IP XFRM配置示例:利用linux kernel自带的IPSec实现,手动配置IPSec

最新推荐文章于 2025-02-18 12:09:21 发布
最新推荐文章于 2025-02-18 12:09:21 发布
阅读量1.7w 收藏 19
点赞数 2
分类专栏: Linux 网络安全 IPSec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sahusoft/article/details/8827362
版权
本文介绍了如何手动配置Linux内核自带的IPSec(IPsec in-kernel,XFRM)进行安全通信。通过具体拓扑192.168.18.101与192.168.18.102的示例,详细讲解了在两台设备上的配置步骤,以实现安全的数据传输。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、拓扑

192.168.18.101 <=======> 192.168.18.102

2、配置192.168.18.101

ip xfrm state add src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301 mode tunnel auth md5 0x96358c90783bbfa3d7b196ceabe0536b enc des3_ede 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df
ip xfrm state add src 192.168.18.102 dst 192.168.18.101 proto esp spi 0x00000302 mode tunnel auth md5 0x99358c90783bbfa3d7b196ceabe0536b enc des3_ede 0xffddb555acfd9d77b03ea3843f2653255afe8eb5573965df
ip xfrm state get src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301

ip xfrm policy add src 192.168.18.101 dst 192.168.18.102 dir out ptype main tmpl src 192.168.18.101 dst 192.168.18.102 proto esp mode tunnel
ip xfrm policy add src 192.168.18.102 dst 192.168.18.101 dir in ptype main tmpl src 192.168.18.102 dst 192.168.18.101 proto esp mode tunnel
ip xfrm policy ls

3、配置192.168.18.102

最低0.47元/天 解锁文章
ip_forward函数
数字人生
12-21 410
ip_forward 函数是 Linux 内核中用于处理 IP 数据包转发的重要函数。它负责将数据包从一个网络接口转发到另一个网络接口。以下是这个函数的一些关键点和工作流程的概述:1. **数据包接收**:当一个数据包到达网络设备(如以太网卡)时,内核会首先接收到这个数据包。2. **路由查找**:`ip_forward` 函数会进行路由查找,以确定数据包的下一跳地址和输出网络接口。这个过程使用路由表来查找最佳路径。3. **TTL 检查和减少**:数据包的生存时间(TTL)字段会被检查和减少。
通过理解 sk_buff 深入掌握 Linux 内核自定义协议族的开发实现
最新发布
数字人生
02-28 241
在。
linux内核实现ipsec,IP XFRM配置示例利用linux kernel自带IPSec实现手动配置IPSec...
weixin_39559277的博客
04-29 1822
1、拓扑192.168.18.101 <=======> 192.168.18.1022、配置192.168.18.101ip xfrm state add src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301 mode tunnel auth md5 0x96358c90783bbfa3d7b196ceabe05...
IP xfrm 配置IPSec实例。
lemon181375的博客
12-27 1256
IP xfrm 配置IPSec实例。
【计算机网络】细说IP,网络安全零基础入门到精通实战教程!
Cairo_A的博客
02-18 1373
IP,全称Internet Protocol,即互联网协议,是计算机网络领域中的一个核心概念。它主要用于为网络中的每一台设备分配一个唯一的数字标识,这个标识就是IP地址。通过这个地址,设备可以在网络上被准确地定位和识别,从而实现数据的传输和共享。子网掩码是一个32位地址(对于IPv4),用于屏蔽IP地址的一部分,以区分网络标识(网络地址)和主机标识(主机地址)。它必须与IP地址一起使用,不能单独存在。区分网络地址和主机地址。
XFRM -- IPsec协议的内核实现框架
品学楼A107
09-30 3538
IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。 XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。 Overview X...
IP xfrm 命令说明1-sa
funtasty的专栏
07-23 1142
对数据加密、认证的算法。ipsec能使用的算法跟内核算法模块支持的算法不同,是其子集。不同版本的内核支持的算法列表页不同,详见附录1: 内核支持的算法列表。封装模式,ESP封装协议支持隧道和传输模式,一般使用隧道模式(过NAT)原地址、目的地址、协议(IPsec封装协议)和spi共同决定一个sa。带封装的ESP,比如espinudp 、espintcp。sa的限制,可以通过时间、数据包、数据量来更新sa。ID 是键值, 用来区分不同SA。关联sp,选择进入隧道的数据流。数据流的协议等特征。
ip xfrm命令是做什么的?
weixin_30666943的博客
04-25 1940
: 设置xfrmxfrm(transform configuration)是一个IP框架,用来转换数据包的格式,也就是使用算法来加密数据包,该框架用作IPsec协议的一部分   ip xfrm state flush - 刷新状态   ip xfrm state add - 将新状态添加到xfrm中   ip xfrm policy add - 将新策略添加到xfrm中   ip xf...
ip xfrm配置nat穿越
xingyeping的博客
05-09 6374
环境:Linux CentOS4.5.3-1.el7.elrepo.x86_64 VMWare虚拟机VM1--VM2,两个口直连。VM1:192.168.233.180;VM2:192.168.233.190. 正常配置一个非NAT穿越报文封装的IPsec隧道,然后使用ping命令测试,没有问题,如下配置ip xfrm state add src 192.1
linux 网络子系统
小猪观察员的博客
07-23 1193
函数是 Linux 内核网络子系统中处理接收到的网络数据包的关键函数之一。它通过记录收包信息、重置头部指针、处理 VLAN 报文、遍历协议处理链表以及减少 skb 复制等步骤,将数据包高效地传递给上层协议栈进行处理。这一过程中涉及了多个内核机制和数据结构的使用,如 RCU 读锁保护、sk_buff结构体、结构体等。static int __netif_receive_skb_core(struct sk_buff *skb, bool pfmemalloc) // 将skb传递到上层。
IP xfrm 命令说明2-sp
funtasty的专栏
04-19 342
【代码】IP xfrm 命令说明2-sp。
Linux 2.6内核中IPSec支持机制分析.pdf
09-06
Linux 2.6内核中IPSec支持机制分析.pdf
Linux内核中的IPSEC实现(1)
weixin_33885253的博客
05-14 575
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 1. 前言 在Linux2.6内核中自带IPSEC实现,这样就不用象2.4那样打补丁来实现了。该实现包括以下几个部分: PF_KEY类型套接...
linux ipsec内核,XFRM -- IPsec协议的内核实现框架
weixin_39688019的博客
04-29 1041
IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。OverviewXFRM 实...
XFRM--IPsec协议的内核实现框架
maimang1001的专栏
12-20 862
IPsec有两个重要的概念:安全关联(Security Association)和安全策略(Security Policy)。这两种类型的信息都需要储存在内核的XFRM(Transform)中。核心XFRM使用netns_xfrm结构来组织这些信息,也被称为xfrm实例( instance)(例子)。从名称可以看出,该实例与网络命名空间(network namespace)相关,每个命名空间都有一个彼此独立的实例。所以同一主机上的不同容器可以在没有干扰的情况下使用XFRM。struct net。
走进Linux内核之XFRM框架
北观止的博客
09-21 3503
笔者此前对Linux内核相关模块稍有研究,实现内核级通信加密、视频流加密等。下面开始上才艺,带你走进Linux内核之XFRM框架。
一文带你走进Linux内核之XFRM框架
m0_73494896的博客
09-02 1628
XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。Psec(Internet协议安全)应该很多人都听过,IPsec是一组协议,他们通过对通信会话中的每个数据包进行身份验证和加密,以确保IP流量的安全。XFRM框架是IPsec的“基础设施”,IPsec通过XFRM框架实现的。XFRM源自USAGI项目,该项目旨在提供适用于生产环境的IPv6和IPsec协议栈。
Linux内核之XFRM框架
m0_74282605的博客
03-04 497
要添加XFRM状态,可从用户空间套接字发送请求XFRM_MSG_NEWSA,在内核中,这种请求方法由xfrm_state_add()处理(位于文件net/xfrm/xfrm_user.c)。XFRM框架支持网络命名空间。从用户空间发出的消息(比如XFRM_MSG_NEWPOLICY创建新的安全策略或者XFRM_MSG_NEWSA创建新的安全联盟)会被xfrm_netlink_rcv()方法处理,该方法又会被xfrm_user_rcv_msg()方法调用(第二章曾讨论过netlink套接字)。
linux xfrm框架详细介绍
funtasty的专栏
04-15 710
此外,也可以使用其他工具,如 StrongSwan、Libreswan 等 IPsec 实现,它们提供了更高级的 IPsec 配置和管理功能,同时基于 XFRM 框架实现IPsec 功能。XFRM Policy:XFRM Policy 是 IPsec 通信的规则集合,用于确定哪些流量应该受到 IPsec 保护,并指定要使用的加密算法、认证算法和密钥等参数。XFRM State:XFRM State 是与特定流量相关联的实时状态,它包含了与流量处理相关的信息,如加密和认证的密钥、安全参数等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值