我知道两者都是 Linux 内核中的 IPSEC 堆栈,并且 KLIPS 较旧,而 Netkey 较新,但除此之外,我没有找到它们的其他文档。我想知道它们之间真正的技术差异。有没有人可以告诉我区别或分享一些文档来源?
任何帮助,将不胜感激。
问问题
9287 次
2 回答
6
从 shdobxr 链接的文章中,关于 KLIPS 和 Netkey 之间差异的最相关部分似乎如下:
当您应用防火墙 (iptables) 规则时,KLIPS 是更简单的情况,因为使用 KLIPS,您可以识别 IPsec 流量,因为该流量通过 ipsecX 接口。将 iptables 规则应用于这些接口的方式与将规则应用于其他网络接口(例如 eth0)的方式相同。
使用 NETKEY 时,应用防火墙 (iptables) 规则要复杂得多,因为流量不流经 ipsecX 接口;一种解决方案是在 Linux 内核中使用 iptables 标记数据包(使用 setmark iptables 规则)。这个标记是内核套接字缓冲区结构的成员(struct sk_buff,来自Linux内核网络代码);数据包的解密不会修改该标记。
写于 2014 年,所有 linux 发行版现在都应该带有支持 KLIPS 和 Netkey 的内核。
于 2014-08-30T10:09:42.483 回答
5
于 2014-01-29T16:15:55.197 回答