完全在用户态实现IPSec VPN

IPSec的复杂性之一在于它和内核协议栈实现高度相关,造成升级和管理的不便,如果能在用户态实现IPSec,那么所有的客户端就可以使用这种用户态的IPSec了。
需要特别注意的是,如果你拥有一台IPSec硬件网关,那么不考虑NAT穿越的情况下其实IPSec也是很不错的,IPSec的困难在于客户端,特别是PC上或者中等服务器上的客户端,如果使用用户态的IPSec,那么IPSec起码能和OpenVPN一样好,比OpenVPN好的就是能和IPsec对端进行无缝衔接。其次你要知道,IPSec分为两大部分,第一部分是密钥协商和安全认证相关的,这部分都是在用户态实现的,比如racoon。第二部分是封装协议,这部分一般都在内核实现,比如使用Netfilter,或者xfrm。
完全可以通过两个虚拟网卡来实现用户态的IPsec,这样IPSec的部署将简化很多,和内核协议栈彻底脱离干系。并且由于在用户态实现,IPSec使用的协议也会灵活很多,如果需要和远端的IPSec网关无缝衔接,那么必要的是实现IKE和ESP/AH等协议,IKE的开源实现已经很多了,那么需要做的仅仅是封装ESP/AH了。如果不需要兼容ESP/AH,那么完全可以实现自己的封装,甚至只用GRE或者IPIP封装都可以,当然,你可以自定义任何自己的协议,很方便,很灵活。然而如果使用自定义的协议,修改一边就不妥了,对端也要支持这个自定义的封装协议才行,有两个方式可用,第一就是在对端加载内核模块,使用内核的方式进行支持,在linux上无非就是注册一个协议而已,当然你也可以用netfilter实现;另外一种方案就是和客户端一样,也使用用户态的实现。
那么,到底如何实现呢?由于时间关系,我的代码只调通了一半,但是思路很清晰,那就是使用af_packet套接字直接写IP封装后的以太帧,IP上层用ESP封装。当然也可以使用raw套接字。不管怎么说,下面这个图应该可以表达一些信息:

用户态实现IPSec的要点有两点,其一是TUN虚拟网卡的活用,其二是af_packet/raw套接字的使用。

标签: 无
返回文章列表 文章二维码
本页链接的二维码
打赏二维码