX 建立IKE P2策略的步骤 （IKE阶段 2）

一、准备阶段
1、准备变换集
fw1(config)# crypto ipsec transform-set trans-name ?

configure mode commands/options:
esp-3des        esp 3des encryption
esp-aes         esp aes 128 encryption
esp-aes-192     esp aes 192 encryption
esp-aes-256     esp aes 256 encryption
esp-des         esp des encryption
esp-md5-hmac    esp md5 authentication
esp-none        esp no authentication
esp-null        esp null encryption
esp-sha-hmac    esp sha authentication
mode            mode transport

fw1(config)# crypto ipsec transform-set trans-name esp-3des esp-sha-hmac
fw1(config)#

2、准备ACL，匹配需要IPSec SA 保护的数据流
access-list acl-name extend permit ip 192.168.20.0 255.255.255.0 192.168.30.0 255.255.255.0

3、定义 Group Tunnel
fw1(config)# tunnel-group peer-ip-address type ipsec-l2l
fw1(config)# tunnel-group peer-ip-address ipsec-attributes
fw1(config-ipsec)# pre-shared-key cisco

二、建立IKE 2策略

crypto map

1、为该IPSec SA指定IKE协商方式
fw1(config)# crypto map map-name seq-num ipsec-isakmp
fw1(config)#
    指明IKE协商方式，也就是通信双方利用通过ISAKMP/IKE协议报文的交互来协商IPSec SA，双方就transform-sets、密钥达成一致。在设置加密map的参数时，指定密钥的生命周期，还可以指定 PFS的group。采用IKE方式的优点是安全性比较高，且密钥会在生命周期过后自动废除并生成新的新的密钥用于IPSec通信。但是它也会带来额外通信开销的缺点。IPSec SA的协商方式除了IKE方式，还存在其他方式如： manual等等。
  
2、匹配需要IPSec SA 保护的数据流
fw1(config)# crypto map map-name seq-num match address ?

configure mode commands/options:
WORD Access-list name
fw1(config)# crypto map map-name seq-num match address acl-name

3、指定交换集合
fw1(config)# crypto map map-name seq-num set transform-set fransform-sets-name

4、指定IPSec的peer
crypto map map-name seq-num set peer ip_address

三、IKE P1、P2策略到相应的接口
fw1(config)# isakmp enable Outside
fw1(config)# crypto map map-name interface Outside