linux下 IPSec 应用案例

最新推荐文章于 2024-08-20 10:23:26 发布
最新推荐文章于 2024-08-20 10:23:26 发布
阅读量2.2k 收藏 1
点赞数 1
分类专栏: 网络 文章标签: linux algorithm encryption authentication compression exchange
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangsq12345/article/details/6049161
版权

 

====================    A与B主机直接相连 (相对简单)     =============================

准备工作: 

 准备2台电脑(建议linux),每台电脑配置一个虚拟机并以bridaged的模式配置虚拟机网络,如果都弄好了可以看以下内容(配置内容可以看在我之前的几篇文章)

   先来看一下2台电脑的网络配置清单:

 

     机器A1(物理机)有2个网卡 eth0 和 tap0, 还一台虚拟机记为A2有一个网卡 eth0

 

     机器B1(物理机)有2个网卡 eth0 和 tap0, 还一台虚拟机记为B2有一个网卡 eth0

 

Ip地址如下,

      机器           网卡接口                       IP/Mask

      A1                eth0                    192.168.1.11/24

      A1                tap0                    10.0.1.1/24

      A2                eth0                    10.0.1.2/24

 

      B1                eth0                    192.168.1.10/24

      B1                tap0                    10.0.2.1/24

      B2                eth0                    10.0.2.2/24

 

 

1. 安装racoon (一个专用于IPSec的工具.), 官方网站 http://ipsec-tools.sourceforge.net/

   $apt-get install racoon

 2. 在home目录下创建一个spd.txt文档,定义ipsec tunnel的配置

 

3.编辑 racoon 的配置文件

$ vi /etc/racoon/racoon.conf


 

 

4.  在 "/localhome/localuser/Bureau/ipsec"目录下创建 psk.txt

   然后权限更改

   $chmod 600 /localhome/clement/Documents/ipsec/psk.txt

           $ chdown root /localhome/clement/Documents/ipsec/psk.txt

5. 输入命令

   $setkey -f spd.txt

6.运行racoon,

   $racoon -F -d -d  /etc/racoon/racoon.conf

 

7.到此,一台主机配置完成,将另一台主机相同配置,不过把source和dest完全颠倒

 

8.如果所以配置都正确,现在我们从任意一台虚拟机 ping 另一台 虚拟机,数据包采取的IPSec协议(而不是传统的数据包)

 

 

如果你成功模拟了以上例子,有兴趣的话可以看一下如果A与B是通过另一台电脑相连的,那应该设置让从A到B的IPSec包经过C (就是B接受A的数据包,然后转发给B,而这些都也要采取IPSec协议)

====================    A与B主机通过C主机间接相连 (相对复杂)     =========================

当然要配置的文件跟上面的例子一样3个: spd.txt, psk.txt, racoon.conf

 

    机器A1(物理机)有2个网卡 eth0 和 tap0, 还一台虚拟机记为A2有一个网卡 eth0

 

     机器B1(物理机)有2个网卡 eth0 和 tap0, 还一台虚拟机记为B2有一个网卡 eth0

 

     机器C有一个网卡eth0,不需要虚拟机

 

Ip地址清单如下,

      机器           网卡接口                     IP/Mask

      A1                eth0                    192.168.1.11/24

      A1                tap0                    10.0.1.1/24

      A2                eth0                    10.0.1.2/24

 

      B1                eth0                    192.168.1.10/24

      B1                tap0                    10.0.2.1/24

      B2                eth0                    10.0.2.2/24

 

      C                  eth0                     192.168.1.12/24
以下在A主机上操作:

1. 更改文件 spd.txt

 

 

2.更改文件 psk.txt

 

3.更改 racoon.conf

 

以下在B 主机上操作:

跟A机器一样,只是在3个文件中出现A机器地址192.168.1.11 的地方换成B机器地址192.168.1.10

 

 

以下在C主机上操作:

C机器前提是已经按照了 racoon, 3个文件所在路径也跟AB相同

 

spd.txt 配置

 

racoon.conf 配置

 

spk.txt

 

 

好,到这里3台主机的IPSec配置都完成, 分别在3台电脑运行racoon

. 输入命令

   $setkey -f spd.txt

运行racoon,

   $racoon -F -d -d  /etc/racoon/racoon.conf

 

现在从A的虚拟机 A2 ping B2ip:10.0.2.1(可以在3台主机上运行 Wireshark,并监视eth0网络接口 ),如果在B机上看到收到 icmp 来自10.0.1.1 的数据包,就说明设置成功

如果不成功也不要泄气,肯定是因为某台电脑3个文件设置出问题了,因为ip太多混淆很正常

 

 

 

PS: IPSec-tools还不完善

jiangsq12345
关注
专栏目录
Linux: ipsec :相关
mzhan017的博客
03-04 102
https://www.cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html,推荐strongswan的原因是维护支持好,文档全面,还开源。内核里关于ipsec的实现里,将ip层的错误返回码给挤掉了,所以上层应用在调用sendto的时候,根本获取不到错误信息。需要注意,即使发送成功,也不代表真正的成功。如果从网上去搜索这个产品,相关的信息(使用,调试,问题等等)非常的少,几乎看不到。
Linux内核中的IPSEC实现(4)
weixin_33849942的博客
05-14 365
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 6. XFRM的其他操作 6.1 HASH处理 关于HASH值的计算方法主要在net/xfrm/xfrm_hash.h中定义: // IPV...
IPSEC流程例子及两个阶段的协商过程详细介绍
tycoon的专栏
11-04 9524
IPSEC VPN两个阶段的协商过程详细介绍 IPSec体系结构模型图   我们来看一个完整的IPSec体系结构模型图,以便更好地理解IPSec体系结构。   IPSec流程图 SAKMP/IKE第一阶段称为ISAKMP/IKE的管理连接阶段.使用双向的UDP端口为500的数据连接,来共享IPSEC消息.
Linux IPsec点到点配置
数据之路-忆梦前程
02-29 7555
linux点到点vpn ipsec配置 Juniper netscreen interop Juniper end point: set ike gateway "GW-01" address Main outgoing-zone "V1-Untrust" preshare "Your PSK Here" proposal "pre-g2-3des-md5" set ike
LinuxIPsec的实现--(实例)
weixin_34413103的博客
05-13 2369
LinuxIPsec的实现IPsec-×××:virtual private network--虚拟专用网×××作用:通过公网实现远程连接,将私有网络联系起来×××的类型:1、overlay的×××,例如IPsec-×××2、peer-to-peer的×××,例如MPLS-×××还可以分为二层×××和三层×××IPsec-×××是三层的×××IPsec-×××的分类:1、s...
Linux内核中的IPSEC实现(3)
weixin_34384557的博客
05-14 443
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 5. 安全策略(xfrm_policy)处理 本节所介绍的函数都在net/xfrm/xfrm_policy.c中定义。 5.1 策略分配 策略分...
linux ipsec内核,XFRM -- IPsec协议的内核实现框架
weixin_39688019的博客
04-29 995
IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。OverviewXFRM 实...
Linux 内核源码分析---IPsec 互联网安全协议
最新发布
学习记录
08-20 1158
学习记录
Linux 2.6内核中IPSec协议接入机制研究与分析.pdf
09-06
通过对Linux 2.6内核中的IPSec接入机制进行深入分析,我们可以理解内核如何在不显著影响性能的前提下提供强大的安全保护。这种集成方法不仅简化了系统的复杂性,也使得IPSec成为系统级安全策略的核心部分。随着...
linux ipsec用户设置,手把手教您配置IPSec安全策略(转)
weixin_35591093的博客
04-28 1707
网络的安全性已经成为大家关注的焦点。由于在IP协议设计之初并没过多考虑安全问题,因此早期的网络中经常发生遭受攻击或机密数据被窃取等问题。为了增强网络的安全性,IP安全(IPSec)协议应运而生。Windows 2000/XP/2003操作系统也提供了对IPSec协议的支持,这就是我们平常所说的“IPSec安全策略”功能,虽然它提供的功能不是很完善,但只要你合理定制,一样能很有效地增强网络安全。如何...
Linux内核加密框架:算法模版与IPSec应用
"本文主要探讨Linux内核中的加密框架,特别是分散/聚合支持在处理网络数据包中的应用,以及算法模版的概念和作用。" 在Linux内核中,分散/聚合(scatter/gather)机制是一种处理内存数据的技术,特别是在网络传输...
DNS,路由器,公网IP,内网IP的一些简单总结。
SAN_YUN的专栏
10-15 948
1。DNS就是域名解析,你注册了域名之后就可以在域名商那么把你的域名指定到你的公网IP上。所以域名解析和apache配置没有关系。这里要注意的是修改了域名解析之后需要等待4-8小时生效。 2。我们互联网可以比喻成一个城市,局域网就像一个小区,公网IP小区门牌号,内网IP是小区内的每户的门牌号,告诉别人一个公网IP只能访问我们小区,他还需要知道是那个内网IP,这个可以通过端口映射来做。 ...
Linuxipsec的支持
daa20的专栏
06-17 1800
转:https://blog.csdn.net/cxw06023273/article/details/83809492 前言 在Linux2.6内核中自带了PF_KEY协议族的实现,这样就不用象2.4那样打补丁来实现了。内核中PF_KEY实现要完成的功能是实现维护内核的安全联盟(SA)和安全策略(SP)数据库, 以及和用户空间的接口。 以下内核代码版本为2.6.19.2, PF_KEY相关代...
关于OSI七层结构及网络协议的总结,另附数据包的详细分析例子
11-12 3990
转载请注明原文地址: http://blog.csdn.net/jiangsq12345/article/details/6004007 我接触网络协议也比较久了,不过一直都只懂个皮毛,最近比较深入研究之后终于有点豁然开朗的感觉。也因为网络上各种协议的资料太多但是都比较分散杂乱,所以在这里做点总结,给大家提供一些资料也备自己以后查阅。 鉴于有些朋友没有耐心完全看完整篇文章,所以我先
C# 从HTML代码生成PDF文件的 免费解决方案
05-30 1673
最近在开发一个项目中需要从HTML代码生成PDF文件,为此我在网上搜了好几天,解决方案的一个个否决,最终自己摸索出了一个免费的解决方案。        jiangsq12345 口米巴  原创,转载请标明出处http://blog.csdn.net/jiangsq12345/article/details/7615974,谢谢! 准备工作 安装Office2007以上版本安装2007 M
《网络安全课题报告》 基于 PHP, postgreSQL,Apache平台的黑客攻击(SQL注入,XSS)介绍,防治
03-11 1659
《网络安全课题报告》 基于 PHP, postgreSQL,Apache平台的黑客攻击(SQL注入,XSS)介绍,防治
关于GPS定位平台与GPS终端的通信
08-22 1613
最近在做一个GPS定位平台,平台建立在局域网内部,为了建立一条到终端的移动GPRS通道,必须要考虑以下几件事情: GPS终端必须配备有一张SIM卡,且开通了GPRS服务。以移动为例,终端接入Inernet的方式有两种:cmwap 和 cmnet, 根据网上牛人总结说:以前cmwap一般只提供为在移动内网中的服务器连接(我想就是90年代末的移动百宝箱之类的服务器吧),但是由于业务的需求,通过网
Multicast 组播路由协议 IGMP 学习笔记
02-09 1162
Multicast 不同于通常意义上到网络一对一多点传输,它是一对多(至少一个)点基于UDP/IP点传输协议,组播路由器通过IGMP协议了解每个接口连接的网段上是否存在组播组的接收者,也就是组成员。如果存在成员,组播路由器应将组播数据包转发到这个网段;如果没有成员则应停止转发具体可参考http://www.networksorcery.com/enp/protocol/igmp.htm * 主机通过IGMP协议向组播路由器报告自己想加入的组 * 路由器通过IGMP协议查询网段上是否还有特定组的成员对
Linux IPsec隧道技术详解
第6章通过实例展示了IPSec应用。这通常包括配置IPSec策略、设置IKE(Internet Key Exchange)协议以建立安全关联,以及处理各种安全策略和规则。 第7章RCPIPSEC可能指的是使用Remote Control Protocol (RCP)进行...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值