分享
扫一扫
超级会员免费看
蚂蚁吃大象666
人生没有失败,要么成功,要么成长。
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
用ip xfrm命令手动搭建ipsec隧道(网对网模式)
分公司:对外地址是192.168.147.20,保护子网是192.168.30.20。总部:对外地址是192.168.147.10,保护子网是192.168.10.10。除了给总部ipsec设备下发配置,同时给分公司ispec设备下发配置。在总部ispec设备上执行脚本,原创 2026-01-06 13:58:38 · 14 阅读 · 0 评论 -
VMware虚拟机搭建-网对网模式
使用三台VMware虚拟机搭建环境:客户端设备和ipsec网关设备上编译strongswan见 https://blog.youkuaiyun.com/ygm_linux/article/details/156592285。实验拓扑参考:https://docs.strongswan.org/docs/latest/config/IKEv2.html。开源ipsec参考:https://github.com/strongswan/strongswan。原创 2026-01-05 15:39:19 · 142 阅读 · 0 评论 -
Ubuntu24.04编译strongswan
我们源码使用 strongswan-6.0.4。原创 2026-01-05 10:01:21 · 47 阅读 · 0 评论 -
VMware虚拟机搭建-端到网模式
实验拓扑参考:https://docs.strongswan.org/docs/latest/config/IKEv2.html。开源ipsec参考:https://github.com/strongswan/strongswan。原创 2026-01-04 17:04:54 · 252 阅读 · 0 评论 -
StrongSwan 三种工作模式
模式SA/SP 管理数据包处理核心机制优点缺点典型场景Netlink内核态内核态 ESP/AHLinux 原生 XFRM Netlink 接口1. 性能最好2. 支持全部 XFRM 功能3. 支持实时监控仅限 Linux 系统现代 Linux 生产环境首选PF_KEY内核态内核态 ESP/AHPF_KEYv2 套接字(POSIX 标准接口)1. 跨平台,支持 BSD / Linux2. 协议标准化需要内核支持 PF_KEY性能略低需要兼容 BSD 或老旧 Linux 系统。原创 2026-01-04 18:23:26 · 48 阅读 · 0 评论 -
IKEv2通信协商IPsec SA过程
采用IKEv2协商安全联盟比IKEv1协商过程要简化的多。要建立一对IPsec SA,IKEv1需要经历两个阶段——“主模式+快速模式”或者“野蛮模式+快速模式”。前者至少需要交换九条消息,后者至少需要交换六条消息。而IKEv2在正常情况下仅需要进行两次双向交换(共涉及四条消息)就可以完成一对IPsec SA的建立,后续每新增一对IPsec SA只需额外增加一次(涉及两条消息)即可完成。原创 2026-01-04 16:51:44 · 40 阅读 · 0 评论 -
IKEv1通信协商IPsec SA过程
采用IKEv1协商安全联盟主要分为两个阶段。建立IKE协议本身使用的安全通道建立一对用于数据安全传输的IPsec SA。原创 2026-01-04 16:44:02 · 34 阅读 · 0 评论 -
ipsec基础概念
首先理解IKE,AH和ESP封装,传输模式和隧道模式。原创 2026-01-04 15:38:57 · 303 阅读 · 0 评论 -
ipsec使用场景
场景描述:连接两个物理上分离的局域网,如总部(北京)与分公司(西安)实现局域网互通互联。如何工作:在两个站点的边界网关(如防火墙、路由器)之间建立IPsec隧道,公司人员可以直接局域网访问设备。,就像两个站点通过一条专线直接连接一样。优点:替代昂贵的专线,利用低成本互联网实现安全互联,整合网络资源。原创 2026-01-04 14:59:20 · 262 阅读 · 0 评论