ipsec-tool翻译.docVIP

Linux 下 IPsec-tools的使用 Ipsec-tools有人工和自动两种方式来管理SA。 Manual keyed connections using setkey 所有连接所需的参数均由管理员提供。不使用IKE协议来自动认证对端和协商参数。管理员来决定用哪个协议、算法和密钥来创建安全联盟。 Transport Mode 使用Setkey命令可以修改SAD和SPD中存储的所有参数。Setkey -f /etc/setkey.conf表示从setkey.conf文件中读取命令。 一个可能的/etc/setkey.conf文件如下： #!/usr/sbin/setkey -f # Configuration for 00 # Flush the SAD and SPD flush; spdflush; # Attention: Use this keys only for testing purposes! # Generate your own keys! # AH SAs using 128 bit long keys add 00 00 ah 0x200 -A hmac-md5 0xc0291ff014dccdd03874d9e8e4cdf3e6; add 00 00 ah 0x300 -A hmac-md5 0x96358c90783bbfa3d7b196ceabe0536b; # ESP SAs using 192 bit long keys (168 + 24 parity) add 00 00 esp 0x201 -E 3des-cbc 0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831; add 00 00 esp 0x301 -E 3des-cbc 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df; # Security policies spdadd 00 00 any -P out ipsec esp/transport//require ah/transport//require; spdadd 00 00 any -P in ipsec esp/transport//require ah/transport//require; 脚本首先刷新SAD和SPD。然后创建AH SAs和ESP SAs。Add命令添加一个安全联盟到SAD，说明源和目的IP地址，IPsec 协议(ah),SPI(0x200)和算法。认证算法用-A表示，加密用-E,压缩用-C；IP 压缩现在并未提供支持。算法后要 提供密钥。可以以ASCII或0x十六进制的格式。 Linux对AH和ESP支持以下算法：hmac-md5和hmac-sha,des-cbc和3des-cbc。在短期内以下算法可能被支持：simple(no encryption),blowfish-cbc,aes-cbc,hmac-sha2-256和hmac-sha2-512。 Spdadd向SPD中添加安全策略。这些策略指定哪些数据包将被IPsec保护以及将使用哪种协议和密钥。命令需要数据包的源和目的地址，协议(和端口)和使用的策略(-P)。策略指出方向(in/out)，采用何种方式(ipsec/discard/none)， 协议(ah/esp/ipcomp),传输模式(transport)和level(use/require)。 IPsec通信的双方都需要创建配置文件。一旦配置完成可以使用setkey -f /etc/setkey.conf来载入。测试和显示是否配置成功： # setkey -D # setkey -DP Tunnel Mode 当通信双方使用IPsec作为网关或者保护两个网络之间的通信时采用隧道模式。一个网关把原始IP数据包加密并封装再传给它的对端。对端将解封并传送原始未保护的数据包。 隧道模式中SA和SP的配置与传输模式相似。 #!/usr/sbin/setkey -f # Flush the SAD and SPD flush; spdflush; # ESP SAs doing encryption using 192 bit long keys (168 + 24 parity) # and authentication using 128 bit long keys add 00 00 esp 0x201 -m tunnel -E 3des-cbc 0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831 -A hmac-md5 0xc0291ff014dccdd03874d9e8e4cd