赞
踩
XFRM – IPsec协议的内核实现框架
首先网上的两篇文章很好
1.https://blog.csdn.net/chenmo187J3X1/article/details/101794624?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param
2.https://blog.csdn.net/wind_rabbit/article/details/8181830?utm_source=blogxgwz2
看了这两篇文章,基本上会对XFRM或IPSEC有了很好的理解。
但是这两篇文章里面有个问题,我觉得需要在这里澄清下,不然老百姓会一头雾水。
接收数据时,如果是TCP UDP,那么要先查询路由,然后看是发往本地还是转发。
如果是ESP隧道模式数据呢,是先查路由再解密 还是先解密再查路由呢?
这两篇文章都没说清楚。
今天我们就来研究下此问题。(结论是先查路由再解密)(查路由之前 协议解析肯定都是没做的)
首先一个概念:
隧道模式中,“内部”IP头装载最终的源和目的地址,而“外部”IP头可
能包含不同的IP地址,例如安全网关地址。
所以网关收到的ESP ,如果按照外层IP解析,都是发往本地的。
接收数据
skb_buff PRE点(skb_buff加密)->路由查询,只能是本地数据 -> XFRM四层协议处理 ->再次回到PRE点处理(skb_buff已经解密)->根据路由转发/本地接收
发送数据如别的图
转发数据与发送数据图差不多.转发数据是 ip_forward–>xfrm4_route_forward–>xfrm_lookup
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。