Linux IPSec传输模式，仅带AH

Question

我计划与公共VPS提供商托管我的web应用程序基础设施。由于VPS主机的私有网络可由他托管的所有VPS访问，并且许多基础架构组件没有任何类型的访问控制/身份验证，因此我需要将我的VPS与其他VPS隔离，只让我的VPS在它们之间连接。我也需要这是透明地做尽可能少的开销。我不需要隐私和加密。

我发现只有AH和共享密钥的IPsec可以做到这一点，但我希望这样的设置可以在任何数量的主机/VPS上工作。我不想为虚拟网络中的每个可能的对定义共享密钥，并且我的虚拟网络应该扩展到知道共享密钥的所有VPS/主机。

在Linux内核中使用当前的IPSec实现可以做到这一点吗？

网站上的任何教程/操作指南的链接都会很有帮助！

Answer 1

请查看传输模式下的ESP，因为不推荐使用AH，并且现代实现可能不支持AH。

与AH类似，您可以使用仅带身份验证和空加密的ESP。

• http://www.unixwiz.net/techtips/iguide-ipsec.html
• http://www.networksorcery.com/enp/protocol/esp.htm

要建立IPSec配置，您可以查看IPSec-tools：http://ipsec-tools.sourceforge.net/ -您将使用"setkey“命令来处理SAD和SPD：

• http://www.nbi.dk/cgi-bin/man2html?8+setkey
• http://www.ipsec-howto.org/x304.html

"-E null“(RFC2410)将为您提供空加密。使用"-A set“设置所需的身份验证。您可以指定范围策略来覆盖所有传入和传出流量。