Linux 内核中的 IPsec - 如何弄清楚发生了什么

Question

我正在为微控制器编写一个 IPsec 实现，我想使用运行 Debian Lenny 的标准 Linux 盒子来测试它。两个设备都应在隧道模式下使用 IPsec ESP 来保护它们之间的通信。这些按键是使用 setkey 手动设置的。处理 IPsec 数据包时不涉及（或至少不应该）用户空间程序。现在我想看看 Linux 内核如何处理我创建的数据包。为了查看原始数据包，我使用 tcpdump 捕获它们，并使用 wireshark 分析它们。

• 获取有关 IPsec 处理的调试信息的最佳方法是什么？
• 如何判断数据包是否被内核接受？
• 如何查看丢包原因？

Answer 1

您可以检测 XFRM（或者可能是 ipv4/esp.c）内核代码，以便在正确的位置打印出调试消息。

例如，在 net/ipv4/esp.c 中，存在一个函数 esp_input()，它有一些错误情况，但您会发现最有趣的东西在xfrm/*.c 代码。

也就是说，我在自定义 IPSec 与 Linux 的互操作方面没有遇到问题。遵循 43xx 规范并通过wireshark验证数据包是否正确输出似乎效果很好。如果您遇到问题并且不想检测内核，那么您可以设置 iptables 规则并计算每个点的（各种类型）数据包的数量。

最后，确保您实际上已添加安全策略 (SP) 和安全关联 (SA) 并正确设置防火墙规则。