linux - 仅使用 AH 的 Linux IPSec 传输模式

Question

我计划通过公共 VPS 提供商托管我的网络应用基础设施。由于与他一起托管的所有 VPS 都可以访问 VPS 主机的专用网络，并且由于许多基础架构组件没有任何类型的访问控制/身份验证，因此我需要将我的 VPS 与其他 VPS 隔离，并且只让我的 VPS 在它们之间连接他们自己。我还需要以尽可能少的开销透明地完成此操作。我不需要隐私和加密。

我发现只有 AH 和共享密钥的 IPsec 可以做到这一点，但我希望这样的设置可以与任意数量的主机/VPS 一起使用。我不想为虚拟网络中的每个可能对定义共享密钥，并且我的虚拟网络应该扩展到所有知道共享密钥的 VPS/主机。

这可以通过 Linux 内核中当前的 IPSec 实现来完成吗？

任何指向网络上的教程/操作方法的链接都非常有用！！

Answer 1

请查看传输模式下的 ESP，因为不建议使用 AH，并且现代实现可能不支持。

您可以将 ESP 与仅身份验证和 NULL 加密一起使用，类似于 AH。

• http://www.unixwiz.net/techtips/iguide-ipsec.html
• http://www.networksorcery.com/enp/protocol/esp.htm

要建立 IPSec 配置，您可以查看 IPSec 工具： http: //ipsec-tools.sourceforge.net/ - 您将使用“setkey”命令来玩 SAD 和 SPD：

• http://www.nbi.dk/cgi-bin/man2html?8+setkey
• http://www.ipsec-howto.org/x304.html

“-E null”（RFC 2410）将为您提供空加密。使用“-A please”设置所需的身份验证。您可以指定范围策略以涵盖所有传入和传出流量。