自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

redwingz的博客

Linux内核网络、虚拟化

  • 博客(51)
  • 资源 (5)
  • 论坛 (1)
  • 收藏
  • 关注

原创 自动创建XFRM虚拟接口的net2net形式的IPSEC

以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。在配置中sun网关使用特殊值%unique-dir自动为in/out两个方向创建不同ID值的xfrm虚拟设备;而moon网关仍然使用在swanctl.conf文件中手动指定xfrm接口ID值,并且手动创建XFRM接口的方法。su...

2019-11-22 10:35:58 285

原创 SWAN之ikev2协议multi-level-ca-cr-resp配置测试

本测试主要验证多级CA证书验证的功能,远程用户carol,dave与网关moon建立连接时,carol和dave使用中间CA证书以及中间CA所签发的实体证书,moon主机使用CA根证书。在认证过程中,carol和dave在IKE_AUTH请求消息中将中间CA证书发送给moon主机。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/multi-level-ca-cr-res...

2019-11-12 20:41:29 82

原创 SWAN之ikev2协议multi-level-ca-cr-init配置测试

本测试主要验证多级CA证书验证的功能,远程用户moon与网关carol,dave建立连接时,carol和dave使用中间CA证书以及中间CA所签发的实体证书,moon主机使用CA根证书。在认证过程中,carol和dave在IKE_AUTH响应消息中将中间CA证书发送给moon主机。本次测试拓扑如下:carol网关配置carol的配置文件:ikev2/multi-level-ca-cr-ini...

2019-11-12 20:40:24 80

原创 SWAN之ikev2协议multi-level-ca配置测试

本测试主要验证多级CA证书验证的功能,远程用户carol,dave与网关moon建立连接时,分别使用中间CA证书所签发的实体证书,分配给carol的证书仅可访问moon网关之后的alice主机;dave的证书仅可访问venus主机。两个中间CA证书的名称CN分别为"Research CA"和"Sales CA"。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/multi...

2019-11-12 20:39:06 376

原创 SWAN之ikev2协议multi-auth-rsa-eap-sim-id配置测试

本测试主要验证多重认证功能,远程用户carol,dave与网关mooon建立连接时,首先使用IKE RSA签名和相关证书进行认证;完成之后,再进行EAP-SIM认证。在测试中,由alice主机充当radius服务器,对于carol,使用文件/etc/ipsec.d/triplets.dat中的数据模拟物理SIM卡。网关moon负责转发所有的EAP消息到Radius服务器,alice同样使用定义好的...

2019-11-12 20:38:16 294

原创 SWAN之ikev2协议mobike-virtual-ip-nat配置测试

本测试主要验证mobike功能,远程用户alice与网关sun建立连接时,首先使用eth1接口的IP地址发起连接,在建立连接之后,禁用eth1,以便连接可更新到eth0接口上。其中alice主机的两个接口与sun网关之间都是可达的,最后再次启用eth1接口,由于开启了最佳路径选择功能(charon.prefer_best_path),连接又回到eth1上。本次测试拓扑如下: ...

2019-11-11 19:34:24 125

原创 SWAN之ikev2协议mobike-nat配置测试

本测试主要验证mobike-nat功能,远程用户alice与网关sun建立连接时,首先使用eth1接口的IP地址发起连接,在建立连接之后,禁用eth1,以便连接可更新到eth0接口上。其中alice主机的两个接口与sun网关之间都是可达的,alice的eth0接口与sun网关之后有NAT设备moon路由器。此环境中为远程用户配置虚拟IP地址,即使连接地址发送变化,IPsec策略也可保持不变。本次测...

2019-11-11 19:33:23 147

原创 SWAN之ikev2协议mobike配置测试

本测试主要验证远程用户alice与网关sun建立连接时,首先使用eth1接口的IP地址发起连接,在建立连接之后,禁用eth1,以便连接可更新到eth0接口上。其中alice主机的两个接口与sun网关之间都是可达的。以此测试mobike功能。本次测试拓扑如下: eth1 |--------| 192.168.0.50 ...

2019-11-11 19:31:58 308

原创 SWAN之ikev2协议lookip配置测试

本测试主要验证远程用户carol、dave与网关moon建立连接时,通过在ipsec.conf文件中指定leftsourceip字段值为%config,由moon获取虚拟IP地址的功能。并在moon上使用ipsec lookip命令进行验证。本次测试拓扑如下:主机配置carol的配置文件:ikev2/lookip/hosts/carol/etc/ipsec.conf,内容如下,主要注意是这里...

2019-11-11 19:30:34 223

原创 SWAN之ikev2协议ip-two-pools-v4v6-db配置测试

本测试主要验证远程用户carol通过设置ipsec.conf文件中的leftsourceip等于%config4和%config6,在与网关moon建立连接时,请求获取虚拟IPv4和IPv6地址的功能。测试中moon网关在rightsourceip字段定义了IPv4和IPv6类型的sqlite虚拟地址池。连接建立之后,IPv4和IPv6的流量都将被封装在隧道内。本次测试拓扑如下:主机配置ca...

2019-11-11 19:29:48 111

原创 SWAN之ikev2协议ip-two-pools-v4v6配置测试

本测试主要验证远程用户carol通过设置ipsec.conf文件中的leftsourceip等于%config4和%config6,在与网关moon建立连接时,请求获取虚拟IPv4和IPv6地址的功能。测试中moon网关在rightsourceip字段定义了IPv4和IPv6的虚拟地址段。连接建立之后,IPv4和IPv6的流量都将被封装在隧道内。本次测试拓扑如下:主机配置carol的配置文件...

2019-11-11 19:29:02 94

原创 SWAN之ikev2协议ip-two-pools-mixed配置测试

本测试主要验证远程用户carol和alice,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。测试中moon网关定义了两个连接,对应于moon的接口eth0和eth1,分别用于服务carol和alice主机,一个链接使用rightsourceip=%intpool的地址池方式定义;另外一个连接使用简单的网段定义...

2019-11-11 19:27:00 146

原创 SWAN之ikev2协议ip-two-pools-db配置测试

本测试主要验证外部用户carol、dave和内部用户alice、venus,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。moon网关创建了两个连接,为外部和内部用户配置了不同的虚拟IP地址池。通过定义subnet字段为10.3.0.0/16,10.4.0.0/16,即两个IP地址池的网段,实现hub-and...

2019-11-11 19:26:15 131

原创 SWAN之ikev2协议ip-two-pools配置测试

本测试主要验证远程用户carol和alice,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。测试中moon网关定义了两个连接,对应于moon的接口eth0和eth1,分别用于服务carol和alice主机,并且定义了两个地址池分配虚拟IP地址。本次测试拓扑如下:主机配置carol的配置文件:ikev2/...

2019-11-11 19:23:44 104

原创 SWAN之ikev2协议ip-split-pools-db配置测试

本测试主要验证远程用户carol和dave,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。测试中moon定义了两个地址池,在第一个地址池地址耗尽之后,使用第二个地址池分配IP地址。本次测试拓扑如下:主机配置carol的配置文件:ikev2/ip-split-pools-db/hosts/carol/et...

2019-11-11 19:22:52 53

原创 SWAN之ikev2协议ip-pool-wish配置测试

本测试主要验证远程用户carol和dave,通过设置ipsec.conf文件中的leftsourceip等于某个IP地址,在与网关moon建立连接时,请求获取指定的虚拟IP地址的功能。测试中carol和dave都将leftsourceip字段指定为10.3.0.1,但是carol首先发起连接,获得了想要的虚拟地址。dave之后发起连接,虽然也是请求地址10.3.0.1,但是由于已经分配出去,moo...

2019-11-07 20:49:38 56

原创 SWAN之ikev2协议ip-pool-db配置测试

本测试主要验证远程用户carol和dave,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,获取虚拟IP地址的功能。moon网关通过rightsourceip字段指定关键字%bigpool,由数据库中分配虚拟IP地址。测试中使用命令ipsec pool --name bigpool --start 10.3.0.1 --end 10.3....

2019-11-07 20:48:26 140

原创 SWAN之ikev2协议ip-pool配置测试

本测试主要验证远程用户carol和dave,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,获取虚拟IP地址的功能。moon网关通过rightsourceip字段指定虚拟IP地址池。本次测试拓扑如下:主机配置carol的配置文件:ikev2/ip-pool/hosts/carol/etc/ipsec.conf,内容如下,主要注意是这...

2019-11-07 20:46:40 158

原创 SWAN之ikev2协议host2host-transport-nat配置测试

本测试主要说明在NAT网关moon之后的两个VPN客户端(alice和venus)使用传输模式连接外部VPN网关(sun)时的问题。由于sun网关上的安全策略冲突,导致后者的连接将替换前者的连接。另外,当alice建立连接之后,如果venus不进行连接的建立,而执行ping网关sun的操作,将没有回复,原因是此报文匹配sun网关的加密策略(alice所建立),但是报文并没有加密,被丢弃(文件/pr...

2019-11-07 20:45:17 150

原创 SWAN之ikev2协议host2host-transport-connmark配置测试

本测试在NAT网关moon背后的两台主机alice和venus上发起到外部sun网关的安全连接,使用传输模式。sun网关使用connmark插件和netfilter标记mark来区分两个安全连接,以便可与NAT网关之后的两个主机通信。本次测试拓扑如下:测试配置alice的配置文件:ikev2/host2host-transport-connmark/hosts/alice/etc/ipsec...

2019-11-07 20:43:15 139

原创 SWAN之ikev2协议inactivity-timeout配置测试

本测试主要验证carol与sun网关建立连接,同时carol设置inactivity空闲时长为10秒,在超时之后删除连接的功能。本次测试拓扑如下:配置carol的配置文件:ikev2/inactivity-timeout/hosts/carol/etc/ipsec.conf,内容如下,inactivity字段指定空闲时长为10秒,超过此时长,将删除建立的子连接。conn %default...

2019-11-06 20:49:00 182

原创 SWAN之ikev2协议host2host-transport配置测试

本测试主要验证moon与sun主机传输模式的连接建立,本次测试拓扑如下:配置sun的配置文件:ikev2/host2host-transport/hosts/sun/etc/ipsec.conf,内容如下,type字段指定使用传输模式transport。conn host-host left=PH_IP_SUN leftcert=sunCert.pem ...

2019-11-06 20:22:32 212

原创 SWAN之ikev2协议host2host-swapped配置测试

本测试主要验证moon与sun主机基于X.509证书认证的连接场景,在配置文件ipsec.conf中使用right相关关键字表示本地配置,而使用left表示对端的配置,已测试strongswan的配置选择功能。本次测试拓扑如下:配置sun的配置文件:ikev2/host2host-swapped/hosts/sun/etc/ipsec.conf,内容如下,无特殊配置。conn host-h...

2019-11-06 20:21:04 83

原创 SWAN之ikev2协议host2host-cert配置测试

本测试主要验证moon与sun主机基于X.509证书认证的连接场景,本次测试拓扑如下:配置sun的配置文件:ikev2/host2host-cert/hosts/sun/etc/ipsec.conf,内容如下,无特殊配置。conn host-host left=PH_IP_SUN leftcert=sunCert.pem leftid=@su...

2019-11-06 20:19:50 65

原创 SWAN之ikev2协议host2host-ah配置测试

本测试主要验证moon与sun主机使用AH协议的传输模式建立连接的场景,使用AES-XCBC算法。本次测试拓扑如下:配置sun的配置文件:ikev2/host2host-ah/hosts/sun/etc/ipsec.conf,内容如下,主要注意是这里的type字段值transport,指定使用传输模式。ah字段表明AH协议封装采用AES-XCBC校验算法。conn %default ...

2019-11-06 20:17:07 157

原创 SWAN之ikev2协议forecast配置测试

本测试中远程用户carol,dave分别与网关sun建立连接时,并获取虚拟IP地址,moon网关与两个远程用户协商多播和广播的流量选择符,并且使用mark值做区分。网关moon上的forecast插件负责按照netfilter规则对流量进行标记mark,并且在网关以及远程用户之间转发多播/广播流量。本次测试拓扑如下:配置carol的配置文件:ikev2/forecast/hosts/caro...

2019-11-06 20:15:57 68

原创 SWAN之ikev2协议force-udp-encaps配置测试

本测试主要验证远程用户alice与网关sun建立连接时,强制启用UDP封装的功能。通过在alice的ipsec.conf文件中定义forceencaps等于yes实现。本次测试拓扑如下:alice主机配置alice的配置文件:ikev2/force-udp-encaps/hosts/alice/etc/ipsec.conf,内容如下,主要注意是这里的forceencaps字段值yes,强制开...

2019-11-06 20:02:31 276

原创 SWAN之ikev2协议farp配置测试

本测试主要验证远程用户carol、dave与网关moon建立连接时,并且通过在ipsec.conf文件中设置leftsourceip=%config,向moon网关请求虚拟IP地址,此虚拟地址位于10.1.0.0/16网段,得到虚拟IP地址的carol和dave主机相当位于和主机alice(10.1.0.10)相同的网段。借助于moon网关的farp代理插件,alice主机可与carol和dave...

2019-11-05 20:43:20 124

原创 SWAN之ikev2协议esp-alg-sha1-160配置测试

本测试主要验证远程用户carol与网关moon建立连接时,通过在ipsec.conf文件中设置esp=naes128-sha1_160!,而采用ESP套件:AES_CBC_128 / HMAC_SHA1_160的过程。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/esp-alg-sha1-160/hosts/carol/etc/ipsec.conf,内容如下,IKE使...

2019-11-05 20:38:24 189

原创 SWAN之ikev2协议esp-alg-null配置测试

本测试主要验证远程用户carol与网关moon建立连接时,通过在ipsec.conf文件中设置esp=null-sha256!,而采用ESP套件:NULL / HMAC_SHA256_128的过程。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/esp-alg-null/hosts/carol/etc/ipsec.conf,内容如下,IKE使用aes128-sha256...

2019-11-05 20:36:54 146

原创 SWAN之ikev2协议esp-alg-md5-128配置测试

本测试主要验证远程用户carol与网关moon建立连接时,通过在ipsec.conf文件中设置esp=3des-md5_128!,而采用ESP套件:DES_CBC / HMAC_MD5_128的过程。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/esp-alg-md5-128/hosts/carol/etc/ipsec.conf,内容如下,IKE使用3des-md5-...

2019-11-05 20:35:52 112

原创 SWAN之ikev2协议esp-alg-aes-gmac配置测试

本测试主要验证远程用户carol和网关moon使用ESP套件:NULL_AES_GMAC_256建立的仅认证的连接,在配置文件ipsec.conf中通过设置esp=aes256gmac-curve25519! 实现。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/esp-alg-aes-gmac/hosts/carol/etc/ipsec.conf,内容如下,IKE使用...

2019-11-05 20:34:42 152

原创 SWAN之ikev2协议dynamic-two-peers配置测试

本测试中,carol与dave主机以及moon网关都使用动态IP地址配置,远程用户carol和dave在配置文件中的right字段指定网关的域名。moon网关建立两个连接,分别制定carol和dave的域名,在moon网关的文件/etc/hosts中保存已经过期的carol和dave的域名和IP的对应关系。实际测试中远程用户carol、dave使用新的IP地址和网关moon建立连接。本次测试拓扑...

2019-11-05 20:33:31 43

原创 SWAN之ikev2协议dynamic-initiator配置测试

本测试中,carol主机和moon网关都使用动态IP地址,远程用户carol在配置的right字段指定网关的域名。IKE服务通过DNS查找域名(通过/etc/hosts文件中的项模拟)。这种情况下,IP地址有可能会改变,但是连接主机的ID保持不变。在一个新的连接请求,包含与之前建立的连接相同的ID到达时,可使用新的连接代替之前连接。实际测试中远程用户carol和网关moon建立连接之后,使用远程...

2019-11-05 20:32:21 96

原创 SWAN之ikev2协议dpd-restart配置测试

本测试主要验证远程用户carol和网关moon建立连接之后,由于链路问题,导致DPD(Dead Peer Detection)检测报文没有响应,之后链路恢复,自动重新建立连接的功能。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/dpd-restart/hosts/carol/etc/ipsec.conf,内容如下,keyexchange字段为ikev2,表示采用IKE...

2019-11-05 20:29:49 505

原创 SWAN之ikev2协议dpd-hold配置测试

本测试主要验证远程用户carol和网关moon建立连接之后,由于链路问题,导致DPD(Dead Peer Detection)检测报文没有响应,之后链路恢复,重新建立连接的功能。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/dpd-hold/hosts/carol/etc/ipsec.conf,内容如下,keyexchange字段为ikev2,表示采用IKEv2协议。...

2019-11-05 20:28:26 309

原创 SWAN之ikev2协议dpd-clear配置测试

本测试主要验证远程用户carol和网关moon建立连接之后,由于链路问题,导致DPD(Dead Peer Detection)检查报文没有响应,删除连接的功能。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/dpd-clear/hosts/carol/etc/ipsec.conf,内容如下,keyexchange字段为ikev2,表示采用IKEv2协议。left字段的值...

2019-11-05 20:24:01 391

原创 SWAN之ikev2协议double-nat-net配置测试

本测试主要验证分别位于NAT网关moon和sun之后的用户alice和bob建立连接的功能。其中由alice发起连接,moon网关执行SNAT变化,sun网关执行DNAT变化,strongswan在此情况下检测到NAT网关的存在,启用NAT-T功能。最后在NAT网关sun上配置路由,为bob所在网段的主机提供远程服务。本次测试拓扑如下:alice主机配置alice的配置文件:ikev2/do...

2019-11-05 20:22:36 153

原创 SWAN之ikev2协议double-nat配置测试

本测试主要验证分别位于NAT网关moon和sun之后的用户alice和bob建立连接的功能。其中由alice发起连接,moon网关执行SNAT变化,sun网关执行DNAT变化,strongswan在此情况下检测到NAT网关的存在,启用NAT-T功能。本次测试拓扑如下:alice主机配置alice的配置文件:ikev2/double-nat/hosts/alice/etc/ipsec.conf...

2019-11-05 20:20:01 256

原创 SWAN之ikev2协议dhcp-static-mac配置测试

本测试主要验证网关moon通过DHCP协议由服务器获取地址,在DHCP发现报文中携带客户端的ID信息,获取指定地址,但是本次测试虽然携带了ID字段,但是在DHCP服务器中配置了基于特定MAC地址的IP分配,分配给远程客户端carol和dave的功能,以及moon网关上farp插件的arp代理功能。DHCP服务器为主机venus(10.1.0.20),其IP池的范围是:10.1.0.50到10.1....

2019-11-04 20:51:54 194

WEB Portal 认证完整的交互报文

web认证交互报文,包括WLAN controller与portal server的认证与注销,AC与radius 服务器的认证报文。

2018-04-24

botan-ed25519.pcap

IKEv2协议交互报文,认证方式选用Ed25519算法的证书方式。

2019-10-28

IKEv2-rw-cert2.pcap

strongswan使用linux内核的af_alg加密接口配置,IKEv2协议交互报文。

2019-10-28

IKEv2-camellia.pcap

IKEv2协议使用camellia加密算法的协商报文,交互流程。

2019-10-28

libssh2-1.8.0 and ssh2_batch example

ssh2_batch可执行程序,用于非交互式的ssh命令执行。源代码和libssh2

2018-06-13

redwingz的留言板

发表于 2020-01-02 最后回复 2020-01-02

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人 TA的粉丝

提示
确定要删除当前文章?
取消 删除