strongswan--对等体封装模式不一致的处理

最新推荐文章于 2023-07-15 15:04:11 发布
最新推荐文章于 2023-07-15 15:04:11 发布
阅读量271 收藏 2
点赞数
原文链接:http://www.cnblogs.com/collapsar/p/10036957.html
版权

  ipsec的封装模式有两种:transport模式和tunnel模式。当对等体的封装模式不一致(即一方为transport模式,另一方为tunnel模式)时,双方协商的结果是建立tunnel模式的ipsec会话。

  DUTA(transport) ------- DUTB(tunnel)

  以IKEv2为例分析。在上图中,假设DUTA是会话的发起方,DUTA配置的封装模式为transport,在IKE_AUTH的请求报文中会携带N(USE_TRANSP)载荷。DUTB在解析到该载荷时会与自己配置的封装模式比较,因为配置为tunnel模式,故保持自己的封装模式不变,DUTB发送的IKE_AUTH回应报文中不携带N(USE_TRANSP)载荷。DUTA创建的child SA的封装模式为默认值tunnel模式,并将该模式下发协议栈。需要注意的是,child SA创建时,封装模式没有使用配置值,而是默认赋值为tunnel模式。

  代码如下:

  DUTA构造IKE_AUTH请求报文,调用child_create.cbuild_i函数:

  其封装模式是从配置中读出来的:

  然后构造IKE_AUTH请求报文的载荷

  注意区分两个结构:private_child_create_tprivate_child_sa_t

-----------------------------------------------------------------------------------------------

  DUTB收到N(USE_TRANSP)载荷,先将mode设置为transport:

  DUTB在回复IKE_AUTH响应报文之前会先按照child_sa到内核:

 

  此时发现自己配置的封装模式不是transport,于是将封装模式的值改为tunnel:

  后续便不会发送N(USE_TRANSP)载荷。

  疑问???

  为什么DUTA发送N(USE_TRANSP)载荷时,private_child_create_t中的mode是transport,后来没收到DUTB的N(USE_TRANSP)载荷,而mode值又变成tunnel了?

  原因是,DUTA在处理DUTB的IKE_AUTH响应报文中的载荷时,将mode值改成了tunnel。代码如下:

  代码处理上的细节太多,不多问自己几个为什么,真不敢说自己搞懂了 

  总结一下,private_child_create_t中的mode是由配置值和N(USE_TRANSP)载荷按照一定的逻辑共同决定的。而private_child_sa_t中的mode,是在child sa下发协议栈之前,先将private_child_create_t中的mode拷贝过去,然后下发的。而决定ipsec会话封装模式的,是private_child_create_t中的mode。

转载于:https://www.cnblogs.com/collapsar/p/10036957.html

weixin_30800987
关注
strongswan ipsec环境搭建及swanctl.conf配置含ca证书配置(tunnel模式,ah封装,rsa认证)
weixin_43190642的博客
12-24 8048
vm1:192.168.182.144 host1:192.168.182.254 9.94.189.225 host2:9.94.189.226 192.168.152.254 vm2:192.168.152.132 环境如图所示,两台物理机充当网关,分别启动一台虚拟机组成局域网。 一、虚拟机启动 使用qume脚本启动,关键信息: -enable-kvm -display none -cpu host -smp 4 -m 4096 -kernel KaTeX p
ipsec *** 多对等体
weixin_34126557的博客
10-21 189
实验拓扑: ---------------------R1------------------------------------------------------ crypto isakmp policy 10 hash md5 authentication pre-share group 2 crypto isakmp key root address 30.1.1.1 25...
strongswanipsec.conf配置手册
衡水铁头哥的博客
07-09 6701
ipsec.conf是strongSwan的关键配置,文件指定了strongSwan IPsec子系统的大部分配置和控制信息。主要的例外是身份验证的密钥,配置保存在ipsec.secrets文件中。
SWAN之ikev2协议host2host-transport-connmark配置测试
redwingz的博客
11-07 526
本测试在NAT网关moon背后的两台主机alice和venus上发起到外部sun网关的安全连接,使用传输模式。sun网关使用connmark插件和netfilter标记mark来区分两个安全连接,以便可与NAT网关之后的两个主机通信。本次测试拓扑如下: 测试配置 alice的配置文件:ikev2/host2host-transport-connmark/hosts/alice/etc/ipsec...
strongSwan报文交互过程
衡水铁头哥的博客
07-28 1693
Connections可以理解为对等体信息,其中前3行是IKE对等体信息,有本端和对端的身份标识以及认证方式;最后一行child就是IPsec连接,模式为TUNNEL隧道模式,因为IPsec SA是基于IKE SA创建的,所以用child来表示也是比较合理的。...
人工智能-数据挖掘-结构化对等计算及其上数据挖掘系统.pdf
06-28
为了克服P2P环境中的动态性,论文可能采取了如下的策略:利用分布式一致性协议来保持索引的一致性;设计动态的任务分配和结果聚合机制,以应对节点的加入和离开;以及使用概率模型或滑动窗口技术来跟踪频繁模式的...
网络游戏-建立对等体聚类的实现方法、对等体通信方法及P2P网络对等体.zip
09-19
标题所提到的"网络游戏-建立对等体聚类的实现方法、对等体通信方法及P2P网络对等体",涉及到的关键知识点主要包括对等网络的基础原理、对等体聚类策略、对等体通信机制以及在网络游戏中的具体应用。 1. 对等网络...
行业分类-设备装置-对等网络平台的架构.zip
08-24
对等协议定义了节点间如何交互的规则,包括寻址、连接建立、数据传输、错误处理等。常见的对等协议有BitTorrent、Gnutella和Napster等。这些协议使得节点能够发现、连接、交换数据,并维持网络的稳定运行。 4. 对等...
项目2--楼层对等网络组建-.ppt
06-08
项目2--楼层对等网络组建-.ppt
网络游戏-用于确定文件的对等体网络来源站的方法和对等体网络.zip
09-20
在互联网世界中,网络游戏已经成为一个庞大的产业,而对等体网络(P2P,Peer-to-Peer)技术在其中扮演了重要角色。本文件“网络游戏-用于确定文件的对等体网络来源站的方法和对等体网络.zip”包含了关于如何在P2P...
五、IPSec开源项目strongSwan
小脑斧的博客
08-15 8587
strongSwan是一套完整的IPsec开源实现方案,用来提供服务端和客户端之间的加密和认证。
看了一次strongswan ipsec的设置.
最新发布
塞子 迷糊地....
07-15 1355
测试使用 strongswan与 hillstone防火墙建立ipsec连接
使用StrongSwan配置IPSec
热门推荐
Xiaowo
03-22 5万+
使用StrongSwanIPSec进行研究,是一种很好的理解IPSec的实践。然而StrongSwan在使用的过程中实在是有太多的坑,网上的教程也多有不完整的地方,几乎没有能彻彻底底说明白每一步的,导致我在使用StrongSwan的过程中各种抓耳挠腮。程序员自然要造福程序员,在这里特将StrongSwan使用中所遇到的完整步骤记录下来,希望有所帮助。准备工作准备工作可不是简单地装个StrongSw
IPSec的两种工作模式及其报文封装格式
TinyFisher的专栏
08-24 9520
隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。 传输(transport模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯
STRONGSWAN源代码学习1_IPSEC学习
Skylar
08-13 1万+
互联网密钥交换协议IKE(Internet Key Exchange) IKE的三大组成协议:SKEME、Oakley、ISAKMP IKE与ISAKMP ISAKMP是IKE的核心协议。很多网络技术人员常常会认为IKE和ISAMKP是相同的概念。 IKE的两个阶段 第一阶段(Phase 1)分别可以使用6个包交换的主模式(Main Mode)或者3个包交换的主动模式
使用strongswan建立点对点的证书连接
chensnowlian的专栏
06-24 5727
本次服务端是龙芯的linux环境,客户端windows 7。 一、环境搭建 二、证书生成 需要根证书、服务器私钥、服务器证书、客户端私钥、客户端证书 在用ipsec pki命令的时候,出现building CRED_PRIVATE_KEY - RSA failed, tried 3 builders,检查原因openssl没有装上,用.confgure重新安装下。 1.生成CA...
L2TP客户端之Strongswan移植(三)
野生程序猿_Wilburn
09-25 1166
L2TP客户端移植,strongswan环境部署。
strongSwanipsec.conf – IPsec 的配置和连接
hhd1988的专栏
05-18 5490
配置文件描述 可选的ipsec.conf文件指定了strongSwan IPsec子系统的大多数配置和控制信息。 主要的例外是身份验证的机密;见ipsec.secrets(5)。其内容不是安全敏感的。 该文件是一个文本文件,由一个或多个部分组成。空格后跟“#”后跟任何到行末尾是注释,而被忽略,空行不包含在部分内。 包含include和文件名的行(由空格分隔)将替换为该文件的内容。 如果文件名不是完整路径名,则认为它与包含包含文件的目录相关。 这种包含可以嵌套。 可能只提供一个文件名,它可能不包含空格,
strongswan 配置ikev2 for iOS and Android
sonflower123的博客
02-02 1万+
strongswan 高版本已支持ikev2,ios9.0以上版本的支持ikev2,Android也是高版本的部分机型支持ikev2,本人搭建的基于ikev2交换协议的strongswan VPN服务器对与iOS 是免证书的(iOS VPN客户端自己写的),Android (VPN客户端是stongswan 官网提供的客户端)服务器认证是证书,客户端认证是eap模式配置文件如下 1.生成服务器证
网络操作系统工作模式详解:C-S与对等模式
网络操作系统的工作模式是现代计算机系统的核心组成部分,主要探讨了两种主要的工作模式:客户-服务器(Client-Server, C-S)模式和对等模式。这两种模式在IT行业中扮演着关键角色,它们定义了操作系统如何管理和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值