我们使用 strong-swan 创建了 Ipsec 隧道,如下所示,
服务器(eth 接口 - 13.13.7.13)--> clinet(eth 接口 - 13.13.7.18)
当 ikev2 phase1 和 phae2 消息交换发生时,源 IP 和目标 IP 与分配给 eth 接口的 IP 地址相同。(通过wire-shark确认)。并且ISAKMP消息交换已经成功完成。
1)当我开始在客户端和服务器之间通过 SCP 协议传输数据时,我注意到 ESP 和 SSH 数据包。其中 ESP 数据包只有序列号但没有加密的有效负载,而 SSH 数据包具有加密的有效负载。但根据 Ipsec 协议,数据应在 ESP 协议本身中加密。为什么 ESP 数据包中没有有效载荷信息?
FI:我注意到 ISAKMP 交换后连续的 ESP 数据包(协商和身份验证完成)
SSH 和 ESP 数据包如下所示:
**SSH Protocol**
SSH Version 2 (encryption:chacha20-poly1305@openssh.com mac:<implicit> compression:none)
Packet Length (encrypted): e78d1cd9
Encrypted Packet: 9679398c167c33ca6c1eecc4879e59d417b39545c80b0e40...
MAC: 27b594b6290dcdf3a09fd2fb84884cd7
**ESP Protocol**
Encapsulating Security Payload
ESP SPI: 0xc86cb75d (3362568029)
ESP Sequence: 19