IPSec
dolphin98629
这个作者很懒,什么都没留下…
展开
-
IP XFRM配置:利用linux kernel自带的IPSec实现,手动配置IPSec
1、拓扑192.168.18.101 192.168.18.1022、配置192.168.18.101ip xfrm state add src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301 mode tunnel auth md5 0x96358c90783bbfa3d7b196ceabe053转载 2013-11-08 16:23:09 · 2923 阅读 · 1 评论 -
IPSec穿越NAT
IPSec在NAT环境中的部署是VPN的热门难点技术之一,本专栏针对该问题进行原理性探讨,为后续VPN部署方案做下铺垫。IPSec VPN穿越NAT会遇到哪些问题IPSec VPN穿越NAT遇到的问题主要有2个:1. 穿越NAT后的身份确认:在IP网络中IP地址是最好的身份标识,IPSec VPN中标准身份标识也是IP地址,如上图所示,从前几期专栏的介绍中我们可以得知,NAT处转载 2015-08-27 11:22:43 · 1227 阅读 · 0 评论 -
IPSec方案部署
通过前面几期的介绍可以发现IPSec所涉及的参数很多,在具体方案部署过程中有许多灵活选择的地方,本期专栏就专门对IPSec在几种典型环境中的方案部署进行介绍。一、 常规IPSec方案上图所示网络环境是最基本的IPSec应用场景:1. 响应方无论在何种环境都是固定的公网地址;2. 发起方也是固定的公网地址;3. 双转载 2015-08-27 11:36:51 · 893 阅读 · 0 评论 -
IPSec安全策略及实现
IPSec数据流处理 数据流输入处理: 1)模块接收一个IP包; 2)如果IP包下一下协议proto=UDP&&port=500,绕过不处理,传给上层协议; 3)判断下一个协议proto是否AH或ESP,如果不是,根据其地址查SPD,如果有对应策略则丢弃该包否则绕过;(IPSec只负责IPSec包的处理) 4)查三元组,得said指针; 5)根据said查询SA转载 2014-02-20 10:44:13 · 5429 阅读 · 0 评论 -
Linux内核中的IPSEC实现(6)
Java代码 8. 安全协议 与IPSEC相关的安全协议是AH(51)和ESP(50), IPSEC使用这两个协议对普通数据包进行封装, AH只认证不加密, ESP既加密又认证, 当ESP和AH同时使用时, 一般都是先进行ESP封装, 再进行AH封装, 因为AH是对整个IP包进行验证的, 而ESP只验证负载部分. 在IPV4下的AH和ESP的协议实现在转载 2013-12-31 13:46:14 · 1511 阅读 · 0 评论 -
Linux内核中的IPSEC实现(4)
Java代码 6. XFRM的其他操作 6.1 HASH处理 关于HASH值的计算方法主要在net/xfrm/xfrm_hash.h中定义: // IPV4地址HASH static inline unsigned int __xfrm4_addr_hash(xfrm_address_t *addr) { // 就是地址本身转载 2013-12-31 13:40:09 · 1549 阅读 · 0 评论 -
Linux内核中的IPSEC实现(7)
9. IPSEC封装流程 IPSEC 数据包的封装过程是在数据包发出前完成的, 是和路由选择密切相关的, 根据前面的发出分析可知封装是通过对数据设置安全路由链表来实现的, 因此对数据包的IPSEC封装流程可以简单描述如下: 1) 对于进入的数据包, 进行路由选择, 如果是转发的, 进入路由输入, 然后查找安全策略检查是否需要IPSEC封装, 如果需要封装, 就查找和创建相关的安全路由, 进入路由输转载 2013-12-31 13:48:14 · 1838 阅读 · 0 评论 -
Linux内核中的IPSEC实现(5)
Java代码 7. IPV4下的xfrm支持处理 在xfrm中各种和地址相关的操作是和协议族相关的, 因此这部分的具体实现就放在相关的协议族实现中, 然后通过状态和策略信息结构来指引到实际的操作中,完成对普通数据包的IPSEC包装或对IPSEC包的解封装。 7.1 IPV4下的xfrm策略 IPV4下的xfrm策略在net/ipv4/xf转载 2013-12-31 13:45:12 · 1667 阅读 · 0 评论 -
Linux内核中的IPSEC实现(3)
Java代码 5. 安全策略(xfrm_policy)处理 本节所介绍的函数都在net/xfrm/xfrm_policy.c中定义。 5.1 策略分配 策略分配函数为xfrm_policy_alloc(), 该函数被pfkey_spdadd()函数调用 struct xfrm_policy *xfrm_policy_allo转载 2013-12-31 13:42:43 · 1624 阅读 · 0 评论 -
Linux内核中的IPSEC实现(1)
Java代码 1. 前言 在Linux2.6内核中自带了IPSEC的实现,这样就不用象2.4那样打补丁来实现了。该实现包括以下几个部分: PF_KEY类型套接口, 用来提供和用户层空间进行PF_KEY通信,代码在net/key目录下,前面已经介绍过;安全联盟SA和安全策略SP管理,是使用xfrm库来实现的,代码在net/xfrm/目录下定义;ESP,AH等协议实现,转载 2013-12-31 13:37:40 · 4770 阅读 · 0 评论 -
ip-xfrm - transform configuration
IP-XFRM(8) Linux IP-XFRM(8)NAME ip-xfrm - transform configurationSYNOPSIS ip [ OPTIONS ] xfrm { COMMAND | help } ip xfrm X转载 2013-11-08 16:24:05 · 2658 阅读 · 0 评论