- 博客(18)
- 资源 (5)
- 收藏
- 关注
RSS订阅原创 IKEv2协议中的EAP-TLS认证处理流程
以下根据strongswan代码中的testing/tests/ikev2/rw-eap-tls-only/中的测试环境,验证一下IKEv2协议的EAP-TLS认证过程。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和carol主机。carol主机配置carol主机的配置文件:/etc/ipsec.conf,内容如下。leftauth字段设置为eap认证,rightauth的值为...
2019-12-18 19:50:21
4257
原创 IKEv2协议报文分片处理
以下根据strongswan代码中的testing/tests/ikev2/net2net-fragmentation/中的测试环境,来看一下IKEv2协议的报文分片处理流程。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和sun网关。网关配置moon的配置文件:/etc/ipsec.conf,内容如下。注意此处fragmentation字段的值为yes,可能的取值还有:no、a...
2019-12-10 21:40:36
1951
原创 IKEv2子网之间秘钥重协商
以下根据strongswan代码中的testing/tests/ikev2/net2net-rekey/中的测试环境,验证一下网络到网络的IKEv2协议的秘钥重协商过程。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和sun。moon网关配置moon网关的配置文件:/etc/ipsec.conf ,内容如下。为了进行秘钥重协商,安全关联的生存期lifetime指定为较短的10s,...
2019-12-09 21:17:30
2380
原创 共享秘钥模式下XAUTH验证流程
以下根据strongswan代码中的testing/tests/ikev1/xauth-psk/中的测试环境,来看一下XAUTH验证流程。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和主机carol及dave。moon网关配置moon的配置文件:/etc/ipsec.conf,内容如下。注意此处keyexchange字段的值,使用ikev1版本协议。在名称为rw的连接配置中,l...
2019-12-08 16:17:35
3113
原创 IPSec对NAT网关内部多个连接的支持
以下根据strongswan代码中的testing/tests/ikev2/nat-rw-mark/中的测试环境,在安全连接的两个节点之间存在NAT网关的情况,并且在安全网关上对外部连接的端点地址在访问内部网络之前,执行SNAT操作,适用于外部的分支使用与总部不同网段地址的情况。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和sun。sun网关配置sun的配置文件:/etc/ip...
2019-12-05 20:51:14
1709
原创 内核升级抢占配置选项问题
一直使用的是2.4的比较旧的内核,在升级到4.15的新内核之后,之前运行稳定的代码一直有各种死锁的情况发生。如下所示,大致原因都是一样的,如下对于同一个读写锁,有的地方并没有锁住下半部,导致问题的发生。[249739.328755] RIP: 0010:[<ffffffff8143128e>] [<ffffffff8143128e>] __read_lock_faile...
2019-12-05 19:08:19
414
原创 GRE协议与传输模式下IPSec隧道
以下根据strongswan代码中的testing/tests/route-based/net2net-gre/中的测试环境,来看一下GRE报文通过IPSec隧道的情况。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和sun。sun网关配置sun的配置文件:/etc/swanctl/swanctl.conf,内容如下。注意其中的gre子连接配置,local_ts和remote_t...
2019-12-03 20:24:26
3864
原创 Fortinet防护墙IKEv1版本协议配置
本文主要讲述Site-to-Site的IPsecurity IKEv1协议的配置以及注意事项。此网络结构又称为网络到网络的IPSecurity,两个网关彼此建立IPSecurity通道,将网关背后的内部网络通过IPSecurity通道安全的连接起来。防火墙1的配置1)打开虚拟专用网络->IPSec->IKE网页,创建IPSecurity的阶段一,远程网关地址选择...
2019-12-03 19:54:02
1510
原创 两个IPSec子连接共用XFRM虚拟接口
以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi-ike/中的测试环境,来看一下两个IPSec子连接共用一个XFRM虚拟接口的情况。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和sun。sun网关配置sun的配置文件:/etc/swanctl/swanctl.conf,内容如下。注意其中的net-net子连接配置...
2019-12-02 19:42:01
1216
1
原创 网络命名空间之间移动XFRM虚拟设备
以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi-netns/中的测试环境,来看一下基于路由和XFRM接口实现的安全连接,以及在两个网络命名空间之间移动XFRM虚拟接口的情况。内核允许XFRM接口的移动,可使得一个命名空间中的strongswan进程为另外一个命名空间中的应用提供安全加密服务,而后者并不需要进行IKE相关协商。拓扑结...
2019-12-02 19:41:40
773
原创 自动创建XFRM虚拟接口的net2net形式的IPSEC
以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。在配置中sun网关使用特殊值%unique-dir自动为in/out两个方向创建不同ID值的xfrm虚拟设备;而moon网关仍然使用在swanctl.conf文件中手动指定xfrm接口ID值,并且手动创建XFRM接口的方法。su...
2019-12-02 19:41:28
711
原创 基于路由和VTI隧道接口的net2net的IPSec实现
以下根据strongswan代码中的testing/tests/route-based/net2net-vti/中的测试环境,来看一下基于路由和VTI接口实现的安全连接。拓扑结构如下:拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。sun网关配置sun的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home中的字段vips设置为0...
2019-12-02 19:41:16
1592
1
原创 基于VTI隧道接口IPv4封装IPv6报文的IPSec实现
以下根据strongswan代码中的testing/tests/route-based/rw-shared-vti-ip6-in-ip4/中的测试环境,来看一下基于路由和VTI接口的IPv4封装IPv6报文的安全连接。拓扑结构如下:拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。虚拟主机配置carol的配置文件:/etc/swanctl/swanctl.con...
2019-12-02 19:40:51
1187
原创 基于路由和VTI虚拟接口的IPSec实现
以下根据strongswan代码中的testing/tests/route-based/rw-shared-vti/中的测试环境,来看一下基于路由和VTI接口的安全连接。拓扑结构如下:拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。虚拟主机配置carol的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home中的字段vips设置为...
2019-12-02 19:40:24
3515
4
原创 基于路由和XFRM虚拟接口的IPSec实现
以下根据strongswan代码中的testing/tests/route-based/rw-shared-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。拓扑结构如下:拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。虚拟主机配置carol的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home中的字段vips...
2019-12-02 19:30:27
2505
1
原创 ubuntu创建自签名证书
系统版本:Ubuntu 17.04。首先生成一个RSA私钥:$$ mkdir private$ $ openssl genrsa -out private/cakey.pem 2048Generating RSA private key, 2048 bit long modulus......................................................
2019-12-02 19:30:06
2460
原创 XAUTH认证
以下根据strongswan代码中的testing/tests/swanctl/xauth-rsa/中的测试环境,来看XAuth的配置和认证流程。扩展认证XAUTH在RSA公开秘钥签名认证(pubkey)之后进行。拓扑结构如下:拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。虚拟主机配置carol的配置文件:/etc/swanctl/swanctl.conf,...
2019-12-02 19:29:48
2824
原创 IKEv2使用RSA-PSS签名
RSA-PSS全称为:RSA Probabilistic Signature Scheme,在IKEv2协议的报文交互中,Authentication载荷可携带由RSA-PSS算法签名的验证数据。以下根据strongswan代码中的testing/tests/swanctl/rw-cert-pss/中的测试环境,来看基于X.509证书的RSA-PSS签名配置和认证流程。拓扑结构如下:拓扑图中使...
2019-12-02 19:28:51
1072
8
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人