安全的东西就是很麻烦的东西,坐下总结。(linux ipsec howto ,这里讲的很基本了)
1. ipsec 协议(ah,esp) 网上资料多的一天也看不完
2. 调试了一下 host2host的 transport 传输协议(协议套协议很容易迷惑,不知道人都怎么想的。像链路层的分组就叫frame(帧),ip的分组就是 packet (包),tcp就是segment,nnd,这些人没事干,竟会搞这么多枷锁)
3. 关于真正的ipsec包传输,是需要sa的(security 会话的那个单词 a开头的),这个是关于上面ah,esp具体加密和认证相应算法的会话规定。 由于沟通是双向的,因此每一个协议需要2个sa。如果你哟你过了ah,和esp则需要4个sa的 定义。 那么关于这个sa的集合,可以白痴的认为sad。d是data,database。
4. 按照sa的标准进行通讯,则2host则能够用相同的会话标准进行通讯了。
5. 因为需要让系统知道 谁跟谁传输的时候需要用ipsec,然后去寻找相应的sa标准去传输。那么需要加入sp(security policy)策略。这个策略既是通知os。同样spd你知道了。
6.由于指定sa 是相对烦琐的, 而且2边系统的sa指定稍微不一致,则通讯是不可能的。(对于2台相同os的host,则感觉还是很方便的,至少不用去考虑os之间对一些概念的叙述的差异性,和配置的差异性)
7.ipsec-tools 里的racoon可以和其他os的ike服务进行协商sa。这是方便了你不再需要配置sa。但你需要配置ike的协议了。。
一个新的internet key exchange 协议又出来了。。令人恶心的事还会发生。
关于具体查资料ok
8. 这个dd需要2个步骤的具体操作才可以生成最后ipsec的sa。 之所以2个步骤,咱是想不通了,毕竟这是有数学头脑的人干的。我可不想死的太早。 第一个根据预先定义的密钥或者认证来认证和生成 第二步的sa。
第二步 根据第一步生成的sa,再沟通协商生成ipsec 传输的(ah,esp)的sa。
既然人家引入安全了,就得做到最安全,这么做应该是有道理的。
关于N多个什么什么算法,那可是太多了。。
9.你可以想象关于racoon配置一点错误,你还是一样得不到最终的通讯效果。
例如winxp的ike的服务和racoon的配置差异很大。你需要细细的琢磨
linux: man racoon.conf
windows: 控制面按-》管理工具-》本地策略
阅读(970) | 评论(0) | 转发(0) |
