DPDK-实战之ipsec-secgw(安全网关)

最新推荐文章于 2024-05-21 21:27:59 发布
最新推荐文章于 2024-05-21 21:27:59 发布
阅读量6.7k 收藏 3
点赞数
分类专栏: DPDK学习 文章标签: dpdk ipsec-secgw
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pangyemeng/article/details/78342979
版权

0x01 缘由

    看到了比较陌生的名词觉得比较高大上,于是想探究下。

0x02 介绍

    IPsec 安全网关应用是用DPDK cryptodev框架的一个实际应用例子。
    这个应用说明用DPDK实现的一个安全网关,基于RFC4301, RFC4303, RFC3602、RFC2404标准。IKE不实现,因此仅仅手动设置安全策略。
    安全策略(SP)用ACL规则实现,安全关联(SA)存储在一个表,路由是通过LPM实现。
    应用将网口分为保护和非保护。因此,流量接收在一个非保护和或保护的网口上被考虑inbonud或outbound。方向不同,outbound代表数据包出方向,即从设备的某接口出去的方向。inbound代表数据包进入方向,即由设备的某接口进来的方向。
    IPsec Inbound 流量路径是:
        从一个网口读包;
        在IPv4和ESP之间分配包;
        执行Inbound SA查询为 ESP包基于它们的SPI;
        执行校验和解密;
        移除ESP和外层IP头;
        Inbound SP用ACL检查解密的包和其他IPv4数据包;
        路由;
        转发包到网口;
    Outbound流量方向是:
        从一个网口读包;
        执行Outbound SP检查,用ACL;
        执行Outbound 为IPsec保护的包执行SA查询;
        添加ESP和外层IP头;
        执行加密和处理;
        路由;
        写包到网口;

0x04 运行

    编译规则文件:
    
    修改大叶表大小:
        EAL: Not enough memory available on socket 1! Requested: 2048MB, available: 256MB
    
    运行命令:     
    ./build/ipsec-secgw -l 3,4 -n 4 --socket-mem 0,2048 --vdev "cryptodev_null_pmd" -- -p 0x3 -P -u 0x3 --config="(0,1,,3),(1,1,4)" -f sample.cfg
    运行报错 
   CRYPTODEV: [cryptodev_null_pmd] cryptodev_null_create() line 207: failed to create cryptodev vdev
   CRYPTODEV: [cryptodev_null_pmd] cryptodev_null_create() line 229: driver cryptodev_null_pmd:                 cryptodev_null_create failed
   PMD: Closing null crypto device cryptodev_null_pmd_0 on numa socket 0

0x05 总结

    IPSec(InternetProtocolSecurity)是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows 2000、Windows XP 和 Windows Server 2003 家族中,IPSec 提供了一种能力,以保护工作组、局域网计算机、域客户端和服务器、分支机构(物理上为远程机构)、Extranet 以及漫游客户端之间的通信。
    这块业务如果后期涉及了,再去仔细研究。
庞叶蒙
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
DPDK-iperf for L4 LoadBalancers.pdf
10-22
DPDK-iperf for L4 LoadBalancers.pdf 本文档主要介绍了使用DPDK-iperf实现Layer 4负载均衡器的相知识点。 首先,DPDK-iperf是一款基于DPDK的iperf工具,用于测量Layer 4负载均衡器的性能。DPDK-iperf可以在不...
DPDK:ipsec-secgw安全网
hhd1988的专栏
04-25 1885
安全策略(SP)用ACL规则实现,安全联(SA)存储在一个表,路由是通过LPM实现。
DPDK-实战之helloworld
3-Number
10-12 6097
0x01 缘由      “纸上得来终觉浅,绝知此事要躬行”,前面学习了linux tcp/ip协议栈、DPDK基础理论,学下来的感觉是:以前对这几个方面都充满敬畏感,觉得很神秘、很高端,但是学习下来总结了一点----只要不断去摸索去调式去找资料,不懂的都会变得你懂的。仅仅学习理论是不够的,还得在实践中运用。然而在公司产品实践中有时无法接触这方面的知识的应用,所以只能通过一些例子和实现开源解决方
DPDK实践之(1)dpdk基础使用
最新发布
Once_day的回忆
05-21 1262
DPDK(Data Plane Development Kit)是一个由 Intel 开发并开源的软件库和驱动集合,用于在 commodity hardware(通用硬件)上进行快速封包处理。DPDK 可以极大提高数据包处理速度和吞吐量,使得网络应用能够高效地在 CPU 上运行,而无需依赖昂贵的专有硬件或专门的网络处理设备。:提供了一组用于处理数据包的核心库,包括内存、队列、缓冲池、端口和流量管理等功能。:这些是为各种网络接口卡(NICs)编写的轮询模式驱动程序,可以绕过内核,直接在用户空间处理数据包。
dpdk-ipsec-secgw 【dpdk20.11】
zhangyikuaile的博客
12-23 496
【代码】dpdk-ipsec-secgw 【dpdk20.11】
具有DPDK和英特尔®82599网络控制器的内联IPsec(文末福利继续哦~)
weixin_37097605的博客
09-07 2346
作者简介Radu Nicolau,英特尔的网络软件工程师。 他的工作目前主要是数据平面功能和库的IPsec相开发。本文介绍DPDK框架下的 inline IPsec加速...
DPDK实践一:技术介绍 + 编译运行
乐于分享
12-04 2936
一、Intel® DPDK技术引入 网路的核心是报文的转发过程,linux网路是通过内核协议栈进行转发的,报文控制平面和数据转发平面没有分离,不适合处理大规模网络数据包,因为linux分为内核区和用户区,报文先进入内核区然后拷贝到用户区,供给上层应用程序处理。并且为了全面的支持用户空间的各个功能,协议栈中嵌入了大量用于对接的接口。如果能让应用程序直接接管网络数据包处理、内存管理以及CPU调度,那么性能可以得到一个质的提升。 如今的处理器都是多核,而且内存也越来越大,可以提高多核和大内存的扩展性,减少CP
DPDK-ethtool imiss丢包调试说明.doc
07-28
DPDK-ethtool imiss 丢包调试说明 DPDK-ethtool 是一个强大的网络调优工具,它可以对网卡进行错误包统计、imiss 包统计。通过阅读代码,我们可以了解到,imiss 的值是通过读取 x710 网卡的 GLPRT_RDPC 寄存器以及 ...
DPDK-Dump:使用DPDK库,DPDK-Dump能够在磁盘上高速存储网络流量
05-13
DPDK-Dump是正在进行的相工作的一部分,以发布对网络社区有用的开源10Gbps +工具。 在此页面上收集了更多工具: : DPDK-Dump是在FP7 mPlane项目的背景下开发的–面向未来网络和应用程序管理的智能测量平面( ) ...
dpdk-20.11.tar.xz
10-22
dpdk-20.11.tar.xz
pktgen-dpdk-pktgen-19.10.0.zip
10-22
标题中的“pktgen-dpdk-pktgen-19.10.0.zip”表明这是一个于pktgen-dpdk-pktgen的软件包,版本号为19.10.0,通常这样的命名规则用于软件发布,其中包含了该特定版本的所有源代码、编译文件或者二进制可执行文件。...
dpdk简单实现
m0_65931372的博客
09-01 2305
DPDK是INTEL公司开发的一款高性能的网络驱动组件,旨在为数据面应用程序提供一个简单方便的,完整的,快速的数据包处理解决方案,主要技术有用户态、轮询取代中断、零拷贝、网卡RSS、访存DirectIO等。 应用场景 也是简单介绍,随着对dpdk认识的深入,对应用的理解也会深入。 高性能网:可以使数据通过dpdk而不经过内核的协议栈直达应用层,用以提升网性能。dns可以这么做。 虚拟交换机:利用dpdk优秀的性能,跑一个虚拟的交换机或是路由器,以提升性能。 防火墙:对数据的出入口做一些限制。 先简单
DPDK :l2fwd-crypto
hhd1988的专栏
04-11 1568
DPDK二层转发和加密结合在一起,因为最近需要引用到DPDK的加解密函数,所以研究了这个例子 配置运行: 因为DPDK默认只提供了NULL CRYPTO POLL MODE DRIVER,所以我们需要在编译DPDK的时候打开其他 CRYPTO POLL MODE DRIVER的开,这里以OPENSSL CRYPTO POLL MODE DRIVER为例: 在$RTE_SDK/config/common_base中将CONFIG_RTE_LIBRTE_PMD_OPENSSL的参数改为y,然后重新编译
pktgen-dpdk 实战
weixin_30855761的博客
07-18 884
官方手册:http://pktgen-dpdk.readthedocs.io/en/latest/getting_started.html 过程 开机(重启) 把DPDK那一套流程走一遍(环境变量设置、设置userspace I/O态、挂载大页、绑定网卡) 按照官方手册上编译。pktgen就是基于dpdk开发的应用,所以只要能成功编译dpdk就可以编译pktgen。官方手册上一些依赖项可以跳过不...
DPDK-实战之skeleton(basicfwd)
3-Number
10-13 4798
0x01 缘由      继续学习DPDK示例,主要熟悉每个环节和设计理念,今天要学习的是一个相对简答的服务,仅仅从一个网口抓取数据包转发到另外一个网口,这样做双向转发,相当于桥的功能。其他基础业务都不做。 0x02 直接上源码分析 #include #include #include #include #include #include #include #define R
于DPDK Cryptodev,你不得不明白的几点!
weixin_37097605的博客
03-20 2213
安全已经成为组建服务器的必备需求之一,然而对网络报文的保护,如加密和认证运算等涉及非常复杂的数学运算,对服务器CPU或专用加速器等有非常高的要求。网络应用工程师在对网络报...
[dev][dpdk][crypto] dpdk加解密设备与IPSEC
weixin_30840573的博客
03-04 1369
概述 分三部分,加解密框架(crypto framework),加解密设备(crypto dev),安全协议(Security Framework) × API,设计思路等,都在加解密框架里:见文档:http://doc.dpdk.org/guides-18.11/prog_guide/cryptodev_lib.html × 设备层的事情,加解密设备的分类,调度,主备等,见文档:htt...
[dev][ipsec][dpdk] strongswan/dpdk源码分析之ipsec算法配置过程
weixin_30689307的博客
03-25 1272
1 简述 storngswan的配置里用一种固定格式的字符串设置了用于协商的预定义算法。在包协商过程中strongswan将字符串转换为固定的枚举值封在数据包里用于传输。 协商成功之后,这组被协商选中的枚举值会通过netlink接口以xfrm定义好的字符串形式,传递给内核,内核再将字符串转换成pfkey定义的枚举值,最终进行加密设置。 DPDK的话,也有其统一的一组枚举值的抽象。在调用不同的...
ovs other_config dpdk-socket-mem dpdk-socket-limit 如何使用
07-15
要使用Open vSwitch(OVS)的dpdk-socket-mem和dpdk-socket-limit选项,您需要进行以下步骤: 1. 确保您已经安装了适当的DPDK版本。您可以从DPDK官方网站下载并安装最新的DPDK。 2. 配置DPDK环境变量。设置以下环境变量以指定DPDK的安装路径: ``` export DPDK_DIR=/path/to/dpdk ``` 3. 构建和安装OVS。您可以从OVS官方网站下载源代码,并按照官方文档中的说明进行构建和安装。 4. 启动OVS-DPDK。在启动OVS之前,您需要配置dpdk-socket-mem和dpdk-socket-limit选项。这些选项用于指定分配给DPDK的内存和套接字限制。 ``` ovs-vsctl set Open_vSwitch . other_config:dpdk-init=true ovs-vsctl set Open_vSwitch . other_config:dpdk-socket-mem="4096,4096" ovs-vsctl set Open_vSwitch . other_config:dpdk-socket-limit=2 ``` 上述命令将设置OVS的other_config配置选项,指定DPDK初始化、内存分配和套接字限制。 5. 启动OVS。运行以下命令启动OVS: ``` ovs-vswitchd --dpdk ``` 这将启动OVS-DPDK守护进程,并使用之前配置的DPDK选项。 请注意,上述步骤假定您已经正确安装了DPDK和OVS,并且您的系统满足DPDK和OVS的要求。如果您遇到任何问题,请参考官方文档或在相论坛寻求帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值