IP XFRM配置:利用linux kernel自带的IPSec实现,手动配置IPSec

最新推荐文章于 2023-12-26 10:15:16 发布
最新推荐文章于 2023-12-26 10:15:16 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: IPSec Net Working

1、拓扑

192.168.18.101 <=======> 192.168.18.102

2、配置192.168.18.101

ip xfrm state add src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301 mode tunnel auth md5 0x96358c90783bbfa3d7b196ceabe0536b enc des3_ede 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df
ip xfrm state add src 192.168.18.102 dst 192.168.18.101 proto esp spi 0x00000302 mode tunnel auth md5 0x99358c90783bbfa3d7b196ceabe0536b enc des3_ede 0xffddb555acfd9d77b03ea3843f2653255afe8eb5573965df
ip xfrm state get src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301

ip xfrm policy add src 192.168.18.101 dst 192.168.18.102 dir out ptype main tmpl src 192.168.18.101 dst 192.168.18.102 proto esp mode tunnel
ip xfrm policy add src 192.168.18.102 dst 192.168.18.101 dir in ptype main tmpl src 192.168.18.102 dst 192.168.18.101 proto esp mode tunnel
ip xfrm policy ls

3、配置192.168.18.102

ip xfrm state add src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301 mode tunnel auth md5 0x96358c90783bbfa3d7b196ceabe0536b enc des3_ede 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df
ip xfrm state add src 192.168.18.102 dst 192.168.18.101 proto esp spi 0x00000302 mode tunnel auth md5 0x99358c90783bbfa3d7b196ceabe0536b enc des3_ede 0xffddb555acfd9d77b03ea3843f2653255afe8eb5573965df
ip xfrm state get src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301

ip xfrm policy add src 192.168.18.101 dst 192.168.18.102 dir in ptype main tmpl src 192.168.18.101 dst 192.168.18.102 proto esp mode tunnel
ip xfrm policy add src 192.168.18.102 dst 192.168.18.101 dir out ptype main tmpl src 192.168.18.102 dst 192.168.18.101 proto esp mode tunnel
ip xfrm policy ls

4、测试4.1在192.168.18.101上执行

ping 192.168.18.102

4.2在192.168.18.102上抓包

tcpdump -p esp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
11:12:00.771364 IP 192.168.18.101 > 192.168.18.102: ESP(spi=0x00000301,seq=0x41d), length 116
11:12:00.771498 IP 192.168.18.102 > 192.168.18.101: ESP(spi=0x00000302,seq=0x183), length 116
11:12:01.773378 IP 192.168.18.101 > 192.168.18.102: ESP(spi=0x00000301,seq=0x41e), length 116
11:12:01.773787 IP 192.168.18.102 > 192.168.18.101: ESP(spi=0x00000302,seq=0x184), length 116
11:12:02.774682 IP 192.168.18.101 > 192.168.18.102: ESP(spi=0x00000301,seq=0x41f), length 116
11:12:02.774793 IP 192.168.18.102 > 192.168.18.101: ESP(spi=0x00000302,seq=0x185), length 116
dolphin98629
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ipsec内核实现分析
07-04
linuxipsec内核实现源码分析,本人的源码阅读笔记,主要讲解了xfrm模块的实现和源码流程,有需要的可以下载参考
Flannel - 原理
weixin_30872337的博客
05-23 528
Flannel GitHub 地址 Flannel 是 Kubernetes 中常用的网络配置工具,用于配置第三层(网络层)网络结构。 如何工作 Flannel 需要在集群中的每台主机上运行一个名为 flanneld 的代理程序,负责从预配置地址空间中为每台主机分配一个网段。Flannel 直接使用 Kubernetes API 或 ETCD ...
ip xfrm命令是做什么的?
weixin_30666943的博客
04-25 1820
答: 设置xfrmxfrm(transform configuration)是一个IP框架,用来转换数据包的格式,也就是使用算法来加密数据包,该框架用作IPsec协议的一部分   ip xfrm state flush - 刷新状态   ip xfrm state add - 将新状态添加到xfrm中   ip xfrm policy add - 将新策略添加到xfrm中   ip xf...
理解Docker(5):Docker 网络
weixin_34239592的博客
10-01 264
 本系列文章将介绍 Docker的相关知识: (1)Docker 安装及基本用法 (2)Docker 镜像 (3)Docker 容器的隔离性 - 使用 Linux namespace 隔离容器的运行环境 (4)Docker 容器的隔离性 - 使用 cgroups 限制容器使用的资源 (5)Docker 网络   1. Docker 网络概况 用一张图来说明 Docker 网络的基本...
IP xfrm 命令说明1-sa
funtasty的专栏
07-23 717
对数据加密、认证的算法。ipsec能使用的算法跟内核算法模块支持的算法不同,是其子集。不同版本的内核支持的算法列表页不同,详见附录1: 内核支持的算法列表。封装模式,ESP封装协议支持隧道和传输模式,一般使用隧道模式(过NAT)原地址、目的地址、协议(IPsec封装协议)和spi共同决定一个sa。带封装的ESP,比如espinudp 、espintcp。sa的限制,可以通过时间、数据包、数据量来更新sa。ID 是键值, 用来区分不同SA。关联sp,选择进入隧道的数据流。数据流的协议等特征。
Linux 2.6内核中IPSec支持机制分析.pdf
09-06
Linux 2.6内核中IPSec支持机制分析.pdf
IP XFRM配置示例:利用linux kernel自带IPSec实现手动配置IPSec
热门推荐
王以山的专栏
04-20 1万+
1、拓扑 192.168.18.101 192.168.18.102 2、配置192.168.18.101 ip xfrm state add src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301 mode tunnel auth md5 0x96358c90783bbfa3d7b196ceabe0536b enc
IPsec配置工具IP xfrm
funtasty的专栏
07-23 1044
ip xfrm 的命令全部内容
ip xfrm配置nat穿越
xingyeping的博客
05-09 6041
环境:Linux CentOS4.5.3-1.el7.elrepo.x86_64 VMWare虚拟机VM1--VM2,两个口直连。VM1:192.168.233.180;VM2:192.168.233.190. 正常配置一个非NAT穿越报文封装的IPsec隧道,然后使用ping命令测试,没有问题,如下配置ip xfrm state add src 192.1
Kosmos实战系列:有状态服务(MySQL)跨云灾备实战
2301_80257403的博客
12-26 860
对于第一点,一些常见的CNI如Calico、Flannel,我们已经完成了适配。关于IPsec规则的创建,部分代码我们借鉴了Flannel,有些区别的是Flannel部分借助了Strongswan(配置IPsec规则的开源工具)的能力,而我们在Kosmos中直接进行ip xfrm相关的操作,这样无需把Strongswan的二进制工具打到镜像内,可以减少镜像包的大小,但如果引入Strongswan可以更加容易的应对复杂的网络场景,后续我们会考虑引入以处理复杂的跨公网集群网络拓扑。
Linux 内核IPSecxfrm)协议栈源码分析
06-21
很清楚的分析了一个数据包如何通过查询路由进入内核ipsec协议栈的处理、Linux 内核ipsec协议栈详细的加解密流程以及加解密完后如何将数据包发送出去。 文档中前半部分主要介绍一些关键的数据结构,及其相互之间的...
xfrm6_output.rar_ipsec
09-24
Common IPsec encapsulation code for IPv6.
linux-kernel-exploits:linux-kernel-exploits Linux平台提权伸缩集合
01-31
Linux内核漏洞简介Linux内核漏洞进攻清单#CVE#描述#内核 [kernel / user_namespace.c中的map_write()允许特权升级] (Linux内核4.15.x到4.19.2之前的4.19.x) [glibc] (glibc <= 2.26) [Sudo](Sudo 1.8.6...
xfrm_poc:Linux内核XFRM UAF POC(3.x-5.x内核)
03-12
Linux内核3.x-5.x XFRM UAF PoC 这是去年报告的。 CentOS是2020年1月修补该错误的最后一个发行版。 技术报告在这里 在以下发行版中,应在构建日期为2019年7月至11月之前的所有内核上工作: Ubuntu 14.04 / 16.04...
多图表实现员工满意度调查数据分析python
04-22
员工满意度是指员工对于工作环境、待遇、职业发展和组织管理等方面的满意程度。它是衡量员工对工作的整体感受和情绪状态的重要指标。
2020届软件工程本科毕业生毕业设计项目.zip
04-22
2020届软件工程本科毕业生毕业设计项目
基于stm32平衡小车
04-22
平衡小车 基于stm32 平衡小车 基于stm32 平衡小车 基于stm32
c语言火车票订票管理源码.rar
04-22
c语言火车票订票管理源码.rar
施耐德PLC例程源码四台水泵的轮换
最新发布
04-22
施耐德PLC例程源码四台水泵的轮换提取方式是百度网盘分享地址
ipsec xfrm state命令
07-27
如果你需要添加、删除或修改 IPsec SA 和 SP,你可以使用 `ip xfrm` 子命令和其他相关命令。 请注意,`ipsec xfrm state` 命令需要在具有适当权限的系统上执行,通常需要管理员或具有特定权限的用户才能使用。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值