strongswan libipsec

已于 2022-03-15 22:55:25 修改
阅读量502 收藏 1
点赞数
分类专栏: IPsec 文章标签: 网络
于 2022-03-15 14:53:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wq897387/article/details/123502054
版权

strongswan/src/libipsec/目录下文件list

# ls
Android.mk     esp_packet.h  ipsec_event_listener.h  ipsec_policy.c      ipsec_processor.c  ipsec_sa_mgr.c
esp_context.c  ip_packet.c   ipsec_event_relay.c     ipsec_policy.h      ipsec_processor.h  ipsec_sa_mgr.h
esp_context.h  ip_packet.h   ipsec_event_relay.h     ipsec_policy_mgr.c  ipsec_sa.c         Makefile.am
esp_packet.c   ipsec.c       ipsec.h                 ipsec_policy_mgr.h  ipsec_sa.h         tests

ipsec主件部分:

类别相关文件描述
PACKET

ip_packet

IP数据包相关属性和操作接口
esp_packetESP数据包相关属性和操作接口
POLICYipsec_policy策略:用来匹配数据包并做相应traffic dierction
ipsec_policy_mgr添加,删除,清空,查找策略,属于策略的管理,策略需要被注册到内核。为了保守的安全策略,所有不能匹配注册的策略的数据包都将被丢弃。一条策略通常是和一个SA关联的。
SAipsec_saSPI,src,dst,protocol,reqid,lfietime,mode,esn等描述了一个SA(Security Association)
ipsec_sa_mgr添加,更新,查询,删除和清空SAs等操作;SAs跟Policy一样都是要被注册到内核的,也需要被统一管理。为了更快的在SA list中找到list,使用了hash表。
ESP

esp_context

ESP上下文:AEAD算法,seq_no;

seq_no用到了抗重放窗口。

esp_packet

ESP数据包的协议相关操作;

esp_packet_create_from_packet函数被注册为process_inbound的回调函数

PROCESSORipsec_processor

inboud和outbound队列的初始化和入队,出队操作;注册process_inbound和process_outbound函数;

process_inbound函数细节:

1、从ibound_queue中取ESP数据包

2、根据ESP数据包的SPI找到对应SPI

3、根据SA对数据包做解密

4、调用deliver_inbound把解密出的明文给注册者的回调函数处理

process_outbound函数细节(反过程):

1、从outbound_queue中取出要做成ESP的明文数据包

2、查找该数据包的匹配策略

3、根据reqid(策略与SA根据reqid绑定)关联到SA

4、用SA对原明文数据包进行加密

5、根据注册者的回调函数发送加密好的ESP数据包

EVENTipsec_event_listenerListener interface for IPsec events
ipsec_event_relay
风流网民
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于路由和XFRM虚拟接口的IPSec实现
redwingz的博客
12-02 2539
以下根据strongswan代码中的testing/tests/route-based/rw-shared-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。 虚拟主机配置 carol的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home中的字段vips...
strongswan源代码
02-02
strongswan源代码
strongswan.sh
01-07
strongswan 插件详情
strongswan与vpp实现ipsec
a363344923的专栏
04-09 7149
文章目录@[toc]1、strongswan+vpp简介strongswan与vpp如何结合已有的开源项目简介作者matfabia作者mestery作者rayshi-102、基于rayshi-10的代码和strongswan最新release5.8.3进行修改下载源码替换文件注意dnssec_status_t的修改修改PUNT read socket path3、编译项目下载依赖编译vpp编译s...
gcc9.4 编译 dpdk20.11.3 avx512 flag引发的编译错误
快乐小半半的博客
11-09 1125
gcc9.4.0编译dpdk20.11.3时。avx512 flag引起的编译错误。
strongswan:使用kernel-libipsec
hhd1988的专栏
07-01 1053
strongswan:使用kernel-libipsec
strongswan ipsec 向内核下发SA和Policy部分
wq897387的专栏
03-29 1690
strongswan ipsec 向内核下发SA和Policy部分可以是kernel_netlink插件的方式实现的。
StrongSwan 5.1.1 发布,Linux 的 IPsec 项目
weixin_33709590的博客
11-14 153
StrongSwan是一个完整的2.4和2.6的Linux内核下的IPsec和IKEv1 的实现。它也完全支持新的IKEv2协议的Linux 2.6内核。结合IKEv1和IKEv2模式与大多数其他基于IPSec的VPN产品。并且支持Radius.重点项目是strongSwan强认证机 制,使用X.509公 开密钥证书和可选的安全储存私钥对智能卡通过一个标准化的PKCS # 11接口。一个特点是使用...
ubuntu5-ubuntu采用strongswan模拟ipsec并enable-save-keys抓取ike/esp加密信息
rfc2544的博客
05-04 1907
一、背景拓扑 (1)本文主要目的是描述如何在一台windows宿主机内通过VMware安装两台虚拟机(ubuntu)后,使两台ubuntu进行互通且采用strongswan搭建ipsec隧道并enable-save-keys抓取ike/esp加密信息。 (2)如果资金允许,可以采购一台支持ipsec功能的路由器对接一台ubuntu虚拟机搭建ipsec隧道,看起来应该会更直观些。而且不用考虑太多的虚拟机网卡绑定关系,会很方便。 二、前置条件 (1)VMware1-windows安装VMware
openwrt配置strongswan对接hillstone ipsec的笔记
d9394952的博客
06-01 8300
一、主要参考资料: https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/basic https://openwrt.org/docs/guide-user/s...
strongSwan-2.2.1.apk
02-15
2020.2.15日以前Android 最新版本,大家可以去strongswan官网下载,strongswan.org。
strongswan全套配置文件
09-23
strongswan全套配置文件
strongswan5.6.3
07-03
基于IPSec协议的源代码的实现,如果想好好学习了解IPsec的原理,strongswan是个很好的选择
IPsec工具之ipsec-tools
weixin_33858485的博客
04-19 2462
Linux从2.6内核开始自带IPsec模块,配合IPsec-Tools,可以实现Linux的IPsec功能。 IPsec-Tools包含4个模块 libipsec:PF_KEY实现库 setkey:用于配置SAD(安全关联数据库)和SPD(安全策略数据库) racoon:IKE守护程序,用于自动建立IPsec连接 racoonctl:操作racoon的shell工具 ...
嵌入式linux 搭建L2TP+IPSEC客户端
热门推荐
Jayson 博客
06-19 1万+
搭建L2TP+IPSEC客户端需要对应的源码 xl2tpd-1.3.10和openswan,还需要一些依赖的库,gmp,libpcap。一、安装openswan安装依赖库gmp-6.1.21、下载:https://gmplib.org/#DOWNLOAD2、配置./configure --host=arm-hisiv100nptl-linux --with-pcap=linux --prefix=...
自动创建XFRM虚拟接口的net2net形式的IPSEC
redwingz的博客
12-02 728
以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。在配置中sun网关使用特殊值%unique-dir自动为in/out两个方向创建不同ID值的xfrm虚拟设备;而moon网关仍然使用在swanctl.conf文件中手动指定xfrm接口ID值,并且手动创建XFRM接口的方法。su...
GRE协议与传输模式下IPSec隧道
redwingz的博客
12-03 3886
以下根据strongswan代码中的testing/tests/route-based/net2net-gre/中的测试环境,来看一下GRE报文通过IPSec隧道的情况。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和sun。 sun网关配置 sun的配置文件:/etc/swanctl/swanctl.conf,内容如下。注意其中的gre子连接配置,local_ts和remote_t...
[dev][ipsec][dpdk] strongswan/dpdk源码分析之ipsec算法配置过程
weixin_30689307的博客
03-25 1221
1 简述 storngswan的配置里用一种固定格式的字符串设置了用于协商的预定义算法。在包协商过程中strongswan将字符串转换为固定的枚举值封在数据包里用于传输。 协商成功之后,这组被协商选中的枚举值会通过netlink接口以xfrm定义好的字符串形式,传递给内核,内核再将字符串转换成pfkey定义的枚举值,最终进行加密设置。 DPDK的话,也有其统一的一组枚举值的抽象。在调用不同的...
Linux网络编程:网络基础
最新发布
weixin_73234157的博客
05-20 492
当我们形成计算机网络后,小明要给他的暗恋对象小红发一句“我喜欢你”,结果发给了小芳……,在计算机网络中会出现许许多多的主机,当我们进行网络通信时,我们要通过协议来找到指定的接收方。同理在单台主机中,数据从键盘中读入再转载到当前网卡也是需要协议的。简单来说:协议就是一种约定当计算机在读取数据时,发现数据中存在向网卡输送的标志(协议)时,就往网卡输送。当网卡读取到输送给小红,网卡就不会发送给小芳。
strongswan ui
01-02
strongSwan UI是strongSwan项目的一个用户界面,用于管理和配置strongSwan IPsec VPN。 strongSwan是一个开源的IPsec实现,它提供了一种安全通信协议,用于在IPv4和IPv6网络上进行加密和身份验证。strongSwan UI为用户提供了一个方便的途径来管理和配置strongSwan IPsec VPN。 使用strongSwan UI,用户可以通过图形化界面轻松地创建和管理IPsec VPN连接。它提供了一个直观的界面,使用户能够设置IPsec隧道的参数,例如灵活的IPsec策略、证书、密钥和预共享密钥。此外,用户还可以设置远程服务器的地址和端口,并定义网络中允许的子网和IP地址。 strongSwan UI还提供了监控和诊断功能。用户可以查看当前活动的IPsec连接,并监视每个连接的状态和性能。如果发生故障或无法连接,用户可以使用strongSwan UI来诊断问题,查看日志文件,以及执行必要的调试操作。 总之,strongSwan UI为strongSwan IPsec VPN提供了一个友好和简单的管理界面,使用户能够轻松创建、配置和监视IPsec连接。它增强了strongSwan的功能,使其更容易使用和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值