Author:caotong
Date:2019-01-02
Version:1.0
如下图,业务场景可以分为两类:
| 消息名 | 功能定义 |
|---|---|
| XFRM_MSG_ALLOCSPI | 获取SPI |
| XFRM_MSG_NEWSA | 新建SA |
| XFRM_MSG_UPDSA | 更新SA |
| XFRM_MSG_GETSA | 获取SA |
| XFRM_MSG_DELSA | 删除SA |
| XFRM_MSG_FLUSHSA | 清空SA |
| XFRM_MSG_GETSPDINFO | 获取SPD信息 |
| XFRM_MSG_NEWPOLICY | 新建安全策略 |
| XFRM_MSG_UPDPOLICY | 更新安全策略 |
| XFRM_MSG_GETPOLICY | 获取安全策略 |
| XFRM_MSG_DELPOLICY | 删除安全策略 |
| XFRM_MSG_FLUSHPOLICY | 清空安全策略 |
| 消息名 | 功能定义 |
|---|---|
| XFRM_MSG_ACQUIRE | ??? |
| XFRM_MSG_EXPIRE | CHILD_SA超时 |
| XFRM_MSG_MIGRATE | CHILD_SA热迁移 |
| XFRM_MSG_MAPPING | NAT端口关系改变 |
POLICY也有与CHILD_SA同样的超时机制,strongswa那种没有处理这个消息。
消息类型为:XFRM_MSG_POLEXPIRE。同样分HARD和SOFT。
着重分析两个消息过程:EXPIRE,ACQUIRE。
linux.git/net/xfrm/xfrm_user.cstatic struct xfrm_mgr netlink_mgr = {
.id = "netlink",
.notify = xfrm_send_state_notify,
.acquire = xfrm_send_acquire,
.compile_policy = xfrm_compile_policy,
.notify_policy = xfrm_send_policy_notify,
.report = xfrm_send_report,
.migrate = xfrm_send_migrate,
.new_mapping = xfrm_send_mapping,
};xfrm_policy.c::xfrm_policy_timer()分为hard和soft两个触发逻辑
xfrm_state.c::xfrm_timer_handler()同样分为hard和soft两个触发逻辑。
实现逻辑的代码:
xfrm_state.c::xfrm_state_check_expire()在数据包的input和output两个地方进行检查:
xfrm_input.c::xfrm_input()
xfrm_output.c::xfrm_output_one()目前还没搞懂,到底是干嘛的。
xfrm_state.c::xfrm_state_find()
xfrm_state.c::km_query()[ipsec][strongswan] strongswan源码分析-- (三) xfrm与strongswan内核接口分析
原文:https://www.cnblogs.com/hugetong/p/11143374.html