基于openswan klips的IPsec实现分析(七)内核SADB维护(1)

最新推荐文章于 2024-03-25 16:20:33 发布
原创 最新推荐文章于 2024-03-25 16:20:33 发布 · 2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#klips #sadb

本文详细介绍了Linux内核中如何使用klips实现IPsec的安全关联数据库(SADB)维护,包括通过三元组(SPI、目的地址、协议)标识SA,查找、添加和删除SA的过程,以及涉及到的数据结构和哈希表操作。

基于openswan klips的IPsec实现分析(七)内核SADB维护(1)

转载请注明出处:http://blog.youkuaiyun.com/rosetta

    上一节讲了应用层pluto是如何构造SADB消息发送给内核的,这节将讲内核对SADB的维护,所有SA处理函数都在指针数组msg_parsers[]中。

SADB(SA Database)即SA数据库,一般听到数据库三字就会想到众所周知的Mysql、Oracle等,但klips对于SA的维护使用的数据库其实就是一个哈希表ipsec_sadb_hash[](以下称sa哈希表),其每一个成员都是structipsec_sa结构,定义在ipsec_sa.c里:

struct ipsec_sa *ipsec_sadb_hash[SADB_HASHMOD];

结构体struct ipsec_sa成员比较多就不给出了。

三元组said (spi,目的地址,协议),用以唯一标识SA

typedefstruct {        /* to identify an SA, weneed: */

        ip_address dst;     /* A. destination host */

        ipsec_spi_t spi;    /* B. 32-bit SPI, assigned by dest. host */

#       define SPI_PASS    256 /* magic values...*/

#       define SPI_DROP    257 /* ...for use...*/

#       define SPI_REJECT  258 /* ...with SA_INT*/

#       define SPI_HOLD    259

#       define SPI_TRAP    260    

#       define SPI_TRAPSUBNET  261

    int proto;      /* C. protocol */

#       define SA_ESP  50  /* IPPROTO_ESP */

#       define SA_AH   51  /* IPPROTO_AH */

#       define SA_IPIP 4   /* IPPROTO_IPIP */

#       define SA_COMP 108 /* IPPROTO_COMP */

#       define SA_INT  61  /* IANA reserved for internal use */

} ip_said;

 

隧道协商成功后最终形成的三元组例子比如:

tun0x1002@192.168.2.1和ah0x235cc2d7@192.168.2.3

spi:0x1002,0x235cc2d7

协议:tun(ESP或AH),AH

目的地址:192.168.2.1, 192.168.2.3

 

通过said查找SA.

structipsec_sa *

ipsec_sa_getbyid(ip_said*said)

{

         int hashval;

         struct ipsec_sa *ips;

        char sa[SATOT_BUF];

         size_t sa_len;

 

         if(said == NULL) {

                   KLIPS_PRINT(debug_xform,

                                "klips_error:ipsec_sa_getbyid: "

                                "null pointer passed in!\n");

                   return NULL;

       &nb

最低0.47元/天 解锁文章
ipsec 加密流程(二):ipsec初始化操作
遇见你是我最美丽的意外
11-22 6027
openswan》专栏系列文章主要是记录openswan源码学习过程中的笔记。 Author : Toney Email : vip_13031075266@163.com Date : 2020.11.22 Copyright:未经同意不得转载!!! Version : openswan-2.6.51.5 Reference:https://download.openswan.org/openswan/ 1. 加...
基于openswan klipsIPsec实现分析(六)应用层SADB操作
终身学习的程序猿
06-18 3827
基于openswan klipsIPsec VPN实现分析(六)应用层SADB操作 转载请注明出处:http://blog.youkuaiyun.com/rosetta 这里的操作是指由openswan的密钥管理守护进程pluto对于内核SADB的操作。如下来至rfc2367的密钥关联程序和PF_KEY的关系图。
openswan的Pluto源码分析以及linux的IPsec内核源码分析
11-08
openswan的Pluto源码和linux的IPsec内核源码进行了详细的分析,对于理解openswan的运行机制以及linux的IPsec实现很有帮助
SADB参数定义差异分析
weixin_34252686的博客
05-14 422
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性, 严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 1. 前言 由于RFC2367中只定义了SA的类型,但没有定义安全策略的定义,因此各种IPSEC实现只能自己定义,openswan-2.4.7...
基于openswan klipsIPsec实现分析(八)内核SADB维护(2)
终身学习的程序猿
06-18 8125
基于openswan klipsIPsec VPN实现分析内核SADB维护2 转载请注明出处:http://blog.youkuaiyun.com/rosetta 内核完整的消息处理过程,以隧道模式ESP协议增加SA情况为例 接收消息和发送消息的知识涉及到Linux内核了,所以不关注它是怎么收发,而是关注收到消息后对消息本身的处理过程。但为了保证代码的完整性,就把接收和发送的代码全部帖上来了
基于openswan klipsIPsec实现分析(四)应用层和内核通信(1)
终身学习的程序猿
06-18 4241
基于openswan klipsIPsec VPN实现分析(四)应用层和内核通信——应用层操作 转载请注明出处:http://blog.youkuaiyun.com/rosetta   klips和NETKEY在内核域中运行,主要负责控制管理SA及密钥,负责注册和初始化模块,数据加密解密,SHA1、MD5算法实现等。两者与用户层通信都使用套接字socket PF_KEY。现讲解用户层pluto和kli
基于openswan klipsIPsec实现分析(一)数据发送
终身学习的程序猿
06-18 7137
基于openswan klipsIPsec VPN实现分析之数据发送 转载请注明出处:http://blog.youkuaiyun.com/rosetta   Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。   Klips对外出数据的处理流程如下:   相关函数调用过程如下:
Openswan-2.6.41源码包
06-16
该源码包是openswan.org提供的最新版本
openswan源码ubantu下编译、安装、基本环境搭建
遇见你是我最美丽的意外
04-30 9700
openswan的编译过程 1. 下载源码: 对于openswan源码,我们是从官网上下载的。这里提供两个不同的网站: 专门下载openswan源码的网站 ​ openswan官网1源码下载 openswan官网页面 ​ openswan官网2源码下载 2. 在虚拟机上解压后编译: 我解压后的源码目录为:root@ubantu:/usr/src/openswan-2.6.51.5#...
pluto分析
zhaozhanyong的专栏
01-27 1353
1. 前言 pluto是著名的VPN开源项目freeswan及其后续项目中的一个重要组成部分,实现了IKEv1(RFC2409),原始的fresswan只是实现IKE的基本功能,但不包括很多其他扩展功能,都需要打补丁实现,freeswan停止开发后,继续扩展出两个不同的分支,openswan和strongswan,前者综合各种功能的补丁,IKE功能比较全面;后者功能相对少点,但重要特点就是支持了IKEv2(RFC4306),因此两者各有优势。目前国内做IPSec VPN的基本都是基于这实现的,好象没听说一
ipsec内核实现分析
07-04
linux的ipsec内核实现源码分析,本人的源码阅读笔记,主要讲解了xfrm模块的实现和源码流程,有需要的可以下载参考
Pluto 简单的实例包含数据库连接和源码
01-08
Pluto 简单的实例包含数据库连接和源码 Pluto 入门学习必备啊
ipsec(linux内核实现)
09-13
讲解linux内核最新代码中ipsec pfkey的实现过程。很具有参考价值。
CentOS 5.4 源代码安装openswan2.6.28
人生如棋
09-08 5905
在CentOS5.4中源代码安装openswan做VPN server
IPSec 专栏目录锦集(openswan)
热门推荐
遇见你是我最美丽的意外
12-23 4万+
为了方便查阅现有的文章,特准备一个目录页供后续查询使用 1. openswan任务调度基础知识之信号
通信与网络安全之IPSEC
前后端面试题面试经验分享
03-25 2833
IPSec只能在IP网络中使用。
openswan pluto代码分析--(1)pluto简介
u013920085的专栏
01-20 2948
Pluto是一个守护进程,提供IKEv1服务 Pluto通信消息:网卡数据报文消息;whack命令的消息;内核通信消息 接下来分别介绍上面三种通信消息 1. 网卡数据报文消息 打开UDP500和4500端口监听网卡数据----什么时机可以创建这个socket还没看出来 call_server中遍历所有网卡检查是否可读   2.whack命令的消息 在pluto的主函数
IPSec手动创建隧道
redwingz的博客
05-21 3996
网络拓扑 |-------------------| |-------------------| | | | | | 192.168.1.115 | <---------> | 192.168.1.142 | ...
Cisco VPP IPSec配置
迷失的专栏
02-27 2852
IPSEC SA: ipsec sa add 10 spi 1001 esp crypto-alg aes-cbc-128 crypto-key 4a506a794f574265564551694d653768 integ-alg sha1-96 integ-key 4339314b55523947594d6d3547666b45764e6a58 ipsec sa add 20 spi 1000...
Openswan ipsec
最新发布
02-21
### Openswan IPsec 配置与故障排除 #### 安装 Openswan 对于基于 Debian 的系统,可以使用如下命令来安装 Openswan: ```bash sudo apt-get update && sudo apt-get install openswan ``` 对于 Red Hat 或 CentOS 系统,则应执行以下操作以获取并安装软件包[^1]: ```bash sudo yum install epel-release sudo yum install openswan ``` #### 基本配置文件结构 主要的配置位于 `/etc/ipsec.conf` 文件内。此文件定义了安全关联(SAs),即两个端点之间的加密通信协议。一个典型的设置可能看起来像这样: ```plaintext config setup plutodebug=all protostack=netkey conn myconnection authby=secret auto=start type=tunnel left=<local_IP> leftsubnet=<local_subnet> right=<remote_IP> rightsubnet=<remote_subnet> ``` 上述片段中的 `left` 和 `right` 参数分别指代本地和远程网关地址;而 `leftsubnet` 及 `rightsubnet` 则表示要保护的数据流所涉及的具体子网络范围。 为了使这些更改生效,在编辑完成后需重启服务: ```bash sudo systemctl restart ipsec.service ``` 或者在较旧版本上可能是这样的命令: ```bash sudo service ipsec restart ``` #### 故障排查技巧 当遇到连接失败的情况时,查看日志是一个很好的起点。通常可以在 `/var/log/syslog` (Debian/Ubuntu) 或者 `/var/log/messages` (RedHat/CentOS) 中找到相关信息。特别关注带有 "pluto" 字样的条目,因为这是负责建立 SA 的守护进程的名字。 如果发现密钥协商存在问题,尝试调整 debug 设置以便获得更详细的输出: ```plaintext plutodebug="all" ``` 这会增加调试信息量,有助于识别潜在问题所在之处[^2]。 另外值得注意的是防火墙规则也可能阻碍正常工作。确保允许 UDP 500 (ISAKMP/IKE)以及 ESP 协议通过,并且如果有 NAT 情况下还需要开放 UDP 4500 端口用于NAT-T功能支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值