我们使用strong-swan创建了Ipsec隧道,如下所示,
服务器(ETH 接口 - 13.13.7.13( --> clinet(ETH 接口 - 13.13.7.18(
当 IKEV2 阶段 1 和 phae2 消息交换发生时,源 IP 和目标 IP 与分配给 ETH 接口的 IP 地址相同。(通过Wire-Shark确认(。并且ISAKMP消息交换已成功完成。
1(当我开始通过SCP协议在客户端和服务器之间传输数据时,我注意到ESP和SSH数据包。 其中 ESP 数据包只有序列号但没有加密的有效负载,SSH 数据包具有加密的有效负载。但根据 Ipsec 协议,数据应该在 ESP 协议本身中加密。为什么 ESP 数据包中没有有效负载信息?
FI:我注意到ISAKMP交换后连续的ESP数据包(协商和身份验证完成(
SSH 和 ESP 数据包如下所示:
**SSH Protocol**
SSH Version 2 (encryption:chacha20-poly1305@openssh.com mac:<implicit> compression:none)
Packet Length (encrypted): e78d1cd9
Encrypted Packet: 9679398c167c33ca6c1eecc4879e59d417b39545c80b0e40...
MAC: 27b594b6290dcdf3a09fd2fb84884cd7
**ESP Protocol**
Encapsulating Security Payload
ESP SPI: 0xc86cb75d (3362568029)
ESP Sequence: 19
ESP 有效负载理想情况下不会直接在 wireshark 中可见,您需要通过提供隧道 SPI、端点 IP、enc/auth 密钥等在 wireshark 工具中启用 ESP 首选项,如 wiki 中所述。