为什么要使用 IKE Lifetime 和 IPSec Lifetime？我们不能在不重新协商的情况下运行 VPN 吗？为什么会发生 VPN 中的重新协商？什么是必需品？

每个键都容易受到蛮力的影响。这是不可避免的。

如果您只使用一个密钥，并且攻击者设法暴力破解您的一个密钥，那么您曾经发送或接收的所有数据都会受到损害。

为了限制潜在危害的范围，IPsec 会执行“重新加密”操作，因此如果暴力破解成功，最多只有 8 小时的数据会受到危害。

此外，每个方向使用的密钥都不同，因此如果单个密钥被泄露（这不是微不足道的），对话的一方只有 8 小时被泄露。

重新谈判会发生什么？它会初始化整个主模式和快速模式消息吗？

当第 2 阶段重新键入时，将再次执行快速模式。

当第 1 阶段重新键入时，将再次执行主模式。

此处概述了快速模式和主模式中发生的一些细节：

在 IPsec VPN 中，预共享密钥是如何加密的？

IKE Phase 1 计时器应该匹配还是选择最低的？IPSec Phase 2 计时器应该匹配还是选择最低的？

在两个对等体之间，他们同意使用最低配置的计时器。如果一个对等体更喜欢 IKE/Isakmp 的 86400 超时，而另一个更喜欢 43200，那么他们都同意使用 43200。

第 2 阶段也一样。

为什么要使用 IKE Lifetime 和 IPSec Lifetime？我们不能在不重新协商的情况下运行 VPN 吗？

为什么会发生 VPN 中的重新协商？什么是必需品？

是的，理论上你可以永远使用相同的密钥。但就像您的 PC 密码一样，最好定期更改密钥。它可以防止“坏人”发现您的密钥并可能访问您过去的所有消息以及您未来的消息。

默认 ike 生命周期为 28800 秒。默认 ipsec 生命周期为 3600 秒。

重新协商密钥是因为它们可以被暴力破解，然后攻击者可以解密所有捕获的流量。

PFS 选项允许您在不使用旧密钥的情况下更新密钥，这样更安全。