1 瞎看linux ipsec用setkey设置transport端到端

最新推荐文章于 2023-01-07 21:44:49 发布
最新推荐文章于 2023-01-07 21:44:49 发布
阅读量943 收藏
点赞数
分类专栏: linux_ipsec 文章标签: linux_ipsec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanzc1/article/details/79246291
版权
手动用setkey transport 简单的设置

虚拟机环境测试

192.168.125.10 <--路由--> 192.168.125.14


近来实在没有事干闲得难受,没啥事儿干.
 有一个比较特殊的事件提到了ipsec.
我就准备花一些时间看看linux中的ipsec.学学相关的基础知识.
最好能再看看在实际应用环境里怎么能够用上它.
如果我还在继续看这这些信息.我会继续再发点信息.


setkey -D  显示sad
setkey -D -P 显示spd
cat cfgfile|setkey -c 或 echo "设置信息" |setkey -c 或 setkey -f cfgfile 生效配置.
setkey -F 清除sad所有内容
setkey -F -D 清除 spd所有内容

###########
esp_transport
----------
192.168.125.14
add -4 192.168.125.10 192.168.125.14 esp 0x1001 -m transport
 -E aes-ctr 0x2b460e68de9020d3ee6096e01f23ad22a802432b
 -A hmac-sha1 0xd64ffbac35949351fb12dbc1774732e57fb4e471 ;

add -4 192.168.125.14 192.168.125.10 esp 0x2001 -m transport
 -E aes-ctr 0x2cb7395fa8d54a4e9d1639cbe91bb8809d72da21
 -A hmac-sha1 0x802aa95c18319dd8a0fc6be2d70c8560625569e5 ;

spdadd -4 192.168.125.14 192.168.125.10 any -P out ipsec esp/transport//require;
spdadd -4 192.168.125.10 192.168.125.14 any -P in ipsec esp/transport//require;

----------
192.168.125.10
add -4 192.168.125.10 192.168.125.14 esp 0x1001 -m transport
 -E aes-ctr 0x2b460e68de9020d3ee6096e01f23ad22a802432b
 -A hmac-sha1 0xd64ffbac35949351fb12dbc1774732e57fb4e471 ;

add -4 192.168.125.14 192.168.125.10 esp 0x2001 -m transport
 -E aes-ctr 0x2cb7395fa8d54a4e9d1639cbe91bb8809d72da21
 -A hmac-sha1 0x802aa95c18319dd8a0fc6be2d70c8560625569e5 ;

spdadd -4 192.168.125.14 192.168.125.10 any -P in ipsec esp/transport//require;
spdadd -4 192.168.125.10 192.168.125.14 any -P out ipsec esp/transport//require;

----------
# tcpdump -n -i tap3 -n
12:30:06.657926 IP 192.168.125.10 > 192.168.125.14: ESP(spi=0x00001001,seq=0x17), length 96
12:30:06.658384 IP 192.168.125.14 > 192.168.125.10: ESP(spi=0x00002001,seq=0x17), length 96
12:30:07.659087 IP 192.168.125.10 > 192.168.125.14: ESP(spi=0x00001001,seq=0x18), length 96
12:30:07.659542 IP 192.168.125.14 > 192.168.125.10: ESP(spi=0x00002001,seq=0x18), length 96

################
ah_transport
----------
192.168.125.14
add -4 192.168.125.10 192.168.125.14 ah 0x1001 -m transport
 -E aes-ctr 0x2b460e68de9020d3ee6096e01f23ad22a802432b
 -A hmac-sha1 0xd64ffbac35949351fb12dbc1774732e57fb4e471 ;

add -4 192.168.125.14 192.168.125.10 ah 0x2001 -m transport
 -E aes-ctr 0x2cb7395fa8d54a4e9d1639cbe91bb8809d72da21
 -A hmac-sha1 0x802aa95c18319dd8a0fc6be2d70c8560625569e5 ;

spdadd -4 192.168.125.14 192.168.125.10 any -P out ipsec ah/transport//require;
spdadd -4 192.168.125.10 192.168.125.14 any -P in ipsec ah/transport//require;

----------
192.168.125.10
add -4 192.168.125.10 192.168.125.14 ah 0x1001 -m transport
 -E aes-ctr 0x2b460e68de9020d3ee6096e01f23ad22a802432b
 -A hmac-sha1 0xd64ffbac35949351fb12dbc1774732e57fb4e471 ;

add -4 192.168.125.14 192.168.125.10 ah 0x2001 -m transport
 -E aes-ctr 0x2cb7395fa8d54a4e9d1639cbe91bb8809d72da21
 -A hmac-sha1 0x802aa95c18319dd8a0fc6be2d70c8560625569e5 ;

spdadd -4 192.168.125.14 192.168.125.10 any -P in ipsec ah/transport//require;
spdadd -4 192.168.125.10 192.168.125.14 any -P out ipsec ah/transport//require;
------------
# tcpdump -n -i tap3 -n
12:35:11.494008 IP 192.168.125.10 > 192.168.125.14: AH(spi=0x00001001,seq=0xb): ICMP echo request, id 1201, seq 4, length 64
12:35:11.494332 IP 192.168.125.14 > 192.168.125.10: AH(spi=0x00002001,seq=0xb): ICMP echo reply, id 1201, seq 4, length 64
12:35:12.518114 IP 192.168.125.10 > 192.168.125.14: AH(spi=0x00001001,seq=0xc): ICMP echo request, id 1201, seq 5, length 64
12:35:12.518633 IP 192.168.125.14 > 192.168.125.10: AH(spi=0x00002001,seq=0xc): ICMP echo reply, id 1201, seq 5, length 64

################
标准的生成随机key. 更改 128来设置要生成的 key长度
dd if=/dev/random count=$((128/8)) bs=1| xxd -ps

################
测试速度.
虚拟机的cpu里没有 aes加速指令.
在实机的aes也许有加速. 是不是应该是首选呢.


非ipsec两虚拟机 tcp netcat传大文件 140 MB/second

ipsec/esp/transport blowfish-cbc_448bitkey  21 MB/second
ipsec/esp/transport des-cbc 18-21 MB/second
ipsec/esp/transport 3des-cbc 10 MB/second
ipsec/esp/transport aes-ctr_160bitkey 21-23 MB/second
塞子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ipsec.zip_Linux ipsec_ipsec
09-24
How to configure ipsec on linux (ubuntu).
使用setkey手工配置IPSec
皮卡丘在充电
06-14 2115
需要在两个节点之间配置IPSec,由于对端A节点将IPSec命令封装了,所以本端B节点没有使用racoon自动协商生成IPsec SA,而采用setkey手工配置SA。如果两端都需要初始配置,这种方法也适用。 关键在于,1)两端的mode、加密方式、key、spi要一致 2)配置setkey.conf文件 mode分为传输模式(transport)和隧道模式(tunnel),传输模...
使用racoon setkey搭建IPsec VPN环境
GOOD__YOUTH的博客
10-13 975
Linux自带的pfkey可以使用两种方式操作搭建隧道环境:一种是使用setkey手动设置SA,这种方式不常用,SA中的SPI,加密密钥、认证密钥等都是要手动填的,比如md5需要128bit,3des 192bits,可想而知有多大不便;另一种由racoon自动协商生成IPsec SA,但它在协商之前需要setkey设置SP。 搭建环境:CentOS release 5.4,内核2.6.18-164.el5xen 拓扑如下: 在每一个VPN网关需要增加默认路由,否则无法使用p...
rhel5 简单的IPSEC实现 Transport Mode
weixin_34366546的博客
03-06 90
目前在Linux Kernel ≥2.5.47and 2.6.*.中已经支持IPSEC 在rhel 5.3上配置Transport Mode模式 节点192.168.1.146和192.168.1.145之间进行IPSEC加密通讯 在主机192.168.1.146上设置/etc/setkey.conf # cat /etc/setkey.conf ...
实验二十七 IPSec配置
qq_59621600的博客
01-07 1673
实验二十七 IPSec配置
IPsec-Tools之setkey
人生如棋
06-28 9808
IPsec-Tools的setkey用法,手动生成SAD和SPD
Linux 内核IPSec(xfrm)协议栈源码分析
06-21
Linux 内核 IPSec 协议栈源码分析》 1. 前言 在Linux内核中,IPSec(Internet Protocol Security)是一种网络安全协议,用于在IP层提供安全服务,包括加密和完整性保护。它基于XFRM(eXtensible Framework for ...
Linux 2.6内核中IPSec支持机制分析.pdf
09-06
Linux 2.6内核中IPSec支持机制分析.pdf
freeswan.rar_freeswan_ipsec linux
09-23
ipsec的朋友可以共同参阅下,从原始的freeswan开始研究
linux ipsec l2tp设置
04-16
linuxipsec openswan l2tp 设置教程
Set Key 设置
e00402的专栏
04-24 1104
引入了一种新的动画模式,称为 Set Key 设置键模式,用来帮助实现 pose to pose 姿态到姿态的动画。 原有的动画模式现在被称为 Auto Key 自动键模式。     pose to pose 姿态到姿态的动画需要在指定的帧中,一旦一个角色被正确的摆好姿势,所有可动画的轨 迹需要被记录关键帧。这将会创建一个该角色的快照,如果在其他的时间点上,角色被修改,该快照不会
使用racoon setkey搭建IPsec环境
终身学习的程序猿
06-18 1万+
使用racoon setkey搭建IPsec VPN环境 转载请注明出处:http://blog.csdn.net/rosetta 以前的博文写的都是基于openswan klips的IPsec实现及环境搭建,没有使用过Linux自带的netkey,现基于Linux自带的netkey搭建IPsec VPN环境,并参考UNPV13e写一个应用层程序倾泻安全联盟。
LinuxIPsec-tools的使用
ai58203的博客
07-26 607
Ipsec-tools有人工和自动两种方式来管理SA。 Manual keyed connections using setkey 所有连接所需的参数均由管理员提供。不使用IKE协议来自动认证对端和协商参数。管理员来决定用哪个协议、算法和密钥来创建安全联盟。 Transport Mode 使用Setkey命令可以修改SAD和SPD中存储的所有参数。Setkey -...
linux ip隧道技术,Linux 隧道技术
weixin_35455673的博客
05-04 380
moprobeip_greiptunneladdtun1modegre......来实现,而后面的参数基本上不需要改变。上面是一个简单的没有任何加密的隧道建立过程,这样通讯可能会带来安全隐患,毕竟我们访问的是内网吗。下面来给这个隧道加密。ipsec是一个复杂的东西,这里只简单的介绍,如果有问题请查阅在线的[url=http://control.cublog.cn/%5C%22ht...
UNIX/XENIX环境下SETKEY命令的应用技巧
jiangxinyu的专栏
07-16 1173
 [ 作者:储久良 ]   DOS5.0以上版本中均含有DOSKEY命令,该命令具有追忆功能,当用户需要重复执行或浏览刚输入的命令时,只要按向上或向下的光标键就可追忆搜索,十分方便。在UNIX/XENIX系统中,虽没有类似的命令,用户也可通过SETKEY命令来给功能键赋值,从而达到提高输入速度或减少重复敲键的烦恼。下面就介绍一点应用体会。一、 命令格式及相关说明  setkey keynum st
Linux 隧道技术
热门推荐
sdfujichao的博客
05-07 1万+
这几天看linux tunnel 技术,感觉linux很好很强大。记录如下:( 所有测试系统 CentOS5.2 )  linux 支持的 tunnel 有 ipip gre sit 其他非内核隧道这几种。  ipip 需要内核模块 ipip.ko 下面的描述说出了ipip的特点。  简单之极!但是你不能通过IP-in-IP隧道转发广播或者IPv6数据包。你只是连接了两个一般情况下无法直接通
Linux 命令之 set
worldchinalee的博客
09-14 2908
set命令可以用来定制shell环境,使用选项“o”来打开或者关闭选项。例如打开选项:set -o 选项,关闭选项目:set +o 选项。 例如要打开vi交互式命令行编辑,则如下: [bigdata@master bin]$ set -o #查看当前设置情况 allexport off braceexpand on emacs off errexit...
Map对象中的KeySet()与EntrySet()的区别
zmx1358228852的博客
10-11 2437
Map中的KeySet()与EntrySet()方法 Map集合提供了get()方法获取元素,但是get()对应的是一个键取出值,这种方式比较局限和单一,不能一次性全部取出来。要取出所有的值,就必须要取出所有的键,然后才能获取全部与键所对应的值。这时候get()方法就不能满足我们的需求了,但是Java为我们提供了相应的解决方式。 ...
Linux内核 ipsec transport tunnel
最新发布
07-22
Linux内核支持IPSec协议的传输模式和隧道模式。 1. 传输模式(Transport Mode):在传输模式下,IPSec仅对IP数据报的有效负载进行加密和验证,IP头部不会被修改。这意味着仅数据部分受到保护,IP头部信息不受保护。传输模式常用于主机到主机的通信,例如两台服务器之间的通信。 2. 隧道模式(Tunnel Mode):在隧道模式下,整个IP数据报都会被加密和验证,包括IP头部和有效负载。IPSec会在原始IP数据报的基础上添加一个新的IP头部,新的IP头部中的源地址和目的地址指定了隧道的入口和出口。隧道模式常用于网络到网络的通信,例如不同网络之间的通信。 Linux内核提供了StrongSwan和Openswan等软件包来实现IPSec功能。这些软件包提供了用户空间工具和内核模块,用于配置和管理IPSec连接。用户可以使用ip xfrm命令来配置IPSec策略和连接,以及监视和管理IPSec连接的状态。 请注意,以上是关于Linux内核中IPSec传输模式和隧道模式的一般介绍,具体实施和配置可能因不同的Linux发行版和版本而有所差异。建议查阅相关文档或参考特定发行版的文档以获得更详细的配置指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值