之前写的一个:[dev][ipsec] 基于路由的VPrivateN 一 我们默认用strongswan的时候基于策略的. 也就是policy. 基于策略的ipsec中, policy承担了两部分功能 一是访问权限的控制功能, 另一个是路由的功能. linux kernel做完路由之后会在查询policy,从而确定要将包转发给哪一个SA. 二 基于一中的描述, 我们现在要做基于路由的ipsec, 也就是说将路由功能从policy中去除出来, 在路由表中使用路由条目来做. 于是在这里需要解决的就是…

VPrivateN的配置分两个模式 1. 基于策略的VPrivateN ( policy based) 2. 基于路由的VPrivateN (route based) 以strongswan为例, 在我们正常的使用过程中, 配置方法里,会在配置的时候指定Traffic selecter. 两端的Traffic Selecter 在经过协商过程之后达成的结果就是policy. policy主要用于权限访问控制. 基于路由的VPrivateN,是指Policy全部(或部分)放行, 默认的全放行pol…

目录 strongswan sa 资料 编译 启动 进程信息 结构 架构图与插件 配置运行 传统配置方法 新的配置方法 其他配置方法 详细的配置文档 配置示例 用法 加密库 libgmp libcrypto libgcrypto 依赖的内核模块 child sa 构成 定义 sa信息查看与调试 证书 转发 隧道 路由 MSS/MTU VICI interface 编译DEBUG gdb 代码 接口 架构流程图 ipsec初始化 add policy的调用栈 add sa的调用栈 更多strong…

strongswan SA分析(一) 1 概念 下面主要介绍两个本文将要阐述的核心概念.他们是SA和SP.注意,这不是一篇不需要背景知识的文章.作者认为你适合阅读接下来内容的的前提是,你已经具备了一下三方面的知识: a. 什么是VPN. b. 什么是IPsec,包括IKE,ESP,strongswan都是什么等. c. 一般的linux使用方法和常见概念. 1.1 什么是SAD,SPD SAD是Security Association Database的缩写. SPD是Security Poli…

前言 我们知道,strongswan是基于插件式管理的.不同的插件有不同的配置文件,在这下面, 我们以netlink的插件为例:etc/strongswan.d/charon/kernel-netlink.conf 在这个文件里,提供了不同的针对插件的配置项.接下来我们将讲解,如何开发这些配置项. 配置文件结构 在开始之前,先了解一下strongswan的配置文件组织结构, strongswan的所有配置项都是层级结构组织的,如:charon.plugins.kernel-netlink.for…

阿里云容器服务--配置自定义路由服务应对DDOS攻击 摘要: 容器服务中,除了slb之外,自定义路由服务(基于HAProxy)也可以作为DDOS攻击的一道防线,本文阐述了几种方法来应对普通规模的DDOS攻击 1. TCP洪水攻击(SYN Flood) ECS系统参数调整,应对TCP洪水攻击,打开文件/etc/sysctl.conf,配置如下参数 # Protection SYN flood net.ipv4.tcp_syncookies = 1 net.ipv4.conf.all.rp_filt…

一.网络畅通条件及排错思路 1.网络畅通的条件 网络畅通的条件:数据包能去能回,也是我们排除网络故障的理论依据. 2.网络不畅通示列 ①.目标主机不可达 原因分析:可能是数据包没有到达目的地,在中途就丢去了(绝大部分原因是在去的路上没有配置路由条目). ②.请求超时 原因分析:可能是数据包到了目的地,返不回来(绝大部分原因是在回的路上没有配置路由条目). 3.网络排错 明白了网络畅通的条件,网络排错就变得简单了. 先检查数据包是否能够到达目标网络. 再检查数据包是否能够返回来. 如果网络不通,您…

关于交换机的配置模式,大体上可以分为两类:其一以CISCO交换机为代表的配置模式,其二以Huawei.H3C交换机为代表的配置模式.其实这两种配置模式并没有本质的不同,只是配置的命令名称和配置方式存在差别.如果把握了交换机的配置的基本原理,就不难掌握,且举一反三可以推及其他品牌的交换机的配置.总结来说,如果以在交换机上配置VLAN为例,可以参考以下基本原理或步骤: 交换机最初通过交换机上管理口进行连接.管理口有各种形式,在交换机上是COM口(另一端也是COM口),在交换机上是RJ45接口(另一端…

默认访问Web API时,是无需指定method名.它会按照默认的路由来访问.如果你的Web API中出现有方法重载时,也许得配置自定义路由: 标记1为自定义路由,标记2为默认路由,需要把自定义路由排在前面.系统会先从自定义路由去匹配.…

前 言 这里简单介绍一下为SharePoint 2013 配置基于表单的身份认证,简单的说,就是用Net提供的工具创建数据库,然后配置SharePoint 管理中心.STS服务.Web应用程序的三处web.config即可.下面,让我们以图文的方式了解创建的具体过程吧. 使用微软提供的工具,创建数据库,找到Framework64下的aspnet_regsql,如下图: 这里我发现C:\Windows\Microsoft.NET\Framework64的v2.0.50727路径下和v4.0.303…