基于路由和VTI隧道接口的net2net的IPSec实现

最新推荐文章于 2024-07-14 22:39:25 发布
最新推荐文章于 2024-07-14 22:39:25 发布
阅读量1.7k 收藏 4
点赞数 1
分类专栏: IPSecurity 内核虚拟设备 文章标签: vti ipsec strongswan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/103204975
版权

以下根据strongswan代码中的testing/tests/route-based/net2net-vti/中的测试环境,来看一下基于路由和VTI接口实现的安全连接。拓扑结构如下:

在这里插入图片描述

拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。

sun网关配置

sun的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home中的字段vips设置为0.0.0.0,标识carol并不请求特定的虚拟IP地址。

connections {

   gw-gw {
      local_addrs  = PH_IP_SUN
      remote_addrs = PH_IP_MOON

      local {
         auth = pubkey
         certs = sunCert.pem
         id = sun.strongswan.org
      }
      remote {
         auth = pubkey
         id = moon.strongswan.org
      }
      children {
         net-net {
            local_ts  = 0.0.0.0/0
            remote_ts = 0.0.0.0/0
            mark_in = 1337
            mark_out = 1337

            esp_proposals = aes128gcm128-x25519
         }
      }
      version = 2
      proposals = aes128-sha256-x25519
   }
}

sun的配置文件:/etc/strongswan.conf,内容如下。其中install_routes指定为0,strongswan进程不依照IPSEC子连接向内核安装路由表项。

swanctl {
  load = pem pkcs1 x509 revocation constraints pubkey openssl random
}

charon-systemd {
  load = random nonce aes sha1 sha2 pem pkcs1 curve25519 gmp x509 curl revocation hmac vici kernel-netlink socket-default updown
}

charon {
  install_routes = 0
}

charon进程使用的是kernel-netlink插件,与内核的接口在此插件内实现。在文件:src/libcharon/plugins/kernel_netlink/kernel_netlink_net.c中,如下函数通过配置文件中的值,初始化内部的install_routes变量。

kernel_netlink_net_t *kernel_netlink_net_create()
{
        private_kernel_netlink_net_t *this;

        INIT(this,
                .install_routes = lib->settings->get_bool(lib->settings,
                                                "%s.install_routes", TRUE, lib->ns),

路由的添加代码位于安全策略添加代码内部,位于文件:src/libcharon/plugins/kernel_netlink/kernel_netlink_ipsec.c中。函数add_policy_internal负责安全策略添加,完成之后,进行相应的路由安装。函数中的注释,解释了在什么情况下安装路由。1) outbound方向的安全策略; 2) strongswan.conf中没有禁止安装; 3) 选择器并不针对特定的协议或源/目的端口; 4) 没有配置XFRM虚拟接口ID值(if_id); 5) 模式为tunnel或者BEET之一,或者为bypass类型。使用函数install_route安全路由。

static status_t add_policy_internal(private_kernel_netlink_ipsec_t *this, policy_entry_t *policy, policy_sa_t *mapping, bool update)
{
        /* install a route, if:
         * - this is an outbound policy (to just get one for each child)
         * - routing is not disabled via strongswan.conf
         * - the selector is not for a specific protocol/port
         * - no XFRM interface ID is configured
         * - we are in tunnel/BEET mode or install a bypass policy
         */
        if (policy->direction == POLICY_OUT && this->install_routes &&
                !policy->sel.proto && !policy->sel.dport && !policy->sel.sport &&
                !policy->if_id)
        {
                if (mapping->type == POLICY_PASS ||
                   (mapping->type == POLICY_IPSEC && ipsec->cfg.mode != MODE_TRANSPORT))
                {
                        install_route(this, policy, mapping, ipsec);
                }
        }

以下为路由安装函数install_route,其安装到选择器中的目的网段的路由,经由下一跳网关,源地址和路由设备,其中网关通常为对端的IPSEC端点地址,源地址为本端的IPSEC端点地址,设备为IPSEC使用的出口设备。

static void install_route(private_kernel_netlink_ipsec_t *this, policy_entry_t *policy, policy_sa_t *mapping, ipsec_sa_t *ipsec)
{
        policy_sa_out_t *out = (policy_sa_out_t*)mapping;
        route_entry_t *route;

        if (charon->kernel->get_address_by_ts(charon->kernel, out->src_ts, &route->src_ip, NULL) == SUCCESS)
        {
                DBG2(DBG_KNL, "installing route: %R via %H src %H dev %s", out->dst_ts,
                         route->gateway, route->src_ip, route->if_name);
                switch (charon->kernel->add_route(charon->kernel, route->dst_net,
                                                       route->prefixlen, route->gateway,
                                                       route->src_ip, route->if_name))

在配置VTI接口和路由的请求下,不需要strongswan进行自动添加路由,需要在设置strongswan.conf文件中设置install_routes为0。对于XFRM虚拟接口,不必设置此选项,在swanctl.conf文件中设置if_id_out值之后,strongswan进程不会安装路由。

moon网关配置

moon网关的配置文件:/etc/swanctl/swanctl.conf,内容如下。其中为远程用户定义了虚拟地址池rw_pool,地址为10.3.0.0/28网段。字段mark_in和mark_out等于42,其中mark_in指定在inbound方向的policies/SA所使用的Netfilter标记mark值;而mark_out指定在outbound方向上policies/SA设置的Netfilter标记mark值。此处未指定掩码值,即使用默认的0xffffffff。

connections {

   gw-gw {
      local_addrs  = PH_IP_MOON
      remote_addrs = PH_IP_SUN

      local {
         auth = pubkey
         certs = moonCert.pem
         id = moon.strongswan.org
      }
      remote {
         auth = pubkey
         id = sun.strongswan.org
      }
      children {
         net-net {
            local_ts  = 0.0.0.0/0
            remote_ts = 0.0.0.0/0
            mark_in = 42
            mark_out = 42

            esp_proposals = aes128gcm128-x25519
         }
      }
      version = 2
      proposals = aes128-sha256-x25519
   }
}

moon网关的配置文件:/etc/strongswan.conf,内容与以上sun网关的strongswan.conf文件相同。其中install_routes等于0,表明不为IPSec连接创建路由。

连接准备

操作流程如下,在两个虚拟网关moon和sun上,分别创建名称为vti-moon和vti-sun的vti虚拟隧道接口,其中vit-moon隧道接口的本地地址为moon的eth0接口地址(192.168.0.1),远端地址为sun网关的eth0接口地址(192.168.0.2)。而vti-sun隧道接口正好相反,其本地地址为sun的eth0接口地址,远端地址为moon网关eth接口地址。

隧道接口vti-moon的key值指定为42,vti-sun接口的地址指定为1337。key值代表了in/out两个方向(ikey和okey)的值。

moon::ip tunnel add vti-moon local PH_IP_MOON remote PH_IP_SUN mode vti key 42
moon::sysctl -w net.ipv4.conf.vti-moon.disable_policy=1
moon::ip link set vti-moon up
moon::ip route add 10.2.0.0/16 dev vti-moon
moon::iptables -A FORWARD -i vti-moon -j ACCEPT
moon::iptables -A FORWARD -o vti-moon -j ACCEPT
sun::ip tunnel add vti-sun local PH_IP_SUN remote PH_IP_MOON mode vti key 1337
sun::sysctl -w net.ipv4.conf.vti-sun.disable_policy=1
sun::ip link set vti-sun up
sun::ip route add 10.1.0.0/16 dev vti-sun
sun::iptables -A FORWARD -i vti-sun -j ACCEPT
sun::iptables -A FORWARD -o vti-sun -j ACCEPT

最后在两个虚拟网关sun和moon上启动strongswan进程,以及在moon网关上启动名称为net-net的子连接。

moon::systemctl start strongswan
sun::systemctl start strongswan
moon::expect-connection gw-gw
sun::expect-connection gw-gw
moon::swanctl --initiate --child net-net

以下在moon网关上使用ip tunnel命令查看创建的vti-moon接口,由于在IPSec连接建立之后,alice到bob发送了一个ping报文,产生了统计信息:

moon:~# ip -s -d tunnel list 
    
vti-moon: ip/ip remote 192.168.0.2 local 192.168.0.1 ttl inherit key 42

RX: Packets    Bytes        Errors CsumErrs OutOfSeq Mcasts
    1          84           0      0        0        0       
TX: Packets    Bytes        Errors DeadLoop NoRoute  NoBufs
    1          84           0      0        0        0

使用ip route命令查看添加的到目的网段10.2.0.0/16的路由,经由vti-moon虚拟隧道接口。

moon:~# ip route
default via 192.168.0.254 dev eth0 onlink 
10.1.0.0/16 dev eth1 proto kernel scope link src 10.1.0.1 
10.2.0.0/16 dev vti-moon scope link 
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.1 
moon:~#

以上vti-moon接口的disable_policy选项的使能,将导致此接口相关的路由缓存设置DST_NOPOLICY标志(dst_entry->flags)。在策略检查函数xfrm_policy_check的子函数__xfrm_policy_check2中,对于转发的报文(sk为空),如果报文的路由缓存项设置了DST_NOPOLICY标志,将跳过策略检查(不执行函数__xfrm_policy_check)。

static inline int __xfrm_policy_check2(struct sock *sk, int dir, struct sk_buff *skb, unsigned int family, int reverse)
{
    struct net *net = dev_net(skb->dev);
    int ndir = dir | (reverse ? XFRM_POLICY_MASK + 1 : 0);

    if (sk && sk->sk_policy[XFRM_POLICY_IN])
        return __xfrm_policy_check(sk, ndir, skb, family);

    return  (!net->xfrm.policy_count[dir] && !secpath_exists(skb)) ||
        (skb_dst(skb)->flags & DST_NOPOLICY) || __xfrm_policy_check(sk, ndir, skb, family);
}

iptables命令在filter表的FORWARD链中添加了如下的两条规则,允许进出vti-moon虚拟隧道接口的所有流量。

moon:~# iptables -L -v

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    1    84 ACCEPT     all  --  vti-moon any     anywhere             anywhere            
    1    84 ACCEPT     all  --  any    vti-moon  anywhere             anywhere          

moon:~#

以下在sun网关上使用ip tunnel命令查看创建的vti-sun接口,其key值为1337。由于在IPSec连接建立之后,alice到bob发送了一个ping报文,产生了统计信息:

sun:~# ip -s -d tunnel list
 
vti-sun: ip/ip remote 192.168.0.1 local 192.168.0.2 ttl inherit key 1337

RX: Packets    Bytes        Errors CsumErrs OutOfSeq Mcasts
    1          84           0      0        0        0       
TX: Packets    Bytes        Errors DeadLoop NoRoute  NoBufs
    1          84           0      0        0        0     
sun:~#

数据流程

内核数据层面的报文流程可参见。

安全策略和关联

在moon网关上使用swanctl命令,可看到net-net子连接在in/out两个方向上的标记mark值,都为:0x0000002a(42),对应moon网关的vti虚拟隧道接口vti-moon。

moon:~# swanctl --list-sas --raw
list-sa event {gw-gw {uniqueid=1 version=2 state=ESTABLISHED local-host=192.168.0.1 local-port=4500 local-id=moon.strongswan.org remote-host=192.168.0.2 remote-port=4500 remote-id=sun.strongswan.org initiator=yes initiator-spi=1bce564a8545c615 responder-spi=0768c456b84f5ea2 encr-alg=AES_CBC encr-keysize=128 integ-alg=HMAC_SHA2_256_128 prf-alg=PRF_HMAC_SHA2_256 dh-group=CURVE_25519 established=554 rekey-time=12612 
child-sas {net-net-1 {name=net-net uniqueid=1 reqid=1 state=INSTALLED mode=TUNNEL protocol=ESP spi-in=c953ea00 spi-out=c6405514 
mark-in=0000002a mark-out=0000002a encr-alg=AES_GCM_16 encr-keysize=128 bytes-in=84 packets-in=1 use-in=553 bytes-out=84 packets-out=1 use-out=553 rekey-time=2759 life-time=3406 install-time=554 local-ts=[0.0.0.0/0] remote-ts=[0.0.0.0/0]}}}}
list-sas reply {}
No leaks detected, 1442 suppressed by whitelist
moon:~#

注意一下的两个方向的安全策略中的mark/掩码值: mark 0x2a/0xffffffff,正是vti-moon接口的key值,由于在安全策略中源和目的地址都指定为0.0.0.0,仅按照mark值区分流量。

moon:~# ip -s xfrm policy
src 0.0.0.0/0 dst 0.0.0.0/0 uid 0
        dir out action allow index 545 priority 399999 ptype main share any flag  (0x00000000)
        mark 0x2a/0xffffffff
        tmpl src 192.168.0.1 dst 192.168.0.2
                proto esp spi 0xc6405514(3326104852) reqid 1(0x00000001) mode tunnel
                level required share any 
                enc-mask ffffffff auth-mask ffffffff comp-mask ffffffff
src 0.0.0.0/0 dst 0.0.0.0/0 uid 0
        dir in action allow index 528 priority 399999 ptype main share any flag  (0x00000000)
        mark 0x2a/0xffffffff
        tmpl src 192.168.0.2 dst 192.168.0.1
                proto esp spi 0x00000000(0) reqid 1(0x00000001) mode tunnel
                level required share any 
                enc-mask ffffffff auth-mask ffffffff comp-mask ffffffff

在sun网关上使用swanctl命令,可看到net-net子连接在in/out两个方向上的标记mark值,都为:0x00000539(1337),对应sun网关的vti虚拟隧道接口vti-sun的key值。

sun:~# swanctl --list-sas --raw
list-sa event {gw-gw {uniqueid=1 version=2 state=ESTABLISHED local-host=192.168.0.2 local-port=4500 local-id=sun.strongswan.org remote-host=192.168.0.1 remote-port=4500 remote-id=moon.strongswan.org initiator-spi=1bce564a8545c615 responder-spi=0768c456b84f5ea2 encr-alg=AES_CBC encr-keysize=128 integ-alg=HMAC_SHA2_256_128 prf-alg=PRF_HMAC_SHA2_256 dh-group=CURVE_25519 established=1265 rekey-time=12343 
child-sas {net-net-1 {name=net-net uniqueid=1 reqid=1 state=INSTALLED mode=TUNNEL protocol=ESP spi-in=c6405514 spi-out=c953ea00 
mark-in=00000539 mark-out=00000539 encr-alg=AES_GCM_16 encr-keysize=128 bytes-in=84 packets-in=1 use-in=1265 bytes-out=84 packets-out=1 use-out=1265 rekey-time=2089 life-time=2695 install-time=1265 local-ts=[0.0.0.0/0] remote-ts=[0.0.0.0/0]}}}}
list-sas reply {}
No leaks detected, 1442 suppressed by whitelist
sun:~#

注意以下的两个方向的安全策略中的mark/掩码值: mark 0x539/0xffffffff,正是vti-sun接口的key值,由于在安全策略中源和目的地址都指定为0.0.0.0,仅按照mark值区分IPSEC流量。

sun:~# ip -s xfrm policy
src 0.0.0.0/0 dst 0.0.0.0/0 uid 0
        dir out action allow index 545 priority 399999 ptype main share any flag  (0x00000000)
        mark 0x539/0xffffffff
        tmpl src 192.168.0.2 dst 192.168.0.1
                proto esp spi 0xc953ea00(3377719808) reqid 1(0x00000001) mode tunnel
                level required share any 
                enc-mask ffffffff auth-mask ffffffff comp-mask ffffffff
src 0.0.0.0/0 dst 0.0.0.0/0 uid 0
        dir in action allow index 528 priority 399999 ptype main share any flag  (0x00000000)
        mark 0x539/0xffffffff
        tmpl src 192.168.0.1 dst 192.168.0.2
                proto esp spi 0x00000000(0) reqid 1(0x00000001) mode tunnel
                level required share any 
                enc-mask ffffffff auth-mask ffffffff comp-mask ffffffff

以下为sun网关发送的IKE_AUTH Responder响应消息中携带的选择器字段,可见都为0.0.0.0。

在这里插入图片描述

strongswan测试版本: 5.8.1
内核版本 5.0

END

redwingz
关注
专栏目录
互联网协议 — IPSec 安全隧道协议 — Virtual Tunnel Interface
烟云的计算
04-04 2149
目录 文章目录目录IPSec 虚拟隧道接口工作原理 IPSec 虚拟隧道接口 IPsec 虚拟隧道接口是一种支持路由的三层逻辑接口,它可以支持动态路由协议,所有路由IPSec 虚拟隧道接口的报文都将进行 IPSec 保护,同时还可以支持对组播流量的保护。 使用 IPSec 虚拟隧道接口建立 IPSec 隧道具有以下优点: 简化配置:通过路由来确定对哪些数据流进行 IPSec 保护。与通过 ACL 指定数据流范围的方式相比,这种方式简化了用户在部署 IPSec 安全策略时配置上的复杂性,使得 IPSec
网络协议 — IPSec 安全隧道协议族
烟云的计算
05-25 3887
安全封装协议(Encapsulating Security Payload,ESP)也是一种封装协议,与 AH 不同的是,ESP 会将 IP 数据包中的 Payload 进行加密后再封装到 IP 数据包,以保证数据的机密性,但 ESP 没有专门对 IP Header 的内容进行保护。在对身份保护要求较高的场合,则应该使用主模式。值得注意的是,IKE 不是简单的在网络上传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
6. 详解 IPSecnet2net-RSA 组网实践
weixin_38387929的博客
06-23 806
实验环境 本篇记录 IPSecnet2net 的组网, 身份认证方式 基于 预共享密钥 (PSK) 模式, 主机采用自定义编译 openwrt-x86 虚拟主机,IPSec 使用 StrongSwan 组件。 测试环境: (1)x86-OpenWRT-19.09 镜像 (2)PVE ( proxmox-6.3.2 ) 网络架构 net2net-psk的组网图,我们可以看到我们至少需要两个客户机Alice和Bob,两个网关Moon和Sun。 配置net2net-rsa 配置rsa,主要是rsa需要进行
Strongswan使用过程中的坑
最新发布
向Stack Overflow的大牛学习,编写文章尽量详细。
07-14 1360
本文对使用strongswan搭建ipsec vpn环境时的容易遇到的问题进行了详细说明,对于初次使用strongswan的用户应该有所帮助。
3. 详解 IPSecnet2net 组网实践
weixin_38387929的博客
06-03 1698
实验环境 本篇记录 IPSecnet2net 的组网, 身份认证方式 基于 预共享密钥 (PSK) 模式, 主机采用自定义编译 openwrt-x86 虚拟主机,IPSec 使用 StrongSwan 组件。 测试环境: (1)x86-OpenWRT-19.09 镜像 (2)PVE ( proxmox-6.3.2 ) 网络架构 net2net-psk的组网图,我们可以看到我们至少需要两个客户机Alice和Bob,两个网关Moon和Sun。 第一步 创建 4台 openwrt 的虚机 如何把 op
基于VTI隧道接口IPv4封装IPv6报文的IPSec实现
redwingz的博客
12-02 1289
以下根据strongswan代码中的testing/tests/route-based/rw-shared-vti-ip6-in-ip4/中的测试环境,来看一下基于路由VTI接口的IPv4封装IPv6报文的安全连接。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。 虚拟主机配置 carol的配置文件:/etc/swanctl/swanctl.con...
使用pfsense路由IPsecVTI
weixin_34356555的博客
04-24 734
这个新功能可从pfsense 2.4.4获得,它消除了阶段2 IPsec配置中(有时非常多)IP关联的定义。使用VTI,只定义了一个阶段2,然后使用pfsense路由表将子网或IP定向到IPsec隧道。你需要定义传输网络。通常可以使用/ 30,因为只需要两个IP(IPsec链路的每一端都有一个IP)。在这个例子中我们将使用10.6.6.1/30。1 .IPsec配置像往常一样...
HCIE-Security Day30:IPSec:实验(五)配置基于路由IPSec PN(采用预共享密钥认证)
小梁的博客
03-21 5188
IPSec是基于定义的感兴趣流触发对特定数据的保护,至于什么样的数据是需要IPSec保护的,可以通过以下两种方式定义。其中IPSec感兴趣流即需要IPSec保护的数据流。 此前使用的都是acl方式定义的感兴趣流。 还有一种方式是路由方式。 通过ipsec虚拟隧道接口建立ipsec隧道,将所有路由ipsec虚拟隧道接口的报文都进行ipsec保护,根据该路由的目的地址确定哪些数据流需要ipsec保护,其中ipsec虚拟隧道接口具有以下优点。 简化配置:不需使用acl定义流量特征 支持动态路...
linux查看ipsec命令,Linux 下基于路由 IPsec 的花式实践
weixin_30811273的博客
05-05 1153
动机IPsec 转发流量有两种方式,一种是基于策略,另外一种是基于路由。本文将尝试阐述基于路由IPsec 核心概念和实现原理并引出一些花式玩法。IPsec 带给计算机世界的困惑在计算机世界里面,核心的一个概念就是路由,其定义了某个指定的数据包要从哪个接口出去的规则。很多软件和命令都是基于这个事实来设计的。譬如 iproute 包,各类路由软件,iptables 等等。但是在 IPsec 的世界...
ip_vti.rar_Modified
09-23
2. **初始化和清理函数**:用于创建和销毁VTI接口,这些函数会管理内核的数据结构,并设置必要的网络接口属性。 3. **数据包处理函数**:当数据包到达或离开VTI接口时,这些函数处理数据包的封装和解封装,确保它们...
自动创建XFRM虚拟接口net2net形式的IPSEC
redwingz的博客
12-02 841
以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。在配置中sun网关使用特殊值%unique-dir自动为in/out两个方向创建不同ID值的xfrm虚拟设备;而moon网关仍然使用在swanctl.conf文件中手动指定xfrm接口ID值,并且手动创建XFRM接口的方法。su...
基于路由VTI虚拟接口IPSec实现
redwingz的博客
12-02 3734
以下根据strongswan代码中的testing/tests/route-based/rw-shared-vti/中的测试环境,来看一下基于路由VTI接口的安全连接。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。 虚拟主机配置 carol的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home中的字段vips设置为...
strongswan介绍
热门推荐
wq897387的专栏
03-12 2万+
strongswan介绍文档翻译
思科VTI解决方案
DREW德鲁
07-30 820
相比 GRE over IPSec 技术,VTI 技术减少了每一个包中 GRE 头部的 4 个字节,所以每一个包能够承载更多的数据。当然,由于虚拟隧道口的存在,VTI 也同样能够解决经典配置 IPSec VPN 中存在的三大问题。 Virtual Tunnel Interface(VTI)技术分为如下两种类型:  静态 VTI(Static VTI,SVTI);  动态 VTI(Dynamic VTI,DVTI)。 1 .配置 IPSec Profile Site1(config)#crypto isa
GRE协议与传输模式下IPSec隧道
redwingz的博客
12-03 4076
以下根据strongswan代码中的testing/tests/route-based/net2net-gre/中的测试环境,来看一下GRE报文通过IPSec隧道的情况。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和sun。 sun网关配置 sun的配置文件:/etc/swanctl/swanctl.conf,内容如下。注意其中的gre子连接配置,local_ts和remote_t...
IPSec学习
wq897387的专栏
12-19 1968
IPsec介绍和实践
从零开始搭建strongswan
B★R★S的博客
12-21 1万+
转眼一年就这么过去了,补下之前说到的手动搭建strongswan,免得拖到明年。 准备工作 一台linux服务器,这里以Debian10为例 strognswan安装包,官网下载,我用的是5.9.1 一.安装strongswan 1) 更新,添加依赖: apt update -y apt install libpam0g-dev libssl-dev make gcc curl tcpdump -y 2) 解压: 将strongswan安装包上传到linux服务器,解压后进入安装目录 t
SWAN之botan/rw-ecp256测试
redwingz的博客
10-29 474
本测试中远程用户(roadwarrior)carol和网关moon使用strongswan的插件botan进行所有的加密相关计算,另外远程用户dave使用strongswan的openssl插件进行相应操作。远程用户carol和dave分别建立到网关moon的连接,认证基于X.509证书,秘钥交换基于ecp256算法。连接成功建立之后,网关moon之后的虚拟主机alice分别ping主机carol...
五、IPSec开源项目strongSwan
小脑斧的博客
08-15 8589
strongSwan是一套完整的IPsec开源实现方案,用来提供服务端和客户端之间的加密和认证。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值