ip xfrm policy配置IPsec (Internet Protocol Security) 策略的命令
ip xfrm policy是 Linux 系统中用于配置 IPsec (Internet Protocol Security) 策略的命令,属于 iproute2工具集的一部分。它用于定义哪些流量需要被 IPsec 加密或保护,以及如何处理这些流量(例如加密、丢弃或绕过)。
基本概念
- 1.
XFRM (Transform Framework)
Linux 内核中用于管理 IPsec 的子系统,负责处理安全策略(SP)和安全关联(SA)。
- 2.
Policy (策略)
定义流量的匹配规则(如源/目的 IP、端口等),并指定匹配的流量应该执行的操作(如加密、丢弃或绕过)。
常用命令格式
核心参数解释
1. SELECTOR(匹配条件)
- •
src <IP/CIDR>: 源 IP 地址范围。 - •
dst <IP/CIDR>: 目的 IP 地址范围。 - •
proto <tcp/udp/icmp等>: 协议类型。 - •
sport <端口>: 源端口。 - •
dport <端口>: 目的端口。 - •
dir <in|out|fwd>: 流量方向(入站/出站/转发)。
2. ACTION(动作)
- •
allow: 允许流量通过(可结合 IPsec 加密)。 - •
discard: 丢弃流量。 - •
bypass: 绕过 IPsec 处理(明文传输)。
3. OPTIONS(附加配置)
- •
tmpl <模式>: 指定 IPsec 模式(如esp、ah)及加密参数。- •
示例:
tmpl src <网关IP> dst <网关IP> proto esp spi <SPI值>
- •
- •
priority <值>: 策略优先级(数值越小优先级越高)。 - •
index <ID>: 策略的唯一标识符(用于更新或删除)。
示例场景
1. 添加出站加密策略
- •
解释:来自
192.168.1.0/24发往10.0.0.0/24的出站流量,使用 ESP 协议加密,SPI 值为0x12345678。
2. 添加入站解密策略
- •
解释:来自
10.0.0.0/24发往192.168.1.0/24的入站流量,需解密(SPI 值需与对端匹配)。
3. 删除策略
4. 查看所有策略
注意事项
- 1.
SPI (Security Parameter Index)
必须与对端设备配置一致,否则 IPsec 协商会失败。
- 2.
策略方向 (
dir)- •
out: 本地发出的流量。 - •
in: 本地接收的流量。 - •
fwd: 经本机转发的流量。
- •
- 3.
优先级冲突
如果多条策略匹配同一流量,优先级高的策略生效(数值越小优先级越高)。
- 4.
与
ip xfrm state的关系- •
policy定义“哪些流量需要处理”。 - •
state定义“如何处理流量”(如加密算法、密钥等)。
- •
典型用途
- •
配置 VPN 隧道(如站点到站点 VPN)。
- •
保护特定主机或子网之间的通信。
- •
实现流量过滤与安全隔离。
如果需要更复杂的配置(如动态密钥交换),通常需要结合 StrongSwan 或 Libreswan 等工具。
浙公网安备 33010602011771号