自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

redwingz的博客

Linux内核网络、虚拟化

原创 IKEv2协议中的EAP-TLS认证处理流程

以下根据strongswan代码中的testing/tests/ikev2/rw-eap-tls-only/中的测试环境,验证一下IKEv2协议的EAP-TLS认证过程。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和carol主机。 carol主机配置 carol主机的配置文件:/...

2019-12-18 19:50:21 950 0

原创 IKEv2协议报文分片处理

以下根据strongswan代码中的testing/tests/ikev2/net2net-fragmentation/中的测试环境,来看一下IKEv2协议的报文分片处理流程。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和sun网关。 网关配置 moon的配置文件:/etc/ips...

2019-12-10 21:40:36 461 0

原创 IKEv2子网之间秘钥重协商

以下根据strongswan代码中的testing/tests/ikev2/net2net-rekey/中的测试环境,验证一下网络到网络的IKEv2协议的秘钥重协商过程。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和sun。 moon网关配置 moon网关的配置文件:/etc/ip...

2019-12-09 21:17:30 549 0

原创 共享秘钥模式下XAUTH验证流程

以下根据strongswan代码中的testing/tests/ikev1/xauth-psk/中的测试环境,来看一下XAUTH验证流程。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和主机carol及dave。 moon网关配置 moon的配置文件:/etc/ipsec.conf,...

2019-12-08 16:17:35 677 0

原创 IPSec对NAT网关内部多个连接的支持

以下根据strongswan代码中的testing/tests/ikev2/nat-rw-mark/中的测试环境,在安全连接的两个节点之间存在NAT网关的情况,并且在安全网关上对外部连接的端点地址在访问内部网络之前,执行SNAT操作,适用于外部的分支使用与总部不同网段地址的情况。拓扑结构如下: ...

2019-12-05 20:51:14 361 0

原创 内核升级抢占配置选项问题

一直使用的是2.4的比较旧的内核,在升级到4.15的新内核之后,之前运行稳定的代码一直有各种死锁的情况发生。如下所示,大致原因都是一样的,如下对于同一个读写锁,有的地方并没有锁住下半部,导致问题的发生。 [249739.328755] RIP: 0010:[<ffffffff8143128e...

2019-12-05 19:08:19 114 0

原创 GRE协议与传输模式下IPSec隧道

以下根据strongswan代码中的testing/tests/route-based/net2net-gre/中的测试环境,来看一下GRE报文通过IPSec隧道的情况。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和sun。 sun网关配置 sun的配置文件:/etc/swanct...

2019-12-03 20:24:26 1156 0

原创 Fortinet防护墙IKEv1版本协议配置

本文主要讲述Site-to-Site的IPsecurity IKEv1协议的配置以及注意事项。此网络结构又称为网络到网络的IPSecurity,两个网关彼此建立IPSecurity通道,将网关背后的内部网络通过IPSecurity通道安全的连接起来。 防火墙1的配置 1)打开虚拟专...

2019-12-03 19:54:02 1068 0

原创 两个IPSec子连接共用XFRM虚拟接口

以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi-ike/中的测试环境,来看一下两个IPSec子连接共用一个XFRM虚拟接口的情况。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和sun。 sun网关配置 sun的配置...

2019-12-02 19:42:01 285 0

原创 网络命名空间之间移动XFRM虚拟设备

以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi-netns/中的测试环境,来看一下基于路由和XFRM接口实现的安全连接,以及在两个网络命名空间之间移动XFRM虚拟接口的情况。内核允许XFRM接口的移动,可使得一个命名空间中的str...

2019-12-02 19:41:40 175 0

原创 自动创建XFRM虚拟接口的net2net形式的IPSEC

以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。在配置中sun网关使用特殊值%unique-dir自动为in/out两个方向创建不同ID值的xfrm虚拟设备;而moon网关仍...

2019-12-02 19:41:28 115 0

原创 基于路由和VTI隧道接口的net2net的IPSec实现

以下根据strongswan代码中的testing/tests/route-based/net2net-vti/中的测试环境,来看一下基于路由和VTI接口实现的安全连接。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。 sun网关配置 sun的配置文...

2019-12-02 19:41:16 406 0

原创 基于VTI隧道接口IPv4封装IPv6报文的IPSec实现

以下根据strongswan代码中的testing/tests/route-based/rw-shared-vti-ip6-in-ip4/中的测试环境,来看一下基于路由和VTI接口的IPv4封装IPv6报文的安全连接。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚...

2019-12-02 19:40:51 182 0

原创 基于路由和VTI虚拟接口的IPSec实现

以下根据strongswan代码中的testing/tests/route-based/rw-shared-vti/中的测试环境,来看一下基于路由和VTI接口的安全连接。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。 虚拟主机配置 carol的配置...

2019-12-02 19:40:24 858 2

原创 基于路由和XFRM虚拟接口的IPSec实现

以下根据strongswan代码中的testing/tests/route-based/rw-shared-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。 虚拟主机配置 carol...

2019-12-02 19:30:27 246 0

原创 ubuntu创建自签名证书

系统版本: Ubuntu 17.04。首先生成一个RSA私钥: $ $ mkdir private $ $ openssl genrsa -out private/cakey.pem 2048 Generating RSA private key, 2048 bit long modulus ...

2019-12-02 19:30:06 561 0

原创 XAUTH认证

以下根据strongswan代码中的testing/tests/swanctl/xauth-rsa/中的测试环境,来看XAuth的配置和认证流程。扩展认证XAUTH在RSA公开秘钥签名认证(pubkey)之后进行。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网...

2019-12-02 19:29:48 710 0

原创 IKEv2使用RSA-PSS签名

RSA-PSS全称为:RSA Probabilistic Signature Scheme,在IKEv2协议的报文交互中,Authentication载荷可携带由RSA-PSS算法签名的验证数据。以下根据strongswan代码中的testing/tests/swanctl/rw-cert-pss...

2019-12-02 19:28:51 224 0

提示
确定要删除当前文章?
取消 删除