IPsec-Tools之setkey

最新推荐文章于 2019-11-16 01:44:03 发布
原创 最新推荐文章于 2019-11-16 01:44:03 发布 · 9.9k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#加密 #算法 #vim #c #filter #output

转载请注明出处: http://blog.youkuaiyun.com/zhangyang0402

 

主机A(172.16.113.173)和主机B(172.16.113.163)进行ipsec通信

transport mode

 

一、主机A配置

 

1.创建setkey.conf配置文件

 

# vim /etc/setkey.conf

==============================setkey.conf================================

#flush SAD entries

flush;

 

#flush SPD entries

spdflush;

 

#add SA entries

add 172.16.113.173 172.16.113.163 esp 0x1234 -m transport -E 3des-cbc

0x84cc855d6892207565811df4edd6bff5cf53af9106b72461 -A hmac-sha1

0xb48408f4655000f588a1a22cc14697d1a4d259cd;

 

add 172.16.113.163 172.16.113.173 esp 0x5678 -m transport -E 3des-cbc

0x6df8e9fc37255c9ba467be460187abc29e20e808f17591aa -A hmac-sha1

0x760c7721c03cf906c7fd70d0c9b9afd5785a1548;

 

#add SP entries

spdadd 172.16.113.163 172.16.113.173 any -P in  ipsec esp/transport//require

esp/transport//require;

 

spdadd 172.16.113.173 172.16.113.163 any -P out ipsec esp/transport//require

esp/transport//require;

==============================setkey.conf================================

说明:

SA

 A->B

   使用ESP协议加密和认证,SPI=0X1234,传输模式,加密算法(3des-cbc)+key, 认证算法(hmac-sha1)+key

 B->A

   使用ESP协议加密和认证,SPI=0X5678,传输模式,加密算法(3des-cbc)+key, 认证算法(hmac-sha1)+key

 

2. 激活setkey.conf配置

# setkey -f  /etc/setkey.conf

 

二、主机B配置

 

1.创建setkey.conf配置文件

 

# vim /etc/setkey.conf

==============================setkey.conf================================

#flush SAD entries

flush;

 

#flush SPD entries

spdflush;

 

#add SA entries

add 172.16.113.173 172.16.113.163 esp 0x1234 -m transport -E 3des-cbc

0x84cc855d6892207565811df4edd6bff5cf53af9106b72461 -A hmac-sha1

0xb48408f4655000f588a1a22cc14697d1a4d259cd;

 

add 172.16.113.163 172.16.113.173 esp 0x5678 -m transport -E 3des-cbc

0x6df8e9fc37255c9ba467be460187abc29e20e808f17591aa -A hmac-sha1

0x760c7721c03cf906c7fd70d0c9b9afd5785a1548;

 

#add SP entries

spdadd 172.16.113.173 172.16.113.163 any -P in  ipsec esp/transport//require

esp/transport//require;

 

spdadd 172.16.113.163 172.16.113.173 any -P out ipsec esp/transport//require

esp/transport//require;

==============================setkey.conf================================

 

2. 激活setkey.conf配置

# setkey -f /etc/setkey.conf

 

三、测试

 

1. 在主机Bping 主机A

# ping 172.16.113.173 -c 4

 

2. 主机A上抓包如下:

# tcpdump -i eth0 host 172.16.113.163 and esp

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

09:36:11.163281 IP 172.16.113.163 > 172.16.113.173: ESP(spi=0x00005678,seq=0x16), length 132

09:36:11.524023 IP 172.16.113.173 > 172.16.113.163: ESP(spi=0x00001234,seq=0xa), length

132

09:36:12.972743 IP 172.16.113.163 > 172.16.113.173: ESP(spi=0x00005678,seq=0x18), length 132

09:36:12.972921 IP 172.16.113.173 > 172.16.113.163: ESP(spi=0x00001234,seq=0xc), length

132

09:36:14.784168 IP 172.16.113.163 > 172.16.113.173: ESP(spi=0x00005678,seq=0x1a), length 132

09:36:14.784313 IP 172.16.113.173 > 172.16.113.163: ESP(spi=0x00001234,seq=0xe), length

132

09:36:16.624019 IP 172.16.113.163 > 172.16.113.173: ESP(spi=0x00005678,seq=0x1c), length 132

09:36:16.624154 IP 172.16.113.173 > 172.16.113.163: ESP(spi=0x00001234,seq=0x10), length 132

 

8 packets captured

8 packets received by filter

0 packets dropped by kernel

 

四、Disable SA and SP

1. disable SA

# setkey -F 

 

2. disable SP

# setkey -FP

 

使用racoon setkey搭建IPsec VPN环境
GOOD__YOUTH的博客
10-13 1227
Linux自带的pfkey可以使用两种方式操作搭建隧道环境:一种是使用setkey手动设置SA,这种方式不常用,SA中的SPI,加密密钥、认证密钥等都是要手动填的,比如md5需要128bit,3des 192bits,可想而知有多大不便;另一种由racoon自动协商生成IPsec SA,但它在协商之前需要setkey先设置SP。 搭建环境:CentOS release 5.4,内核2.6.18-164.el5xen 拓扑如下: 在每一个VPN网关需要增加默认路由,否则无法使用p...
IPsec工具之ipsec-tools
weixin_33858485的博客
04-19 2755
Linux从2.6内核开始自带IPsec模块,配合IPsec-Tools,可以实现Linux的IPsec功能。 IPsec-Tools包含4个模块 libipsec:PF_KEY实现库 setkey:用于配置SAD(安全关联数据库)和SPD(安全策略数据库) racoon:IKE守护程序,用于自动建立IPsec连接 racoonctl:操作racoon的shell工具 ...
Set Key 设置键
e00402的专栏
04-24 1221
引入了一种新的动画模式,称为 Set Key 设置键模式,用来帮助实现 pose to pose 姿态到姿态的动画。 原有的动画模式现在被称为 Auto Key 自动键模式。     pose to pose 姿态到姿态的动画需要在指定的帧中,一旦一个角色被正确的摆好姿势,所有可动画的轨 迹需要被记录关键帧。这将会创建一个该角色的快照,如果在其他的时间点上,角色被修改,该快照不会
Key Set(思维)
Bearing in mind forever!
02-21 239
Key Set Time Limit: 2000/1000 MS (Java/Others) Memory Limit: 131072/131072 K (Java/Others) Total Submission(s): 364 Accepted Submission(s): 239 Problem Description soda has a set with integers...
使用setkey手工配置IPSec
皮卡丘在充电
06-14 2353
需要在两个节点之间配置IPSec,由于对端A节点将IPSec命令封装了,所以本端B节点没有使用racoon自动协商生成IPsec SA,而采用setkey手工配置SA。如果两端都需要初始配置,这种方法也适用。 关键在于,1)两端的mode、加密方式、key、spi要一致 2)配置setkey.conf文件 mode分为传输模式(transport)和隧道模式(tunnel),传输模...
set-key_comp
迪迦 • 奥特曼
04-29 804
//////////////////////////////////////// // 2018/04/29 7:42:27 // set-key_comp // return the function that compares keys #include <iostream> #include <set> using namespace std;...
ipsec-tools安装教程
weixin_34367845的博客
05-11 1787
ipsec-tools最新版本为0.8.2,此处以0.7.3版本为例说明安装和使用过程。可参考ipsec-howto。 安装步骤 ipsec-tools依赖于linux2.6版本内核,在安装ipsec-tools前需编译安装linux kernel 2.6,此处以2.6.34.1为例。 内核编译步骤 下载 linux-2.6.34.1.tar.bz2 将文件移...
解压缩指南:如何处理ipsec-tools-0.8.2压缩包
ipsec-tools就是一个这样的工具集,它提供了诸如setkey和racoon这样的工具,用于设置和管理IPSec连接。 3. setkey工具用于在IPSec策略数据库中手动添加策略和密钥。它是一个命令行工具,能够对内核中的安全策略...
Linux IPsec配置指南:IPSEC-TOOLS详解与安装
"IPSEC-TOOLS是一个用于在Linux系统中实现IPsec功能的工具集,主要包括libipsec库、setkey命令、racoon IKE守护程序和racoonctl控制工具。这些组件协同工作,使得Linux系统能够建立和管理IPsec安全关联(SAD)和安全...
IPSec-Tools配置
zt698的专栏
11-14 6524
1       介绍从Linux 2.6内核开始,内核就自身带有IPSec模块,配合IPSec-Tools,能很好的实现Linux的IPSec功能。IPSec-Tools主要包含libipsecsetkey、racoon和racoonctl这4个模块,setkey主要用于配置SAD(安全关联数据库)和SPD(安全策略数据库),racoon用于IKE协商。本文采用最简单的网络配置(2台
setkeycode
u010563350的博客
11-16 380
UNIX/XENIX环境下SETKEY命令的应用技巧
jiangxinyu的专栏
07-16 1307
 [ 作者:储久良 ]   DOS5.0以上版本中均含有DOSKEY命令,该命令具有追忆功能,当用户需要重复执行或浏览刚输入的命令时,只要按向上或向下的光标键就可追忆搜索,十分方便。在UNIX/XENIX系统中,虽没有类似的命令,用户也可通过SETKEY命令来给功能键赋值,从而达到提高输入速度或减少重复敲键的烦恼。下面就介绍一点应用体会。一、 命令格式及相关说明  setkey keynum st
1 瞎看linux ipsecsetkey设置transport端到端
塞子 迷糊地....
02-03 1029
手动用setkey transport 简单的设置虚拟机环境测试
IPSec | 传输模式下ESP报文的装包与拆包过程
liuyh73的博客
12-23 1604
关于IPSec的简单介绍,请见我的另一篇文章IPSec协议介绍 下面这张图是IP报文与ESP报文的对照示意图,传输模式下,原报文结构被拆解: 传输模式下ESP报文的装包过程 (1)首先,如上图所示,将原IP头与原IP报文数据段进行拆解,IP头暂不做考虑,后者为最终ESP数据报的数据来源。 (2)在拆解得到的数据报文末尾添加ESP trailer(尾部/挂载)信息。ESP trailer包含三部分...
TCP-IP详解:ESP(IPSec Encapsulating Security Payload)
热门推荐
深邃 精致 内涵 坚持
09-29 3万+
ESP(IPSec Encapsulating Security Payload) ESP相比AH来讲,拥有我们想要的加密功能,协议会通过加密算法将数据和Key将数据进行组合,转换成加密格式,然后送给目的端,先来看下几个比较重要的域。
ipsec ike 配置
weixin_34290096的博客
07-22 677
IPsec-Tools中的racoon工具实现了IKE的功能,既实现了双向认证,又能建立和维护IPsec SA。下面使用psk的认证方法配置racooon。一、网络拓扑二、配置网络子网1: 192.168.1.0/24,网关GW1子网2: 192.168.0.0/24,网关GW2GW1和GW2已添加到子网2、1的路由。A和B现在可正常ping 通三、IPsec配置...
IPsec-Tools配置之racoon
weixin_34194379的博客
08-06 350
IPsec-Tools配置之racoon 收藏 转载请注明出处:http://blog.youkuaiyun.com/zhangyang0402/archive/2010/07/12/5730123.aspx IPsec-Tools中的racoon工具实现了IKE的功能,既实现了双向认证,又能建立和维护IPsec SA。下面使用psk...
使用 ipsec-tools 设置 SAD 和 SPD
bytxl的专栏
01-21 5346
在 《 IPSec 中的 AH 机制详解》 和 《IPSec 中的 ESP 机制详解》 里分别介绍了 IPSec 中的 AH 和 ESP 这两种协议,并给出了 wireshark 的抓包截图,但没有给出如何配置这两种情况的实验环境。 如果要让 IPSec 可以正常工作,那么需要适当的管理工具来管理 AH 和 ESP 运行所需要的参数,这些管理工具在开源领
IPsec相关的一些基本概念
每天写一点,进步一点点
05-04 4458
问题提出:什么是xfrm,racoon,netkey,PF_KEY,netlink,clips,26sec,Setkey,KAME,ipsec? IPsec:Internet Protocol Security是一种开放标准的框架结构,通过使用加密的安全服务以确保在网络上进程保密而安全的通讯。IPsec IP层协议安全主要包括一个IP包进程模块和一个密钥交换模块,IPsec包的处理模块是基本
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值