在Linux中 ipsec.d 什么意思?

什么是 IPsec？

IPsec 是 虚拟私密网络（VPN） 的一种，用于在服务器和客户端之间建立加密隧道并传输敏感数据之用。它由两个阶段组成，第一阶段（Phrase 1, ph1），交换金钥建立连接，使用互联网金钥交换（ike）协议第二阶段（Phrase 2, ph2），连接建立后对数据进行加密传输，使用封装安全载荷（esp）协议。参考：维基百科 IPsec 词条。

其中，第一阶段和第二阶段可以使用不同的加密方法（cipher suites）。甚至，第一阶段 ike 协议的第一版（ikev1）有两种模式，主力模式（main mode）和积极模式（aggressive mode），主力模式进行六次加密握手，而积极模式并不加密，以实现快速建立连接的目的。

第一阶段的 ike 协议有两个版本（ikev1/ikev2），不同的开源/闭源软件实现的版本均不同，不同的设备实现的版本也不同。再联系到第一阶段/第二阶段使用的各种不同加密方法，使得 IPsec 的配置有点黑魔法的性质，要么完全懂，通吃要么完全不懂，照抄。

设备/ *** 作系统规格

这里主要介绍了设备/ *** 作系统使用的 ike 版本及其特殊要求。

Linux

命令行客户端就是 strongswan 本身，因此完美兼容，支持 ikev1/ikev2 和所有加密方法的连接。因此如果用户只使用 Linux 命令行客户端，不使用各种移动设备也不使用 Windows，那么完全没有那么多事。

但 Linux 的图形界面客户端 NetworkManager-strongswan 目前只支持 ikev2 连接，必须使用证书或 EAP （各种加密方法都支持，包括微软的 MSCHAPv2）进行认证，不支持纯密码（PSK）认证。这并不是 strongswan 的错误，或者技术不行（开源总是走在技术最前沿的，毕竟命令行是支持的），而仅仅是体现一种选择：ikev1 被 strongswan 项目认为是该淘汰的协议，而 PSK 加密被认为是非常不安全的。参考 strongswan 维基 NetworkManager 词条。

Android

Android 和 Linux 不一样，只支持 ikev1。其它方面和 Linux 一样，甚至有好多种 IPsec VPN 配置模式可供选择。

iOS/Mac OS X

它们声明使用的 IPsec 客户端为 Cisco，实际为自己修改的 racoon。它只支持 ike 协议的第一版即 ikev1，可以使用证书或纯密码（PSK）认证，但必须辅之 xauth 用户名/密码认证。

该修改版的 racoon 会优先使用不加密的积极模式，而积极模式是 strongSwan 所不支持的。所以要使用主力模式。

iOS 6 还有一个「衔尾」故障：它在第一阶段握手时会把数据包拆分成小块（fragmentation），然后「加密」发送。然而这种加密仅仅是声明的，其实并未加密，这就导致 strongSwan 及其它标准服务器端/Cisco 设备无法解密。另外 ikev1 的 fragmentation 插件是闭源的。开源服务器端无法对这些小块进行重组。参考：Cisco VPN stop working after upgrading to IOS 6

Internet密钥交换协议(IKE)是用于交换和管理在VPN中使用的加密密钥的.到目前为止,它依然存在安全缺陷.基于该协议的重要的现实意义,简单地介绍了它的工作机制,并对它进行了安全性分析对于抵御中间人攻击和DoS攻击,给出了相应的修正方法还对主模式下预共享密钥验证方法提出了新的建议最后给出了它的两个发展趋势:JFK和IKEv2. Internet key exchange (IKE) is the protocol used to set up a security association in the IPsec protocol suite, which is in turn a mandatory part of the IETF IPv6 standard, which is being adopted (slowly) throughout the Internet. IPsec (and so IKE) is an optional part of the IPv4 standard. But in IPv6 providing security through IPsec is a must. Internet密钥交换（IKE）解决了在不安全的网络环境（如Internet）中安全地建立或更新共享密钥的问题。IKE是非常通用的协议，不仅可为IPsec协商安全关联，而且可以为SNMPv3、RIPv2、OSPFv2等任何要求保密的协议协商安全参数。 IKE属于一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上，沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术，还定义了它自己的两种密钥交换方式：主要模式和积极模式。 IKE （艾克）美国五星上将 德怀特·戴维·艾森豪威尔[1](Dwight David Eisenhower昵称

ikev2，即互联网密钥交换协议，与ss的主要区别如下：

一、性质不同

1、ikev2：由互联网工程任务组（IETF）在IKEv1协议的基础上，对协议的自动密钥协商和安全性进行改进更新，并于2014年以RFC 7296的形式发布。

2、ss：ss是一个计算机术语，有多个含义，一是软交换（softswitch）；二是堆栈段寄存器（Stack Segment）；三是慢启动（slowstart）。

二、作用不同

1、ikev2：解决在互联网环境下的密钥协商问题。

2、ss：通过一套基于PC服务器的呼叫控制软件（Call Manager、Call Server），实现PBX功能（IP PBX）。

三、应用不同

1、ikev2：主要应用在IPsec协议族中建立安全关联（SA）问题。

2、ss：作为堆栈段寄存器，用于存放堆栈段地基值。

参考资料来源：

百度百科-ss

百度百科-IKE （网络密钥交换协议）

---