摘要:
Ipsec-tools有人工和自动两种方式来管理SA。Manual keyed connections using setkey所有连接所需的参数均由管理员提供。不使用IKE协议来自动认证对端和协商参数。管理员来决定用哪个协议、算法和密钥来创建安全联盟。Transport Mode使用Setkey命令可以修改SAD和SPD中存储的所有参数。Setkey -f /etc/setkey.conf表示从setkey.conf文件中读取命令。一个可能的/etc/setkey.conf文件如下:#!/usr/sbin/setkey -f# Configuration for 192.168.1.100# 阅读全文
摘要:
Ipsec中验证和加密的结合设计之初的设想是为一个IP数据包提供完整性、真实性和机密性要同时使用AH和ESP。(AH在ESP之前,接收方先检验数据包的真实性和完整性,然后尝试解密)但这导致IP数据包整体大小增加,所以将验证功能嵌入到ESP报尾,以保护ESP序列号和真正的有效载荷。用户可以选择依次单独使用AH和ESP,还是仅仅依赖ESP报头,在其报尾包含一个可选的验证功能。不管哪种方式选择传输模式还是隧道模式都与所使用的AH和ESP的组合无关。 阅读全文