自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

redwingz的博客

Linux内核网络、虚拟化

  • 博客(18)
  • 资源 (5)
  • 论坛 (1)
  • 收藏
  • 关注

原创 IKEv2协议中的EAP-TLS认证处理流程

以下根据strongswan代码中的testing/tests/ikev2/rw-eap-tls-only/中的测试环境,验证一下IKEv2协议的EAP-TLS认证过程。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和carol主机。carol主机配置carol主机的配置文件:/etc/ipsec.conf,内容如下。leftauth字段设置为eap认证,rightauth的值为...

2019-12-18 19:50:21 1668

原创 IKEv2协议报文分片处理

以下根据strongswan代码中的testing/tests/ikev2/net2net-fragmentation/中的测试环境,来看一下IKEv2协议的报文分片处理流程。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和sun网关。网关配置moon的配置文件:/etc/ipsec.conf,内容如下。注意此处fragmentation字段的值为yes,可能的取值还有:no、a...

2019-12-10 21:40:36 755

原创 IKEv2子网之间秘钥重协商

以下根据strongswan代码中的testing/tests/ikev2/net2net-rekey/中的测试环境,验证一下网络到网络的IKEv2协议的秘钥重协商过程。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和sun。moon网关配置moon网关的配置文件:/etc/ipsec.conf ,内容如下。为了进行秘钥重协商,安全关联的生存期lifetime指定为较短的10s,...

2019-12-09 21:17:30 942

原创 共享秘钥模式下XAUTH验证流程

以下根据strongswan代码中的testing/tests/ikev1/xauth-psk/中的测试环境,来看一下XAUTH验证流程。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和主机carol及dave。moon网关配置moon的配置文件:/etc/ipsec.conf,内容如下。注意此处keyexchange字段的值,使用ikev1版本协议。在名称为rw的连接配置中,l...

2019-12-08 16:17:35 1192

原创 IPSec对NAT网关内部多个连接的支持

以下根据strongswan代码中的testing/tests/ikev2/nat-rw-mark/中的测试环境,在安全连接的两个节点之间存在NAT网关的情况,并且在安全网关上对外部连接的端点地址在访问内部网络之前,执行SNAT操作,适用于外部的分支使用与总部不同网段地址的情况。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和sun。sun网关配置sun的配置文件:/etc/ip...

2019-12-05 20:51:14 683

原创 内核升级抢占配置选项问题

一直使用的是2.4的比较旧的内核,在升级到4.15的新内核之后,之前运行稳定的代码一直有各种死锁的情况发生。如下所示,大致原因都是一样的,如下对于同一个读写锁,有的地方并没有锁住下半部,导致问题的发生。[249739.328755] RIP: 0010:[<ffffffff8143128e>] [<ffffffff8143128e>] __read_lock_faile...

2019-12-05 19:08:19 149

原创 GRE协议与传输模式下IPSec隧道

以下根据strongswan代码中的testing/tests/route-based/net2net-gre/中的测试环境,来看一下GRE报文通过IPSec隧道的情况。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和sun。sun网关配置sun的配置文件:/etc/swanctl/swanctl.conf,内容如下。注意其中的gre子连接配置,local_ts和remote_t...

2019-12-03 20:24:26 2257

原创 Fortinet防护墙IKEv1版本协议配置

本文主要讲述Site-to-Site的IPsecurity IKEv1协议的配置以及注意事项。此网络结构又称为网络到网络的IPSecurity,两个网关彼此建立IPSecurity通道,将网关背后的内部网络通过IPSecurity通道安全的连接起来。防火墙1的配置1)打开虚拟专用网络->IPSec->IKE网页,创建IPSecurity的阶段一,远程网关地址选择...

2019-12-03 19:54:02 1194

原创 两个IPSec子连接共用XFRM虚拟接口

以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi-ike/中的测试环境,来看一下两个IPSec子连接共用一个XFRM虚拟接口的情况。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和sun。sun网关配置sun的配置文件:/etc/swanctl/swanctl.conf,内容如下。注意其中的net-net子连接配置...

2019-12-02 19:42:01 411

原创 网络命名空间之间移动XFRM虚拟设备

以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi-netns/中的测试环境,来看一下基于路由和XFRM接口实现的安全连接,以及在两个网络命名空间之间移动XFRM虚拟接口的情况。内核允许XFRM接口的移动,可使得一个命名空间中的strongswan进程为另外一个命名空间中的应用提供安全加密服务,而后者并不需要进行IKE相关协商。拓扑结...

2019-12-02 19:41:40 284

原创 自动创建XFRM虚拟接口的net2net形式的IPSEC

以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。在配置中sun网关使用特殊值%unique-dir自动为in/out两个方向创建不同ID值的xfrm虚拟设备;而moon网关仍然使用在swanctl.conf文件中手动指定xfrm接口ID值,并且手动创建XFRM接口的方法。su...

2019-12-02 19:41:28 183

原创 基于路由和VTI隧道接口的net2net的IPSec实现

以下根据strongswan代码中的testing/tests/route-based/net2net-vti/中的测试环境,来看一下基于路由和VTI接口实现的安全连接。拓扑结构如下:拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。sun网关配置sun的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home中的字段vips设置为0...

2019-12-02 19:41:16 670

原创 基于VTI隧道接口IPv4封装IPv6报文的IPSec实现

以下根据strongswan代码中的testing/tests/route-based/rw-shared-vti-ip6-in-ip4/中的测试环境,来看一下基于路由和VTI接口的IPv4封装IPv6报文的安全连接。拓扑结构如下:拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。虚拟主机配置carol的配置文件:/etc/swanctl/swanctl.con...

2019-12-02 19:40:51 397

原创 基于路由和VTI虚拟接口的IPSec实现

以下根据strongswan代码中的testing/tests/route-based/rw-shared-vti/中的测试环境,来看一下基于路由和VTI接口的安全连接。拓扑结构如下:拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。虚拟主机配置carol的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home中的字段vips设置为...

2019-12-02 19:40:24 1524 2

原创 基于路由和XFRM虚拟接口的IPSec实现

以下根据strongswan代码中的testing/tests/route-based/rw-shared-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。拓扑结构如下:拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。虚拟主机配置carol的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home中的字段vips...

2019-12-02 19:30:27 633

原创 ubuntu创建自签名证书

系统版本:Ubuntu 17.04。首先生成一个RSA私钥:$$ mkdir private$ $ openssl genrsa -out private/cakey.pem 2048Generating RSA private key, 2048 bit long modulus......................................................

2019-12-02 19:30:06 1127

原创 XAUTH认证

以下根据strongswan代码中的testing/tests/swanctl/xauth-rsa/中的测试环境,来看XAuth的配置和认证流程。扩展认证XAUTH在RSA公开秘钥签名认证(pubkey)之后进行。拓扑结构如下:拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。虚拟主机配置carol的配置文件:/etc/swanctl/swanctl.conf,...

2019-12-02 19:29:48 1204

原创 IKEv2使用RSA-PSS签名

RSA-PSS全称为:RSA Probabilistic Signature Scheme,在IKEv2协议的报文交互中,Authentication载荷可携带由RSA-PSS算法签名的验证数据。以下根据strongswan代码中的testing/tests/swanctl/rw-cert-pss/中的测试环境,来看基于X.509证书的RSA-PSS签名配置和认证流程。拓扑结构如下:拓扑图中使...

2019-12-02 19:28:51 473

WEB Portal 认证完整的交互报文

web认证交互报文,包括WLAN controller与portal server的认证与注销,AC与radius 服务器的认证报文。

2018-04-24

IKEv2-camellia.pcap

IKEv2协议使用camellia加密算法的协商报文,交互流程。

2019-10-28

IKEv2-rw-cert2.pcap

strongswan使用linux内核的af_alg加密接口配置,IKEv2协议交互报文。

2019-10-28

libssh2-1.8.0 and ssh2_batch example

ssh2_batch可执行程序,用于非交互式的ssh命令执行。源代码和libssh2

2018-06-13

botan-ed25519.pcap

IKEv2协议交互报文,认证方式选用Ed25519算法的证书方式。

2019-10-28

redwingz的留言板

发表于 2020-01-02 最后回复 2020-01-02

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人 TA的粉丝

提示
确定要删除当前文章?
取消 删除