IKEv1和IKEv2对比，场景和原理

IKEv1 VS IKEv2：

IKEv2更快，引入了EAP，支持远程接入解决方案，整合了多个技术，比如DPD NAT-T。支持消息确认，感兴趣流协商，抵御DDOS攻击(源认证，生成一个根据时间产生的cookie值，让对方下次发送带这个cookie值)

IKEv2没有主模式和野蛮模式，正常情况使用2次交换共4条消息即可完成协商IKE SA和IPSec SA

Message3 : HDR,SK{IDi,证书,和证书请求,IDr,AUTH,SAi2,TSi,TSr}

SK:加密载荷 证明{}中是加密的

IDi:主模式第五个包的ID

IDr:发送方ID

AUTH:相当于主模式第五个包的HASH_i    <skeyid+Idi+前面参数>

SAi2:快速模式的IPSec的Proposal

TSi,TSr:感兴趣流（V2感兴趣流可以协商）

IKEv2，B验证A的身份主要有三种方式：如果是预共享秘钥的方式 ，B通过验证AUTH字段，是一个HASH值，HASH的内容是ID值、skeyid，前面交互过的值

如果B计算出来的AUTH值和A发送过来的AUTH值，就验证成功了A的身份；

如果是数字证书：1.B获得CA证书  2.B验证CA证书合法性(CA颁发的证书为合法证书,检查CA用私钥加密的"签名")  3.身份验证(通过AUTH值，通过证书中A的公钥解密AUTH。B自己计算一次AUTH，相同则为A)

1.协议建立区别：

IKEv1分为两个阶段，第一阶段分为两个模式：主模式和野蛮模式，主模式协商6个报野蛮模式3个包协商IKE SA，协商IPSec SA需要3个包，

而IKEv2协商IKE  SA和IPSec SA只需要4个包，协商速度更快

正常情况IKEv2协商一对IPSec SA只需要2(协商IKE SA)+2(协商IPSec SA)=4条消息。后续每建立一对IPSec SA只会增加2条消息

2.终端接入区别

增加了EAP方式的身份认证。IKEv2通过EAP协议解决了远程接入用户认证的问题，彻底摆脱了L2TP的牵制。IKEv2已经广泛引用于远程接入网络中了

IKEv2增加EAP身份认证，支持远程访问接入，而IKEv1不支持，需要结合L2TP进行认证

3.IKEv2整合多个技术,dpd,nat-t