2018年11月
strongswan--对等体封装模式不一致的处理
摘要: ipsec的封装模式有两种:transport模式和tunnel模式。当对等体的封装模式不一致(即一方为transport模式,另一方为tunnel模式)时,双方协商的结果是建立tunnel模式的ipsec会话。 DUTA(transport) DUTB(tunnel) 以IKEv2为例分析。在上图 阅读全文
posted @ 2018-11-29 10:58 爱新陀螺 阅读(980) 评论(0) 推荐(0) 编辑
strongswan--插件的加载
摘要: strongswan有许多插件,这些插件可以在配置阶段(执行./configure)使能或禁止,编译后,插件动态加载。 以stroke插件为例,stroke插件通过函数plugin_t *stroke_plugin_create()函数创建,然而,搜索整个工程代码,却找不到调用的地方。那么,stro 阅读全文
posted @ 2018-11-22 11:00 爱新陀螺 阅读(1732) 评论(0) 推荐(1) 编辑
2018年10月
RFC2410 -- NULL加密算法及其在IPsec中的使用
摘要: 摘要 本备忘录定义了NULL加密算法及其在IPsec ESP中的使用。NULL不改变明文数据。事实上,NULL本身没有做任何事情。使用NULL算法的ESP只提供认证和完整性验证功能。 1. 简介 NULL加密算法代表不用加密,用ESP_NULL来表示。 ESP_NULL计算认证数据时不包含IP头。这 阅读全文
posted @ 2018-10-17 15:16 爱新陀螺 阅读(672) 评论(0) 推荐(0) 编辑
Make & Makefile
摘要: make clean和make distclean的区别 对于Linux内核而言,可通过make help查看相关的帮助信息 Cleaning targets: clean - Remove most generated files but keep the config and enough bu 阅读全文
posted @ 2018-10-09 18:50 爱新陀螺 阅读(175) 评论(0) 推荐(0) 编辑
2018年9月
RFC7296--Internet密钥交换协议版本2(IKEv2)
摘要: 2.8 密钥更新(rekeying) IKE、ESP和AH安全联盟(SA)使用的共享密钥应该只在有限的时间里保护优先的数据。这限制了整个SA的生存周期。生存周期超时的SA决不能再使用。如果有需要,可以建立新的SA。重建SA以取代过期的SA被称为密钥更新(rekeying)。 可以在不重新生成IKE 阅读全文
posted @ 2018-09-25 17:01 爱新陀螺 阅读(1061) 评论(0) 推荐(0) 编辑
IPSec 100问
摘要: 此文的目的是汇集学习IPSec的过程中遇到的问题,会持续不断的更新。100问是虚指,随着时间的推移,问题肯定不只100个。 1. IPsec SA的硬生存周期和软生成周期 IPSec SA的生存周期分为软生存周期和硬生存周期。 硬生存周期:是IPSec SA的生命周期截止时间。 两端设备协商时,实际 阅读全文
posted @ 2018-09-20 15:15 爱新陀螺 阅读(735) 评论(0) 推荐(0) 编辑
HA的状态图
该文被密码保护。 阅读全文
posted @ 2018-09-20 14:21 爱新陀螺 阅读(1) 评论(0) 推荐(0) 编辑
strongswan--函数定义宏
摘要: strongswan中函数的定义使用了一个叫METHOD的宏,此宏的定义在object.h头文件中给出。 此宏包括3部分。 第一部分是对名为name的函数进行声明。即: static ret name(union {iface *_public; this;} \ __attribute__((tr 阅读全文
posted @ 2018-09-18 18:54 爱新陀螺 阅读(1037) 评论(0) 推荐(0) 编辑
RFC6311--协议支持IKEv2 / IPsec的高可用性
摘要: 摘要 本文档定义了IKEv2协议的扩展,解决了部署高可用集群时“IPsec集群问题陈述”中常见的主要问题 。解决的主要问题是同步IKEv2消息ID计数器和IPsec重放计数器。 2. 术语 本文通篇使用通用术语IKEv2/IPsec SA Counters。该术语指IKEv2消息ID计数器和IPse 阅读全文
posted @ 2018-09-18 17:26 爱新陀螺 阅读(572) 评论(0) 推荐(0) 编辑
IPSec之security acl
摘要: IPSec可以通过高级Acl定义需要保护的数据流,称为感兴趣流。 Acl的规则有permit和deny之分。对于IPsec的security acl而言,若匹配到permit的规则,则进行Ipsec处理,outbound对数据进行IPsec封装,inbound对IPSec加密数据进行姐封装;若不匹配 阅读全文
posted @ 2018-09-17 16:49 爱新陀螺 阅读(608) 评论(0) 推荐(0) 编辑