摘要： 高可用性 从4.4.0版本开始，IKEv2守护程序使用[最初]两个节点的集群实验性地支持伪主动/主动高可用性和负载共享功能。 问题陈述 IKEv2 / IPsec协议不适合在主动/主动群集中运行。虽然可以通过群集中的高速链路共享IKE_SAs的状态，但共享内核维护的IPsec ESP SA非常困难。 阅读全文

摘要： RFC 8221废掉了RFC 7321（RFC 7321废掉了RFC 4835）。 4. 加密必须经过身份验证 没有身份验证的加密是无效的，MUST NOT使用。IPsec提供三种方式来提供加密和认证： ESP采用AEAD密码 ESP采用非AEAD密码+身份验证 ESP使用非AEAD密码+ AH进行 阅读全文

摘要： strongswan IKEv2后台进程的软件架构图 processor是任务管理器，负责对线程（threads）和作业（jobs）进行管理，其结构为private_processor_t。 worker_thread_t为工作线程的结构，包括实际的线程（thread）、当前正在执行的作业（job） 阅读全文

摘要： IKE_SA状态机 阅读全文

摘要： ipsec.conf是stroke插件使用的配置文件，可以配置ike proposal、ike peer、ipsec proposal等属性。现对其中部分属性进行翻译/分析。 对conn的分析，来源：https://wiki.strongswan.org/projects/strongswan/wi 阅读全文

摘要： Linux内核中ipsec policy有两种类型：XFRM_POLICY_TYPE_MAIN 和XFRM_POLICY_TYPE_SUB。 两类策略可以同时用于同一个报文。XFRM_POLICY_TYPE_SUB一般用于开发者、调试或移动IPv6。MAIN类型策略的存活时间比SUB类型策略存活时间 阅读全文

摘要： 今天尝试使用swanctl和systemd配置strongswan。配置方法见网址： https://wiki.strongswan.org/projects/strongswan/wiki/Charon-systemd ./configure --enable-systemd --enable-s 阅读全文

摘要： strongswan的主进程为charon进程，负责IKE SA、IPSec SA建立、拆除、更新及其他相关的操作。 charon进程默认通过socket-default插件与内核交互，用于IKE协议报文的收发。socket-default插件被编译为动态库，charon进程启动的时候，在初始化阶段 阅读全文

摘要： 目标文件的链接次序 规范的连接次序为调用者在前，定义者在后。 GNU make基于时间戳编译源文件。 是否考虑次序取决于文件类型。 链接外部库 静态库。扩展名为“.a”，是通过GNU ar工具利用目标文件创建出来的。连接器会解析函数等的引用。 标准系统库通常存放路径为/usr/lib或/lib gc 阅读全文

摘要： MPLS-TP OAM划分为3个层次，分别为PW层、LSP层和段（Section）层。 段（Section）层在draft-ietf-mpls-tp-requirements-09中有描述，如下图： 段层是一个服务器层，在传输路径层或传输服务层相邻节点间传输段层客户信息。段层可以提供多个MPLS-T 阅读全文