Kết nối IPSec chỉđược hình thành khi SA đã được thiết lập. Tuy nhiên bản thân IPSec khơng cĩ cơ chếđể thiết lập SA. Chính vì vậy, IETF đã chọn phương án chia quá trình ra làm hai phần: IPSec cung cấp việc xử lý ở mức gĩi, cịm IKMP (Internet Key Management Protocol) chịu trách nhiệm thỏa thuận các kết hợp an ninh. Sau khi cân nhắc các phương án, trong đĩ cĩ SKIP (Simple Key Internet Protocol), và Photuis, IETF
đã quyết định chọn IKE (Internet Key Exchange) là chuẩn để cấu hình SA cho IPSec. Một đường ngầm IPSec IP-VPN được thiết lập giữa hai bên qua các bước như sau:
Host 1 Security Gwy 1 Security Gwy 2 Host 2 Internet SA 1 (Tunnel)
Bước 1: Quan tâm đến lưu lượng được nhận hoặc sinh ra từ các bên IPSec IP- VPN tại một giao diện nào đĩ yêu cầu thiết lập phiên thơng tin IPSec cho lưu lượng đĩ.
Bước 2: Thương lượng chế độ chính (Main Mode) hoặc chế độ tấn cơng (Aggressive Mode) sử dụng IKE cho kết quả là tạo ra liên kết an ninh IKE (IKE SA) giữa các bên IPSec.
Bước 3: Thương lượng chếđộ nhanh (Quick Mode)sử dụng IKE cho kết quả là tạo ra 2 IPSec SA giữa hai bên IPSec.
Bước 4: Dữ liệu bắt đầu truyền qua đường ngầm mã hĩa sử dụng kỹ thuật đĩng gĩi ESP hoặc AH (hoặc cả hai).
Bước 5: Kết thúc đường ngầm IPSec VPN. Nguyên nhân cĩ thể là do IPSec SA kết thúc hoặc hết hạn hoặc bị xĩa.
Tuy là chia thành 4 bước, nhưng cơ bản là bước thứ 2 và bước thứ 3, hai bước này định ra một cách rõ ràng rằng IKE cĩ tất cả 2 pha. Pha thứ nhất sử dụng chế độ
chính hoặc chế độ tấn cơng để trao đổi giữa các bên, và pha thứ hai được hồn thành nhờ sử dụng trao đổi chếđộ nhanh.
Hình 3.16: Các chếđộ chính, chếđộ tấn cơng, chếđộ nhanh của IKE
Sau đây chúng ta sẽđi xem xét cụ thể các bước và mục đích của các pha IKE.