IP XFRM配置示例:利用linux kernel自带的IPSec实现,手动配置IPSec

最新推荐文章于 2026-05-23 15:00:00 发布
原创 最新推荐文章于 2026-05-23 15:00:00 发布 · 1.7w 阅读 · 19 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文介绍了如何手动配置Linux内核自带的IPSec(IPsec in-kernel,XFRM)进行安全通信。通过具体拓扑192.168.18.101与192.168.18.102的示例,详细讲解了在两台设备上的配置步骤,以实现安全的数据传输。

开发板推荐:天空星STM32F407VET6开发板

超高性价比 STM32主控 | 超高主频 | 一板兼容百芯 | 比赛神器 | 沉金彩色丝印

点击查看

1、拓扑

192.168.18.101 <=======> 192.168.18.102

2、配置192.168.18.101

ip xfrm state add src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301 mode tunnel auth md5 0x96358c90783bbfa3d7b196ceabe0536b enc des3_ede 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df
ip xfrm state add src 192.168.18.102 dst 192.168.18.101 proto esp spi 0x00000302 mode tunnel auth md5 0x99358c90783bbfa3d7b196ceabe0536b enc des3_ede 0xffddb555acfd9d77b03ea3843f2653255afe8eb5573965df
ip xfrm state get src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301

ip xfrm policy add src 192.168.18.101 dst 192.168.18.102 dir out ptype main tmpl src 192.168.18.101 dst 192.168.18.102 proto esp mode tunnel
ip xfrm policy add src 192.168.18.102 dst 192.168.18.101 dir in ptype main tmpl src 192.168.18.102 dst 192.168.18.101 proto esp mode tunnel
ip xfrm policy ls

3、配置192.168.18.102

ip xfrm state add src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301 mode tunnel auth md5 0x96358c90783bbfa3d7b196ceabe0536b enc des3_ede 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df
ip xfrm state add src 192.168.18.102 dst 192.168.18.101 proto esp spi 0x00000302 mode tunnel auth md5 0x99358c90783bbfa3d7b196ceabe0536b enc des3_ede 0xffddb555acfd9d77b03ea3843f2653255afe8eb5573965df
ip xfrm state get src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301

ip xfrm policy add src 192.168.18.101 dst 192.168.18.102 dir in ptype main tmpl src 192.168.18.101 dst 192.168.18.102 proto esp mode tunnel
ip xfrm policy add src 192.168.18.102 dst 192.168.18.101 dir out ptype main tmpl src 192.168.18.102 dst 192.168.18.101 proto esp mode tunnel
ip xfrm policy ls
4、测试4.1在192.168.18.101上执行
ping 192.168.18.102


4.2在192.168.18.102上抓包
tcpdump -p esp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
11:12:00.771364 IP 192.168.18.101 > 192.168.18.102: ESP(spi=0x00000301,seq=0x41d), length 116
11:12:00.771498 IP 192.168.18.102 > 192.168.18.101: ESP(spi=0x00000302,seq=0x183), length 116
11:12:01.773378 IP 192.168.18.101 > 192.168.18.102: ESP(spi=0x00000301,seq=0x41e), length 116
11:12:01.773787 IP 192.168.18.102 > 192.168.18.101: ESP(spi=0x00000302,seq=0x184), length 116
11:12:02.774682 IP 192.168.18.101 > 192.168.18.102: ESP(spi=0x00000301,seq=0x41f), length 116
11:12:02.774793 IP 192.168.18.102 > 192.168.18.101: ESP(spi=0x00000302,seq=0x185), length 116


开发板推荐:天空星STM32F407VET6开发板

超高性价比 STM32主控 | 超高主频 | 一板兼容百芯 | 比赛神器 | 沉金彩色丝印

点击查看
Linux 内核IPSecxfrm)协议栈源码分析
06-21
该文档从源码分析上入手分析了linux 内核收发数据包流程,内核路由查询流程。很清楚的分析了一个数据包如何通过查询路由进入内核ipsec协议栈的处理、Linux 内核ipsec协议栈详细的加解密流程以及加解密完后如何将数据包发送出去。 文档中前半部分主要介绍一些关键的数据结构,及其相互之间的关系。后半部分介绍了各个函数的调用层级关系。文档主要以ipsec 隧道模式下的ESP协议为例来分析。文档中关键部分的源码都标有中文注释。
XFRM -- ipsec协议的内核实现框架
01-24 4616
目录 1 Overview 1.1 XFRM 实例 1.2 Netlink 通道 1.3 XFRM State 1.3 XFRM Policy 2 接收发送IPsec报文 2.1 接收 2.2 发送 IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。 XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才
Linux内核协议栈--ipsec收发包流程
01-27 5085
1 ipsec收包解封流程 流程路径:ip_rcv() --> ip_rcv_finish() --> ip_local_deliver() --> ip_local_deliver_finish() 解封侧一定是ip报文的目的端,ip_rcv_finish中查到的路由肯定是本机路由(RTCF_LOCAL),调用 ip_local_deliver 处理。 下面是贴的网上的一张图片。 ip_local_deliver_finish中 根据上次协议类型,调用对应的处理函数。inet..
网络层———IP
shsbyshdbdhjsk的博客
03-29 1235
例:首先网络地址会规定每个国家的网络号和掩码(这就是第一层子网划分),各个国家拿到网络号和掩码会将他们配置到各个国家的国家路由器中,并将所有国家的国家路由器通过卫星或者海底光纤链接在一起组成国际骨干网络(公网),并配置一张表记录各个国家的子网掩码和网络地址,例如在俄罗斯的一台主机向5.1.16.1的一台主机发送信息他的信息会从的这主机一路向上交付到国家路由器,通过将网络号和表中掩码&查找对应的国家,这里将信息交付到中国国家路由器。转发过程例1: 如果要发送的数据包的目的地址是192.168.56.3。
linux内核实现ipsec,IP XFRM配置示例利用linux kernel自带IPSec实现手动配置IPSec...
weixin_39559277的博客
04-29 2006
1、拓扑192.168.18.101 <=======> 192.168.18.1022、配置192.168.18.101ip xfrm state add src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301 mode tunnel auth md5 0x96358c90783bbfa3d7b196ceabe05...
ip xfrm配置nat穿越
xingyeping的博客
05-09 6548
环境:Linux CentOS4.5.3-1.el7.elrepo.x86_64 VMWare虚拟机VM1--VM2,两个口直连。VM1:192.168.233.180;VM2:192.168.233.190. 正常配置一个非NAT穿越报文封装的IPsec隧道,然后使用ping命令测试,没有问题,如下配置ip xfrm state add src 192.1
IP xfrm 配置IPSec实例。
lemon181375的博客
12-27 1542
IP xfrm 配置IPSec实例。
2026云服务器建站完全指南:从选购配置到网站上线,新手也能跟着做(含避坑手册)
最新发布
tajiidc_0330的博客
05-23 821
本文提供了一套完整的云服务器建站指南,从服务器选购到网站上线全流程。主要内容包括:1. 建站前的准备:明确网站类型、必备材料和服务器选择建议;2. 服务器选购要点:配置选型对照表和常见新手误区;3. 三种环境搭建方案:应用镜像一键部署(10分钟)、宝塔面板可视化操作(30分钟)和手动搭建LNMP环境;4. 网站部署与维护:WordPress安装、域名备案、HTTPS配置和日常维护建议。文章特别强调新手容易忽略的安全组配置和备份策略,并提供常见问题速查表。适合零基础到进阶用户,帮助快速搭建个人博客、企业官网等
XFRM -- IPsec协议的内核实现框架
品学楼A107
09-30 3830
IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。 XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。 Overview X...
IP xfrm 命令说明1-sa
funtasty的专栏
07-23 1415
对数据加密、认证的算法。ipsec能使用的算法跟内核算法模块支持的算法不同,是其子集。不同版本的内核支持的算法列表页不同,详见附录1: 内核支持的算法列表。封装模式,ESP封装协议支持隧道和传输模式,一般使用隧道模式(过NAT)原地址、目的地址、协议(IPsec封装协议)和spi共同决定一个sa。带封装的ESP,比如espinudp 、espintcp。sa的限制,可以通过时间、数据包、数据量来更新sa。ID 是键值, 用来区分不同SA。关联sp,选择进入隧道的数据流。数据流的协议等特征。
走进Linux内核之XFRM框架
北观止的博客
09-21 3880
笔者此前对Linux内核相关模块稍有研究,实现内核级通信加密、视频流加密等。下面开始上才艺,带你走进Linux内核之XFRM框架。
ip xfrm命令是做什么的?
weixin_30666943的博客
04-25 2029
: 设置xfrmxfrm(transform configuration)是一个IP框架,用来转换数据包的格式,也就是使用算法来加密数据包,该框架用作IPsec协议的一部分   ip xfrm state flush - 刷新状态   ip xfrm state add - 将新状态添加到xfrm中   ip xfrm policy add - 将新策略添加到xfrm中   ip xf...
IP xfrm 命令说明2-sp
funtasty的专栏
04-19 551
【代码】IP xfrm 命令说明2-sp。
Kosmos实战系列:有状态服务(MySQL)跨云灾备实战
2301_80257403的博客
12-26 1128
对于第一点,一些常见的CNI如Calico、Flannel,我们已经完成了适配。关于IPsec规则的创建,部分代码我们借鉴了Flannel,有些区别的是Flannel部分借助了Strongswan(配置IPsec规则的开源工具)的能力,而我们在Kosmos中直接进行ip xfrm相关的操作,这样无需把Strongswan的二进制工具打到镜像内,可以减少镜像包的大小,但如果引入Strongswan可以更加容易的应对复杂的网络场景,后续我们会考虑引入以处理复杂的跨公网集群网络拓扑。
一文带你走进Linux内核之XFRM框架
m0_73494896的博客
09-02 1849
XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。Psec(Internet协议安全)应该很多人都听过,IPsec是一组协议,他们通过对通信会话中的每个数据包进行身份验证和加密,以确保IP流量的安全。XFRM框架是IPsec的“基础设施”,IPsec通过XFRM框架实现的。XFRM源自USAGI项目,该项目旨在提供适用于生产环境的IPv6和IPsec协议栈。
XFRM--IPsec协议的内核实现框架
maimang1001的专栏
12-20 1210
IPsec有两个重要的概念:安全关联(Security Association)和安全策略(Security Policy)。这两种类型的信息都需要储存在内核的XFRM(Transform)中。核心XFRM使用netns_xfrm结构来组织这些信息,也被称为xfrm实例( instance)(例子)。从名称可以看出,该实例与网络命名空间(network namespace)相关,每个命名空间都有一个彼此独立的实例。所以同一主机上的不同容器可以在没有干扰的情况下使用XFRM。struct net。
IPSec手动创建隧道
redwingz的博客
05-21 4083
网络拓扑 |-------------------| |-------------------| | | | | | 192.168.1.115 | <---------> | 192.168.1.142 | ...
XFRM-IPsec内核实现框架
wq897387的专栏
03-20 5554
XFRM是个传输数据包(比如加密载荷payloads)的IP层框架。这个框架被用来实现IPsec协议套件(Security Association Database 和 Security Policy Database)。也可以被用来压缩IP层载荷payload。 IPsec is implemented by the XFRM (pronounced “transform”) framework, originated in the USAGI project, which aimed at pro
网络安全之IPSEC路由基本配置
qq_57289939的博客
05-06 4108
R1]display ipsec proposal --- 查询配置IPSEC
IPSec NAT穿越静态配置和问题
redwingz的博客
05-22 3372
网络拓扑 |-------------------| |-------------------| | | | | | 192.168.1.115 | <---------> | 192.168.1.142 | | ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值