CentOS 怎么让 Strongswan IPSec 开机自动启动

Posted 2023-03-19

参考技术A 首先用which ipsec查看ipsec所在的路径，然后将ipsec(含路径名) start写到/etc/rc.local的最后一行。简单的说一句话，将：/usr/local/sbin/ipsec start加入到/etc/rc.local 参考技术B /etc/rc.d/rc.local最后加入 /usr/local/libexec/ipsec/charon & 参考技术C 把启动命令追加到 /etc/rc.local的最后一行

strongswan怎么获取策略

二叉排序树
Linux内核l2tp源码分析,[ipsec][strongswan] strongswan源码分析-- (三) xfrm与strongswan内核接口分析...

单鹏昊 设计制造
转载
关注
0点赞·581人阅读
strongwan sa分析(三)

[TOC]

xfrm与strongswan内核接口分析

1. strongswan的实现

如下图，业务场景可以分为两类：

下发类的交互主要由包触发或用户配置动作触发。

消息类的交互主要由watcher监听socket，然后触发。

2. 交互机制

2.1 下发消息

消息名

功能定义

XFRM_MSG_ALLOCSPI

获取SPI

XFRM_MSG_NEWSA

新建SA

XFRM_MSG_UPDSA

更新SA

XFRM_MSG_GETSA

获取SA

XFRM_MSG_DELSA

删除SA

XFRM_MSG_FLUSHSA

清空SA

XFRM_MSG_GETSPDINFO

获取SPD信息

XFRM_MSG_NEWPOLICY

新建安全策略

XFRM_MSG_UPDPOLICY

更新安全策略

XFRM_MSG_GETPOLICY

获取安全策略

XFRM_MSG_DELPOLICY

删除安全策略

XFRM_MSG_FLUSHPOLICY

清空安全策略

2.2 接收消息

消息名

功能定义

XFRM_MSG_ACQUIRE

???

XFRM_MSG_EXPIRE

CHILD_SA超时

XFRM_MSG_MIGRATE

CHILD_SA热迁移

XFRM_MSG_MAPPING

NAT端口关系改变

POLICY也有与CHILD_SA同样的超时机制，strongswa那种没有处理这个消息。 消息类型为：XFRM_MSG_POLEXPIRE。同样分HARD和SOFT。

4. xfrm的消息通信的实现

着重分析两个消息过程：EXPIRE，ACQUIRE。

4.1 EXPIRE 参考技术A 通过开福利礼包获取策略。福利礼包得来的途径是进入游戏官网，每天签到，连续七日签到，用签到积分可以换到福利礼包。