[dev][ipsec] 基于路由的VPrivateN】的更多相关文章

[dev][ipsec] 基于路由的VPrivateN

VPrivateN的配置分两个模式 1. 基于策略的VPrivateN ( policy based) 2. 基于路由的VPrivateN (route based) 以strongswan为例, 在我们正常的使用过程中, 配置方法里,会在配置的时候指定Traffic selecter. 两端的Traffic Selecter 在经过协商过程之后达成的结果就是policy. policy主要用于权限访问控制. 基于路由的VPrivateN,是指Policy全部(或部分)放行, 默认的全放行pol…

[ipsec][strongswan] 使用VTI配置基于路由的ipsec

之前写的一个:[dev][ipsec] 基于路由的VPrivateN 一 我们默认用strongswan的时候基于策略的. 也就是policy. 基于策略的ipsec中, policy承担了两部分功能 一是访问权限的控制功能, 另一个是路由的功能. linux kernel做完路由之后会在查询policy,从而确定要将包转发给哪一个SA. 二 基于一中的描述, 我们现在要做基于路由的ipsec, 也就是说将路由功能从policy中去除出来, 在路由表中使用路由条目来做. 于是在这里需要解决的就是…

[dev][ipsec][dpdk] strongswan/dpdk源码分析之ipsec算法配置过程

1 简述 storngswan的配置里用一种固定格式的字符串设置了用于协商的预定义算法.在包协商过程中strongswan将字符串转换为固定的枚举值封在数据包里用于传输. 协商成功之后,这组被协商选中的枚举值会通过netlink接口以xfrm定义好的字符串形式,传递给内核,内核再将字符串转换成pfkey定义的枚举值,最终进行加密设置. DPDK的话,也有其统一的一组枚举值的抽象.在调用不同的cryptodev pmd时,会想这组值转换为对应的值或操作,如转变成openssl对应的API调用. 见…

[dev][ipsec][distributed] strongswan如何做热迁移/高可用/High Availability

问题描述: 原生的基于kernel 的 strongswan 如何做高可用,HA,High Availability 问题分析: 基于我们已知的,ipsec,strongswan的知识.问题分解如下: 1.  IKE SA的同步,CHILD SA的同步. 2.  ESP包是有序列号的,序列号的同步问题. 3.  隧道不能断,业务也不能断.所以还有一个隧道IP的同步问题. 解决方案: strongswan是这样解决的. 1. 问题1)与strongswan软件进行解决,可以通过配置,配置一个高可用…

[dev][ipsec][esp] ipsec链路中断的感知问题

ipsec如何感知到链路中断了?以下内容讲的是在没有配置DPD,且没有rekey的场 景下. 1. ESP认为,以下两个场景交由应用层来感知,应用层会发现ipsec的连接坏掉了. a,ESP承载的连接是tcp数据. b,ESP承载的连接是有双向交互的udp数据. 2. 基于1,现在只剩下只有单向udp发包的场景了,它是如下处理的. 当大量连续丢包的时候,收包一侧会通过sequence number的滑动窗口感知 到,大量是指大于2^32个包. 原理是:ESP发包的时候会给包文头上放一个SEQ n…

ASP.NET Core 6框架揭秘实例演示[02]:基于路由、MVC和gRPC的应用开发

ASP.NET Core可以视为一种底层框架,它为我们构建出了基于管道的请求处理模型,这个管道由一个服务器和多个中间件构成,而与路由相关的EndpointRoutingMiddleware和EndpointMiddleware是两个最为重要的中间件.MVC和gRPC开发框架就建立在路由基础上.本篇提供了四个实例用来演示如何利用路由.MVC和gRPC来开发API/APP. [113]路由的应用(源代码) [114]开发MVC API(源代码) [115]开发MVC APP(源代码) [116]开发…

[dev][ipsec] 什么是xfrm

简介: http://nody-techhome.blogspot.com/2008/09/xfrm-overview.html (没啥用) 内核xfrm.ipsec的流程.写的特别清晰明了. http://kernelspec.blogspot.com/2014/10/ipsec-implementation-in-linux-kernel.html…

基于三层交换机和基于路由子接口的vlan间路由

1:通过三层交换机实现vlan间的通信:为三层交换机创建vlan,设置交换机的两个SVI,并配置IP地址. (在二层交换机上只能配置一个SVI端口,用来实现交换机交换机远程管理,在三层交换机上可以配置多个SVI端口) 配置sw: Switch(config)#inter fa0/1Switch(config-if)#switchport  mode  access Switch(config-if)#no shutSwitch(config)#vlan 2Switch(config-vlan)#…

[dev][ipsec] netlink是什么

介绍: https://www.linuxjournal.com/article/7356 大纲: man手册 http://man7.org/linux/man-pages/man7/netlink.7.html 这个也不错: https://people.redhat.com/nhorman/papers/netlink.pdf 原文转载: -------------- Kernel Korner - Why and How to Use Netlink Socket Due to the…

在Ubuntu14.04上搭建自己的OpenVPN服务器并通过它上网

背景 学校宿舍端口可以配置静态IP连校内网,也可以连到实验室的服务器:实验室的服务器可以连外网:但宿舍要连外网就要花钱买PPPoE账号了.作为壮哉我大计院的一员,本着发扬专(neng)业(sheng)精(jiu)神(sheng)的原则,决定自己动手"引网入室",省钱且网速又快,岂不美哉? 准备工作 1. EasyRSA 2.x  用于生成密钥.注意3.x与2.x差异极大,不适用本文,下载时请认准2.x. 2. OpenVPN  Windows/Linux上的VPN软件,既可做服务器端又…