strongwan sa分析(三)

目录

strongwan sa分析(三)
[TOC]

xfrm与strongswan内核接口分析
1. strongswan的实现

2. 交互机制
2.1 下发消息

2.2 接收消息

4. xfrm的消息通信的实现
4.1 EXPIRE

源码文件：

消息处理的关键函数

policy的超时由timer触发：

SA的超时
1. timer触发

2. 包与字节数触发

4.2 ACQUIRE

xfrm与strongswan内核接口分析

1. strongswan的实现

如下图，业务场景可以分为两类：

下发类的交互主要由包触发或用户配置动作触发。
消息类的交互主要由watcher监听socket，然后触发。

2. 交互机制

2.1 下发消息

消息名	功能定义
XFRM_MSG_ALLOCSPI	获取SPI
XFRM_MSG_NEWSA	新建SA
XFRM_MSG_UPDSA	更新SA
XFRM_MSG_GETSA	获取SA
XFRM_MSG_DELSA	删除SA
XFRM_MSG_FLUSHSA	清空SA
XFRM_MSG_GETSPDINFO	获取SPD信息
XFRM_MSG_NEWPOLICY	新建安全策略
XFRM_MSG_UPDPOLICY	更新安全策略
XFRM_MSG_GETPOLICY	获取安全策略
XFRM_MSG_DELPOLICY	删除安全策略
XFRM_MSG_FLUSHPOLICY	清空安全策略

2.2 接收消息

消息名	功能定义
XFRM_MSG_ACQUIRE	???
XFRM_MSG_EXPIRE	CHILD_SA超时
XFRM_MSG_MIGRATE	CHILD_SA热迁移
XFRM_MSG_MAPPING	NAT端口关系改变

POLICY也有与CHILD_SA同样的超时机制，strongswa那种没有处理这个消息。

消息类型为：XFRM_MSG_POLEXPIRE。同样分HARD和SOFT。

4. xfrm的消息通信的实现

着重分析两个消息过程：EXPIRE，ACQUIRE。

4.1 EXPIRE

源码文件：

linux.git/net/xfrm/xfrm_user.c

消息处理的关键函数

static struct xfrm_mgr netlink_mgr = {

	.id		= "netlink",

	.notify		= xfrm_send_state_notify,

	.acquire	= xfrm_send_acquire,

	.compile_policy	= xfrm_compile_policy,

	.notify_policy	= xfrm_send_policy_notify,

	.report		= xfrm_send_report,

	.migrate	= xfrm_send_migrate,

	.new_mapping	= xfrm_send_mapping,

};

policy的超时由timer触发：

xfrm_policy.c::xfrm_policy_timer()

SA的超时

1. timer触发

分为hard和soft两个触发逻辑

xfrm_state.c::xfrm_timer_handler()

2. 包与字节数触发

同样分为hard和soft两个触发逻辑。

实现逻辑的代码：

xfrm_state.c::xfrm_state_check_expire()

在数据包的input和output两个地方进行检查：

xfrm_input.c::xfrm_input()

xfrm_output.c::xfrm_output_one()

4.2 ACQUIRE

目前还没搞懂，到底是干嘛的。

xfrm_state.c::xfrm_state_find()

xfrm_state.c::km_query()

巴特西

[ipsec][strongswan] strongswan源码分析-- (三) xfrm与strongswan内核接口分析