ipsec 加密流程(四):封装状态机和发送流程

最新推荐文章于 2025-03-18 17:41:42 发布
最新推荐文章于 2025-03-18 17:41:42 发布
阅读量4.2k 收藏 1
点赞数
分类专栏: openswan源码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s2603898260/article/details/110410067
版权

  • Author       : 叨陪鲤
  • Email         : vip_13031075266@163.com
  • Date          : 2020.11.30
  • Copyright : 未经同意不得转载!!!
  • Version    : openswan-2.6.51.5
  • Referencehttps://download.openswan.org/openswan/

目录

1. ipsec封装状态机:

2. ipsec发送流程:

1. ipsec封装状态机:

ipsec封装状态机是一个很经典有限状态机实现:(当前状态,执行动作,下一个状态),同时它的核心调度流程也是比较简单:如果当前状态执行成功,则跳转至下一状态。此外在ipsec状态机中,可以通过实际参数配置(如ESP封装、IP隧道封装、AH封装等)来自动选择下一状态,这个是在ipsec_xmit_cont()函数中实现的。

我们直接来看状态机和核心调度流程:

struct {

enum ipsec_xmit_value (*action)(struct ipsec_xmit_state *ixs);

int next_state;

} xmit_state_table[] = {

[IPSEC_XSM_INIT1]                     =         {ipsec_xmit_init1,               IPSEC_XSM_INIT2 },

[IPSEC_XSM_INIT2]                     =         {ipsec_xmit_init2,               IPSEC_XSM_ENCAP_INIT },

[IPSEC_XSM_ENCAP_INIT]         =         {ipsec_xmit_encap_init,          IPSEC_XSM_ENCAP_SELECT },

[IPSEC_XSM_ENCAP_SELECT]  =         {ipsec_xmit_encap_select,  IPSEC_XSM_DONE },

[IPSEC_XSM_ESP]                       =         {ipsec_xmit_esp,                 IPSEC_XSM_ESP_AH },

[IPSEC_XSM_ESP_AH]                =         {ipsec_xmit_esp_ah,              IPSEC_XSM_CONT },

[IPSEC_XSM_AH]                         =         {ipsec_xmit_ah,                  IPSEC_XSM_CONT },

[IPSEC_XSM_IPIP]                       =         {ipsec_xmit_ipip,                IPSEC_XSM_CONT },

[IPSEC_XSM_IPCOMP]               =         {ipsec_xmit_ipcomp,              IPSEC_XSM_CONT },

[IPSEC_XSM_CONT]                   =         {ipsec_xmit_cont,                IPSEC_XSM_DONE },

[IPSEC_XSM_DONE]                   =         {NULL,                           IPSEC_XSM_DONE},

};

ipsec_xsm(struct ipsec_xmit_state *ixs)

{

enum ipsec_xmit_value stat = IPSEC_XMIT_ENCAPFAIL;

unsigned more_allowed;

 

more_allowed = 1000;

while (ixs->state != IPSEC_XSM_DONE && --more_allowed) {

最低0.47元/天 解锁文章
IPv6过渡技术
weixin_51045259的博客
01-22 1197
IPv6 to IPv4 实验
gre隧道终结功能_Juniper vMX与Linux建立GRE隧道实验
weixin_34005314的博客
01-20 1404
1. GRE隧道基础知识GRE是一种隧道协议,可以在IP隧道内封装各种网络层协议数据包类型,在隧道远端的路由器之间创建虚拟点对点链路。 如图所示,GRE隧道用于隧道IP流量以及非IP流量,例如IPXAppleTalk。除了引用的协议数据包类型之外,GRE隧道还常用于通过IP传输网络隧道传输IPv6MPLS协议流量。在这些情况下,GRE隧道连接隔离的IPv6网络,并代替通常由RSVPLDP创建...
互联网安全协议IPsec
最新发布
m0_74186706的博客
03-18 1460
一、IPsec基础知识一、IPsec基础知识IPsec(Internet Protocol Security,缩写为IPsec,即互联网安全协议),是一个协议包,通过对IP协议的分组进行加密认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
gre隧道终结功能_地铁隧道是如何挖掘?中国造出世界最先进盾构机,实现全球领先...
weixin_35926446的博客
12-25 274
噪音、灰尘、泥土、热量、高强度的震动冲击,这些所有的情况都是在采矿隧道工程中最常见的工作环境?不得不说,以往挖掘隧道的方式,显得有些“粗暴”,是通过爆破的方式,炸出一个隧道来,这种方式存在很多缺点,不仅炸出的山体较为不规律,并且需要人们经常去处理落石,若是处理不当,就很可能会因爆炸造成一系列伤亡,如此看来,的确十分危险,90年代,为了修建西康公路,在打隧道的时候,国内从德国进口了两台盾构机,...
GRE隧道keepalive的说明
12-11
主要用来研究GRE隧道技术的keepalive
linux内核收发包原理,网络数据包收发流程():从驱动到协议栈
weixin_36355328的博客
05-01 897
早就想整理网络数据包收发流程了,一直太懒没动笔。今天下决心写了一、硬件环境intel82546:PHY与MAC集成在一起的PCI网卡芯片,很强大bcm5461: PHY芯片,与之对应的MAC是TSECTSEC: Three Speed Ethernet Controller,三速以太网控制器,PowerPc 架构CPU里面的MAC模块注意,TSEC内部有DMA子模块话说现在的CPU越...
ipsec 加密流程(二):ipsec初始化操作
遇见你是我最美丽的意外
11-22 5980
《openswan》专栏系列文章主要是记录openswan源码学习过程中的笔记。 Author : Toney Email : vip_13031075266@163.com Date : 2020.11.22 Copyright:未经同意不得转载!!! Version : openswan-2.6.51.5 Reference:https://download.openswan.org/openswan/ 1. 加...
ipsec 加密流程(一):ipsec策略匹配
遇见你是我最美丽的意外
11-22 8972
《openswan》专栏系列文章主要是记录openswan源码学习过程中的笔记。 Author: Toney Email: vip_13031075266@163.com Date: 2020.11.22 Copyright: 未经同意不得转载!!! Version:2.6.51.5 Reference:https://download.openswan.org/openswan/ 1. ipsec策略匹配流程(ipsec_tunnel_start_xmit) 注:open...
IPsec状态机描述
08-10
IPsec状态机由多个状态组成,其中包括初始阶段(INIT1INIT2)、封装初始化(ENCAP_INIT)、封装选择(ENCAP_SELECT)、ESP(加密安全负载)、ESP-AH(加密安全负载认证头部)、AH(认证头部)、IPIP(IP封装)、...
Linux网络协议栈9--ipsec收发包流程
bigsheng2的博客
02-04 2754
IPSec协议帮助IP层建立安全可信的数据包传输通道。当前已经如strongswan、openswan等比较成熟稳定的开源项目做协议层的控制。但他们最终都是使用的内核的XFRM框架做报文的封装发送接收解封,只不过内核的转发表项数据是由他们生成的。 XFRM,是transfrom的简写。 ######IPSec收包解封流程 流程路径:ip_rcv() --> ip_rcv_finish() --> ip_local_deliver() --> ip_local_deliver_fini
××× 隧道-GRE 协议 47 数据包说明使用
weixin_34248023的博客
05-26 1091
通用路由封装 (GRE) 协议结合使用点对点隧道协议 (PPTP) 用于创建虚拟专用网络 (***) 客户端之间或客户端服务器之间。 一种流行的实现是使用 Microsoft 的两个路由远程访问服务 (RRAS),如下所示为局域网到局域网路由,配置的服务器之间的 ××× 技术: Lclient L-RRAS ===== ××× ===== ...
IPSec环境搭建与分析
GOOD__YOUTH的博客
10-11 1433
测试调试 网络拓扑 路由器配置为: 设置ipsec信息为: 隧道模式,配置远端路由网关192.168.151.73 即路由器2 IP 配置本地网端,与远端网段,设置ike协商 采用ESP中的封装安全荷载协议中的DES加密协议 完整性检测采用SHA1协议 配置密钥信息. 路由器1设置为初始者模式,路由器2设置为响应者模式,,通过抓包发现当设置为初始者模式时,路由器主动向对端建立ike协商,响应者模式则为被动状态等待ike连接请求。 测试可以PING通远端网段. 报文解析 主动模式 建立IKEV1协商
IPsec隧道模式下数据包的处理过程
qq_47529104的博客
03-14 1636
1、发送发送端接收到主机的明文信息,首先进行路由表的查询,然后确定该报文的从哪个区域发送来,要到从哪个区域走,总之就是确定报文的流向,然后进行安全策略的匹配查询,如果没有匹配到,那么该报文将会被丢弃,如果匹配到,而且还对应着IPsec的感兴趣流,那么防火墙就会对报文进行隧道封装封装完成后,重新进行路由表的查询,然后再次进行安全策略的匹配,然后看一下该数据包是否能够发送,如果可以就直接发送了。不行就将该数据包拦截。 2、接收端 接收端接收到该信息,第一步查询路由表,然后查询对应的安全策略,观察
IPsec 9个包分析(主模式+快速模式)
热门推荐
遇见你是我最美丽的意外
03-06 2万+
第一阶段:ISAKMP协商阶段 1.1 第一包 包1:发起端协商SA,使用的是UDP协议,端口号是500,上层协议是ISAKMP,该协议提供的是一个框架,里面的负载Next payload类似模块,可以自由使用。可以看到发起端提供了自己的cookie值,以及SA的加密套件,加密套件主要是加密算法,哈希算法,认证算法,生存时间等。 Initiator cookie:817622ea0136...
GRE网络配置
qq_50665872的博客
01-14 2338
R1的配置: Reply from 15.1.1.2: bytes=56 Sequence=5 ttl=255 time=20 ms --- 15.1.1.2 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 20/22/30 ms [R1-Serial4/0/0] Pleas...
网络类型之GREMGRENHRP
qq_63652578的博客
01-04 1741
分支点向NHRP-Sever进行查询,NHRP-Sever给出应答,分支通过NHRP-Sever给的tunnel地址物理地址通信,所有的设备最终都要学习到达MGRE网络中所有的用户的tunnel地址物理地址的映射关系。优点:支持IP 网络作为承载网络、支持多种协议、支持IP 组播,配置简单,容易布署。封装协议: 用来封装乘客协议的协议称为封装协议,这里的GRE便是一个封装协议。传输协议:负责对封装后的报文进行转发的协议称为传输协议。乘客协议:报文封装之前所属的协议称为乘客协议。
GRE详解:概念、架构、原理、搭建过程、常用命令与实战案例
CloudJourney的博客
07-11 4581
GRE(Generic Routing Encapsulation,通用路由封装)是一种隧道协议,由 Cisco 提出,用于在不同网络间传输数据包。GRE 协议可以封装各种网络层协议,包括 IPv4 IPv6,提供一种灵活的隧道机制,能够在两个远程网络之间传输任意类型的数据包。GRE 隧道通过在封装数据包的基础上增加一个新的 GRE 头部一个新的 IP 头部,使得原始数据包可以通过不同网络传输。
商业虚拟专用网络技术二通用路由封装
weixin_42227328的博客
03-12 5450
首先,GRE VPN部署多采用IP over IP模式,企业通过公用IP网络使用GRE VPN方式传送数据,实现点对点传输,可以通过IPv4网络传输也可以通过IPv4网络连接到IPv6网络中。 GRE VPN是第三层隧道协议,实际是直接使用GRE封装,对一些网络层协议(如IPIPX)的数据报进行封装,构造Tunnel(隧道)的技术。根据传输协议的不同,可以分为GRE over IPv4 GRE over IPv6 两种隧道模式。
计算机网络进阶 ---- GRE ---- 虚拟专用网络 ---- 详解
Murphy_Biao的博客
01-04 1757
属于虚拟的点到点网络类型; 是一种简单的 (Virtual Private Network - 虚拟专用网络)技术; 两个网络穿越中间的网络直接通讯;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叨陪鲤

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值