繼主流價位的無雙/無畏系列再獲好評之后,華碩近期又推出了全新的靈耀系列。在“華碩好屏”概念的驅動下,全新的靈耀系列帶來了13.3英寸OLED屏的靈耀X 13,它是目前最為輕便的OLED屏筆記本,并且還升級了AMD銳龍6000系列處理器,這讓我覺得我的錢包是又要保不住了。
靈耀X 13究竟怎么樣?閑話不多說,評測見真章。
01 1kg超輕量化設計 只有A4紙大小
開箱靈耀X 13的第一印象就是輕便。機身薄至14.9mm,重量只有1kg,尺寸僅為一張A4紙大小,所以放到挎包里或者即便是手持,都相當便于攜帶。
該系列擁有夜藍、瓷青兩種配色,筆者拿到的評測機型為夜藍。鋁鎂合金機身兼顧美觀與耐用,并且通過了MIL-STD 810H軍工認證,在耐跌落、振動、高溫、低溫、高濕、高海拔等測試中表現出色。
其整體設計簡約干練,A面設計有靈耀系列的“小A”圖標,下方印有“ASUS Zenbook”標識。
02 2.8K分辨率OLED屏加持 還原真實色彩
掀開屏幕,13.3英寸89%高屏占比屏幕帶來富有沉浸感的視覺體驗,2.68mm nanoedge超窄邊框設計同時也提升了整機顏值。
基于“華碩好屏”概念,靈耀X 13為用戶提供了2.8K 16:10 OLED HDR屏幕,2880×1800分辨率,1,000,000:1對比度、0.2ms響應時間,通過了 VESA DisplayHDR?600 True Black認證和 PANTONE? 認證,顯示效果更加細膩。并且通過華碩管家控制軟件提供了色域切換功能,用戶可以在原生色域、sRGB色域、DCI-P3色域和Display P3色域之間切換。
通過蜘蛛校色儀實測可以看到,靈耀X 13屏幕色域容積為:100% sRGB(實際超過100%,因為蜘蛛校色儀最高顯示為100%),94% AdobeRGB、100% P3以及93% NTSC。色域容積更大,顯示的色彩層次更加細膩。
而通過VESA DisplayHDR Test軟件測試可以看到,這塊屏幕支持HDR600,峰值亮度達到616nits。
色準方面,sRGB色域模式下,ΔE平均值為1.35;P3色域模式下,ΔE平均值為1.24,均達到了準專業級顯示器的水準。色彩顯示的偏離度極低,可以很好地還原真實色彩表現。
sRGB模式色準
Display P3模式色準
靈耀X 13這塊屏幕同樣是通過了PANTONE專業色彩認證以及德國萊茵TüV認證,具備出色的顯示效果和低藍光特性,同時在HDR模式下支持全亮度DC調光,為用戶帶來出色視覺體驗的同時,可有效降低有害藍光對用戶視力的損傷。
此外,靈耀X 13擁有出色的音效體驗。它內置2×6W Smart AMP音頻系統、哈曼卡頓專家認證音效、支持杜比全景聲,配合DCI-P3或Display P3這樣的電影級色域模式,疊加HDR,可以為用戶帶來影院級別的視聽體驗。
靈耀X 13屏幕最大開合角度為180°,商務辦公用戶可以非常方便地將屏幕內容分享給其他人觀看,同時更大的開合角度也能滿足用戶使用筆記本支架時的屏幕角度調節需求,從而幫助用戶獲得更好的使用體驗。
03 3枚全功能TYPE-C接口 擴展無壓力
這款產品的屏軸也采用了比較“復古”的圓柱形設計,整個屏軸表面采用了拋光處理,屏軸左右兩側設計了同心圓紋理,所以有著獨特的光線反射效果。
極致輕薄化設計自然會在接口方面做一些妥協,不過靈耀X 13在左右兩側還是為用戶提供了3枚全功能USB-C 3.2 Gen 2接口,另外左側設計有出風口,右側則配置了1個3.5mm耳麥插孔。
04 簡約卻極具實用價值的C面設計
靈耀X 13整個C面設計也力求簡潔干練,而且為了給用戶帶來出色交互體驗,鍵盤采用了全尺寸ErgoSense背光鍵盤,按鍵之間留有19mm標準間距,有效防止高速輸入時的誤觸問題。
手感方面,這款鍵盤擁有1.4mm鍵程,鍵帽表面設計了0.2mm下凹弧面,手指放在鍵帽上時更加貼合。按鍵的彈性反饋非常明確,壓力克數較低,長時間辦公生產力輸入不會感覺到疲勞。比如筆者現在評測中碼的這些文字就是用靈耀X 13自帶鍵盤完成的,整體的輸入效率極高,手感也非常舒適。
此外,這款鍵盤支持三級背光亮度調節,可以有效緩解暗光環境下高亮度背光的刺眼感。
這款產品的電源鍵設置在鍵盤區域右上角,位于Delete鍵左側。它的按壓手感與鍵帽完全不同,時傳統電源鍵的按壓方式。電源鍵采用了銀色包邊設計,并且集成了指紋識別器,支持指紋開機直接進入系統,促進了指紋識別功能的使用率,同時也給用戶帶來了出色的安全性。
雖然是一款13.3英寸小尺寸機型,但靈耀X 13簡約的C面設計為腕托和觸控板留下了足夠大的空間,這一點對于便攜型筆記本來說非常重要。實際使用時,筆者的手腕能夠完全承托在腕托上,降低長時間輸入的疲勞感。而其觸控板面積達到5.9寸,操控手感舒適。其表面覆有一層磨砂玻璃,并且還可以通過右上角的觸控按鍵快速切換為虛擬數字鍵盤(NumberPad 2.0),彌補輕薄本沒有獨立數字鍵區的遺憾。
05 升級銳龍7 6800U處理器 效率再進一步
出色的便攜性與卓越的視覺觀感體驗之外,華碩靈耀X 13還第一時間升級了AMD銳龍6000系列處理器。本次評測機型搭載了銳龍7 6800U處理器,16GB DDR4內存,512GB PCIe 4.0固態硬盤,圖形性能則通過處理器自帶的AMD Radeon 680M集顯輸出。
AMD銳龍7 6800U處理器基于臺積電6nm FinFET制程工藝打造,采用8核16線程設計,擁有16MB三級緩存,基礎頻率為2.7GHz,加速頻率最高可達4.7GHz,cTDP為15-28W,并且支持PCIe 4.0和DDR5/LPDDR5內存。
相對于上一代銳龍7 5800U而言,銳龍7 6800U在基礎頻率上提升了0.8GHz,加速頻率提升0.3GHz,制程工藝由7nm變為6nm,cTDP略有增長,集顯的核心數量由8個提升為12個,而處理器核心數/線程數和緩存容量沒有變化。接下來通過各類常規測試軟件,看看銳龍7 6800U在單核、多核、視頻編碼、物理渲染、壓縮/解壓縮方面的性能表現。
CPU-Z測試標準下,銳龍7 6800U處理器單核得分577,多核得分4515.3,性能表現滿足日常辦公應用需求是沒有任何問題的。
接下來再看CINEBENCH渲染測試,CINEBENCH R15測試標準下,單核得分228cb,多核得分1696cb;CINEBENCH R20測試標準下,單核得分561cb,多核得分3882cb;CINEBENCH R23測試標準下,單核得分1437pts,多核得分10000pts,單核和多核性能表現都達到了不錯的水準。
GeekBench 5測試標準中,銳龍7 6800U單核得分1425,多核得分7017,總體來說雖然靈耀X 13設計非常纖薄,但處理器性能發揮還是達到了不錯水準。
視頻編碼測試方面,X264 Benchmark完成2500 frames編碼耗時1分01秒,幀率為40.69fps,編碼效率滿足普通的視頻剪輯沒有任何問題。
壓縮與解壓縮其實在日常應用中會頻繁涉及,不只是打包與解包,幾乎所有軟件后臺運行都會做壓縮與解壓縮的工作。通過7-Zip測試可以看到,完成10輪測試耗時僅90.078秒,總體評分為63.811GIPS,壓縮與解壓縮性能還是相當不錯的,畢竟銳龍7 6800U擁有實打實的8核16線程。
物理渲染性能測試還是以V-Ray渲染器測試為參考標準,實測其渲染量可以達到6325 vsamples,就低功耗U系列處理器而言,這一分數表現是相當出色的,說明這一代U系列處理器已經能夠完成較高負載的物理渲染任務了。
06 PCIe 4.0固態硬盤帶來出色的系統流暢度
存儲性能方面,華碩靈耀X 13搭載了16GB DDR4內存與512GB PCIe 4.0固態硬盤。
首先通過AIDA 64測試可以看到,其內存讀取速度39871MB/s,寫入速度48872MB/s,拷貝速度47282MB/s,延遲105.6ns。
硬盤方面,這塊512GB容量PCIe 4.0固態硬盤實測讀取速度6748.55MB/s,寫入速度3941.53MB/s,4K隨機讀取速度為57.36MB/s,寫入速度為149.63MB/s,從測試來看,這塊固態硬盤的順序讀寫性能達到PCIe 4.0固態硬盤的平均水準。
07 生產力效率極佳 卓越的移動辦公利器
華碩靈耀X 13作為一款極致輕薄的高性能生產力工具,它能帶給用戶怎樣的生產力辦公體驗呢?這里我們首先參考專業生產力性能評估軟件CrossMark的測試結果。
可以看到在CrossMark測試標準下,整體得分1481分,生產力得分1492分,創造力得分1517分,響應能力得分1347分,這些評分說明靈耀X 13具備高效的生產力應用效率,能夠輕松勝任日常辦公應用,可以較好的承擔視頻剪輯、圖片渲染、3D渲染等重負載應用任務。
另外在綜合性能方面我們也參考了PCMark 10測試:常用基本功能方面,包含Web瀏覽、視頻會議、應用程序啟動等得分為9584分,說明其完成基礎辦公應用沒有任何問題;生產力項目測試得分為9152分,表明其擁有高效的電子表格、文檔工作性能;數位內容創作方面,其評分達到7113分,說明其能夠非常高效地完成圖片、視頻、圖形渲染等工作;整體綜合得分為6126分。以其配置和評分來看,靈耀X 13是一款生產效率相當不錯的超便攜筆記本。
08 功耗釋放充分 續航能力不俗
華碩靈耀X 13無疑是一款追求極致便攜性的產品,那么其散熱與功耗是否能保持正常,就是其能否獲得成功的關鍵。這款產品在散熱系統方面進行了改良,單熱管+單風扇也能Hold住銳龍7 6800U功耗提升之后的散熱壓力,下面我們以實測結果來說話。
散熱測試需要明確測試環境的溫度,我們本次測試是在24.7℃室溫下進行的。
首先在AIDA 64 Stress CPU壓力測試下,處理器核心溫度87℃,功耗穩定在24.84W附近,頻率穩定在2.77GHz。從TDP釋放和核心溫度來看,靈耀X 13的散熱調校還是相當不錯的,在纖薄機身內讓處理器核心溫度保持在90℃以下,做到這一點并不容易。
Furmark GPU單烤機測試,GPU功耗滿狀態25.2W釋放,此時GPU溫度為83℃,散熱表現不錯。
續航方面,我們以PCMark 10辦公模式為參考,實測其續航時間為12小時26分鐘。測試時我們將電源模式設定在節能,華碩管家中調整為安靜模式,屏幕亮度70%,音量50%,Wi-Fi、藍牙全程開啟,能夠達到12小時以上的續航還是相當不錯的。當然這其中靈耀X 13標配的67Whr鋰電池功不可沒。
此外,這款機器也支持快充功能,充電10分鐘即可滿足2小時辦公應用,相當于續航能力被進一步拉長。
09 評測總結
從開年到現在,華碩推出的每一款新品都有著極其鮮明的特性,而這些特性完全沒有“噱頭”屬性,全是能夠實打實給到用戶最佳使用體驗的特性,這一點就真的是有些厲害了。
全新的靈耀X 13同樣如此,這是一款特點極其鮮明的新品:它擁有1kg超輕量化機身,配有高素質的OLED顯示屏,第一時間升級了AMD銳龍6000U系列處理器,模具的設計做工都保持了靈耀系列一貫的高標準。如果最終上市價格再定的合理,那么靈耀X 13就很可能是今年能夠排入前三的輕薄型筆記本了。
通過實測可以看到,靈耀X 13解決了對于這種極致輕薄本最為棘手的問題,那就是功耗釋放與散熱之間如何平衡。
AMD銳龍7 6800U cTDP為15-28W,靈耀X 13向上做到了25W穩定釋放,并且核心溫度沒有超過90℃,而且頻率穩定無降頻,性能體驗出色。所以你完全不必擔心會買到一臺“小火爐”。
屏幕方面,“華碩好屏”概念驅動下,OLED屏在華碩筆記本中普及開來,而華碩筆記本本身也成為OLED屏在筆記本行業普及的驅動力。如果說音質提升、硬盤速度提升多少有些玄學意味的話,那么OLED屏較IPS屏則是一眼睛的改變,OLED屏在色彩艷麗度,色彩準確度上更加出色,尤其是相近色彩的呈現,可以說是更加細膩。
因此,如果你想要一臺極致便攜,且性能、散熱、屏幕體驗都很好的產品,至少目前為止,華碩靈耀X 13還是唯一選擇。
(7926764)
印度時報》報道截圖。
新冠肺炎疫情來勢洶洶,現已波及200多個國家和地區。隨著多個國家和地區的確診病例不斷增加,全球面臨著嚴峻的抗疫形勢。
印度是全球人口基數第二大的國家,一旦疫情集中暴發,后果不堪想象。截至當地時間4月13日上午10時,印度新冠肺炎確診病例達9152例,死亡病例達308例。為防控疫情,印度總理莫迪3月24日宣布從3月25日起實施全國封鎖,預計持續21天。
4月14日,印度的21天封鎖即將結束,然而,據印媒報道,由于疫情還處于快速暴發期,印度有意將全國封鎖延長兩周。
據《印度時報》報道,印度總理莫迪11日與13個邦的首席部長舉行了一場長達4個小時的視頻會議,就是否延長全國封鎖期至4月底展開討論。消息人士會后透露,莫迪已經同意將全國封鎖延長兩周,預計將于4月14日宣布這一決定。此外,雖然總理莫迪還未宣布,已經有5個邦宣布將本邦封鎖期延至4月30日。
楊濮存是卡納塔克邦邁索爾大學計算機專業的大四學生。由于今年七月即將畢業需要準備畢業答辯,且有考研計劃,以及出于對簽證方面的考慮,楊濮存放假后并沒有像大多數留學生一樣返回國內,而是選擇利用假期繼續留在印度學習。除了留學生這層身份外,楊濮存還是中國駐印度大使館領保員、印度中國留學生學聯干部,也是邁索爾大學與學聯對接總負責人。
留在印度的中國留學生是如何抗疫的?新京報記者和楊濮存聊了聊。
學聯幫助給留學生發放口罩。受訪者供圖
留印中國留學生約230人,度過恐慌期后狀態很好
新京報:目前在印度大約有多少中國留學生?
楊濮存:疫情初始,很多學生比較恐慌,中國駐印度大使館的工作人員及時對我們進行安撫,并與國內積極聯絡,部分想回國的同學被安排回國。由于很多留學生在春節和疫情發生前已經回到了國內,所以目前留在印度的中國留學生只有一小部分人,大約是230人。我所在的邁索爾大學現在是留在印度中國留學生最多的學校,大約102人,其他的大學中國學生人數最多的不超過20人。
新京報:在印中國留學生狀態如何?
楊濮存:疫情來的猝不及防,受疫情的影響學校停課,打亂了我們的學習計劃,也對留學生們的日常生活造成一定影響。但是通過大使館對我們各方面的幫助,我們的生活得到了極大的保障,沒有后顧之憂。所以在剛開始面對疫情的不知所措之后,很多同學已經學會理性防控,并且重新找到了自己的學習節奏,大家的狀態非常好。在學習之余,我們還創建了留學生群,大家可以在里面分享自己的生活,交流學習情況,探討自己的興趣愛好,有效緩解了隔離期間的無聊、孤獨以及焦慮。
大使館發放的健康包。受訪者供圖
中國駐印大使館發放健康包,關注留學生身心健康
新京報:疫情暴發后,中國駐印大使館為留學生做了哪些工作?
楊濮存:大使館一直以來對中國留學生群體非常重視和關心,這次疫情期間,給我們提供了非常多的幫助。我在中國駐印度大使館擔任領保員一職,是中國留學生的學聯干部,也是邁索爾大學與學聯對接總負責人,所以對大使館對留學生提供的幫助比較了解。
疫情期間,大使館留學生負責人孫老師與學聯成員一起積極聯絡各個學校,統計各個學校的中國留學生人數和每個學生的身體健康情況,同時了解留學生們在生活上是否有困難,并對我們進行防護教育。大使館建議我們非緊急情況不要出門,在所住公寓里進行隔離,出門要注意佩戴防護用具,做好防護措施等。此外,大使館非常關注學生們的心理健康情況,對一些心理焦慮的學生及時進行心理疏導。
疫情暴發后,印度口罩、酒精等醫用物資供不應求,這類物資非常短缺。很多留學生也買不到這些防護物資,無法保證必要的防護。大使館得知留學生的困難后,迅速聯系學校附近的中資企業與中印商會,給每一位留學生送了健康包,里面包括口罩、酒精、洗手液等防護物資,確保每一名學生都有充足的防護物資。
留學生收到口罩。受訪者供圖
除此之外,為了讓大家對目前的疫情發展有充分的了解,我作為學聯干部,堅持每天搜集疫情相關信息,進行匯總,為全印度的學聯學生播報每日的疫情。期間學聯的各位老師為留學生們普及防疫知識和防護措施,呼吁大家在公寓隔離,強防護、信科學,指導留學生們用科學的方式防控疫情,用理性的頭腦面對疫情,不恐慌、不信謠、不傳謠。
疫情肆虐之際,作為獨處異國他鄉的留學生,我們對家人的掛念更甚,我們擔心父母,父母也不放心我們獨自一人在海外。考慮到留學生和國內父母雙方的情感需求,大使館還特意創建了中國留學生家長群,告知家長們目前印度疫情方面的信息與形勢、學生們的身體狀況、生活方面的情況,及時讓家長們知道大使館對留學生群體的幫助。同時積極幫助國內家長與留學生取得聯系,告知雙方的情況,讓在國內的家長們安心了許多。
中國駐印大使孫衛東給所有留印留學生家長的手寫信。受訪者供圖
學校幫助留學生采購必要物資,不落下任何一個人
新京報:印度全國封鎖后,學校對你們提供了哪些幫助?
楊濮存:印度宣布全國封鎖后,很多超市、市場暫停營業,大家很難采購一些必要的生活物資。學校的人數眾多,大部分人沒有提前囤好足夠的食物與生活用品,導致大家的日常生活和飲食遇到了困難。
我們學校的赫曼思·庫瑪校長得知情況后,幫助我們在當地找到合適的采購渠道,委托自己的助理幫助留學生們采購必要的生活用品與食物。我們學校有八個班,我與每個班的負責人之間積極配合,分配任務,為班上的同學配送物資,安排好同學們的生活,解決一些生活上的困難。這樣的配送方式既能避免集體聚集,又能更好地為大家解決困難。無論是多遠、多偏僻的地方,我們都會想辦法送到,確保每個學生的生活得到保障,在此也感謝學校方面對留學生的幫助。
在此也感謝我的母校黃淮學院對在印留學生的關心,老師們積極與邁索爾大學的領導聯系,和我們并肩戰斗,讓我們這些在印留學生并不孤單。
學校為留學生買好菜,均分給每一位學生。受訪者供圖
新京報:印媒報道稱印度封鎖要延長兩周,你們如何應對?
楊濮存:我們已經基本確認封鎖期會延長至4月30日。這當然不是好消息,但面對快速暴發的疫情,這也是沒辦法的事兒。我覺得,我們還是應該做好我們該做的,繼續待在宿舍自我隔離,做好日常的防護工作,譬如對每天來宿舍送菜的大叔保潔阿姨進行嚴格檢測等,然后等待疫情好轉。使館方面也提醒我們繼續做好防護,盡量不要出門。
新京報記者 謝蓮
編輯 陳思 校對 李世輝
我們用 VPN 傳送的數據是沒有經過加密的。為了不讓別人知道我們傳送了什么數據,可以使用加密工具來加密兩臺計算機或者兩個子網之間傳輸的數據。使用 IPSec,可以對兩臺主機之間的通信進行加密,而不僅僅加密 VPN 通信。openvpn 可以建立使用 SSL 加密的 VPN 連接。本文僅介紹 IPSec 的配置方法。
下面是 IPSec 的配置過程。
操作系統:FreeBSD13.1-RELEASE。
要使用 IPSec,需要安裝 ipsec-tools,它在 ports 樹中的 /usr/ports/security 目錄下面。分別在兩臺主機上安裝 ipsec-tools:
# pkg install ipsec-tools使用 FreeBSD 的 ports 樹,我們可以看到很多軟件,可以通過 pkg-descr 文件看它的功能是什么。大多數軟件都有示例配置。FreeBSD 擁有全面細致的手冊,能夠解決安裝配置和使用中遇到的許多問題。軟件自帶示例配置,在 /usr/local/share/examples 目錄下面。
主機一:10.10.10.74 主機二:10.10.10.92。兩個主機都已經安裝了ipsec-tools。
兩個主機之間能夠通常通信:
主機一(10.10.10.74)配置:
創建文件 /usr/local/etc/psk.txt,并設置屬性:
# cd /usr/local/etc
# echo "10.10.10.92 abcdefg1234567">>psk.txt
# chmod 400 psk.txt創建文件 sekey.conf,內容如下:
#!/sbin/setkey -f
flush;
spdflush;
spdadd 10.10.10.74 10.10.10.92 any -P out ipsec esp/transport//require ah/transport//require;
spdadd 10.10.10.92 10.10.10.74 any -P in ipsec esp/transport//require ah/transport//require;創建文件 racoon.conf,內容如下:
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
listen # address [port] that racoon will listen on
{
isakmp 10.10.10.74 [500];
isakmp_natt 10.10.10.74 [4500];
}
remote anonymous
{
exchange_mode main,base;
lifetime time 24 hour ; # sec,min,hour
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key ;
dh_group 2 ;
}
proposal_check strict;
}
sainfo anonymous
{
pfs_group 2;
lifetime time 12 hour ;
encryption_algorithm aes 256;
authentication_algorithm hmac_sha1;
compression_algorithm deflate ;
}執行命令:
# setkey -f /usr/local/etc/racoon/setkey.conf用下面的命令可以看到 setkey.conf 文件的兩項已經裝入:
# setkey -DP
10.10.10.92[any] 10.10.10.74[any] any
in ipsec
esp/transport//require
ah/transport//require
spid=6 seq=1 pid=15268 scope=global
refcnt=1
10.10.10.74[any] 10.10.10.92[any] any
out ipsec
esp/transport//require
ah/transport//require
spid=5 seq=0 pid=15268 scope=global
refcnt=1執行下面的命令:
# /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log
Foreground mode.
2022-06-15 16:49:32: INFO: @(#)ipsec-tools 0.8.2 (http://ipsec-tools.sourceforge.net)
2022-06-15 16:49:32: INFO: @(#)This product linked OpenSSL 1.1.1o-freebsd 3 May 2022 (http://www.openssl.org/)
2022-06-15 16:49:32: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2022-06-15 16:49:32: WARNING: setsockopt(UDP_ENCAP_ESPINUDP): UDP_ENCAP Protocol not available
2022-06-15 16:49:32: ERROR: privsep_setsockopt (Protocol not available)
2022-06-15 16:49:32: ERROR: privsep_setsockopt (Protocol not available)
2022-06-15 16:49:32: INFO: 10.10.10.92[4500] used as isakmp port (fd=5)
2022-06-15 16:49:32: ERROR: privsep_setsockopt (Protocol not available)
2022-06-15 16:49:32: ERROR: privsep_setsockopt (Protocol not available)
2022-06-15 16:49:32: INFO: 10.10.10.92[500] used as isakmp port (fd=6)提示錯誤。原因是默認安裝的操作系統內核沒有 ipsec 支持。可以定制內核,重新編譯安裝就行了。我在內核配置文件中加上了下面兩行:
options IPSEC
options IPSEC_DEBUG也可以不定制內核,直接用下面的命令動態加載 ipsec:
# kldload ipsec.ko這時再執行下面的命令就顯示正常:
# /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log
Foreground mode.
2022-06-15 16:50:51: INFO: @(#)ipsec-tools 0.8.2 (http://ipsec-tools.sourceforge.net)
2022-06-15 16:50:51: INFO: @(#)This product linked OpenSSL 1.1.1o-freebsd 3 May 2022 (http://www.openssl.org/)
2022-06-15 16:50:51: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2022-06-15 16:50:51: INFO: 10.10.10.92[4500] used for NAT-T
2022-06-15 16:50:51: INFO: 10.10.10.92[4500] used as isakmp port (fd=5)
2022-06-15 16:50:51: INFO: 10.10.10.92[500] used as isakmp port (fd=6)主機二(10.10.10.92)配置:
復制上面的文件到同一目錄下(可以用 scp 或者 sftp 復制)。將配置文件中的 IP 地址對調,即把 10.10.10.74 全部換成 10.10.10.92
加載 ipsec 支持:
# kldload ipsec.ko依次執行前面主機一執行過的兩個命令:
# setkey -f /usr/local/etc/racoon/setkey.conf
# /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log
Foreground mode.
2022-06-15 09:51:49: INFO: @(#)ipsec-tools 0.8.2 (http://ipsec-tools.sourceforge.net)
2022-06-15 09:51:49: INFO: @(#)This product linked OpenSSL 1.1.1o-freebsd 3 May 2022 (http://www.openssl.org/)
2022-06-15 09:51:49: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2022-06-15 09:51:49: INFO: 10.10.10.74[4500] used for NAT-T
2022-06-15 09:51:49: INFO: 10.10.10.74[4500] used as isakmp port (fd=5)
2022-06-15 09:51:49: INFO: 10.10.10.74[500] used as isakmp port (fd=6)在主機一ping主機二,會這樣顯示:
第一次ping,丟掉了兩個包,建立加密連接之后,就正常了。
看主機一的輸出:
2022-06-15 09:51:49: INFO: @(#)ipsec-tools 0.8.2 (http://ipsec-tools.sourceforge.net)
2022-06-15 09:51:49: INFO: @(#)This product linked OpenSSL 1.1.1o-freebsd 3 May 2022 (http://www.openssl.org/)
2022-06-15 09:51:49: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2022-06-15 09:51:49: INFO: 10.10.10.74[4500] used for NAT-T
2022-06-15 09:51:49: INFO: 10.10.10.74[4500] used as isakmp port (fd=5)
2022-06-15 09:51:49: INFO: 10.10.10.74[500] used as isakmp port (fd=6)
2022-06-15 09:52:28: INFO: IPsec-SA request for 10.10.10.92 queued due to no phase1 found.
2022-06-15 09:52:28: INFO: initiate new phase 1 negotiation: 10.10.10.74[500]<=>10.10.10.92[500]
2022-06-15 09:52:28: INFO: begin Identity Protection mode.
2022-06-15 09:52:28: INFO: received Vendor ID: DPD
2022-06-15 09:52:28: INFO: ISAKMP-SA established 10.10.10.74[500]-10.10.10.92[500] spi:9c05e88e55dd0ead:3be77ea323c63ae8
2022-06-15 09:52:28: [10.10.10.92] INFO: received INITIAL-CONTACT
2022-06-15 09:52:29: INFO: initiate new phase 2 negotiation: 10.10.10.74[500]<=>10.10.10.92[500]
2022-06-15 09:52:29: INFO: IPsec-SA established: AH/Transport 10.10.10.74[500]->10.10.10.92[500] spi=187131851(0xb2767cb)
2022-06-15 09:52:29: INFO: IPsec-SA established: ESP/Transport 10.10.10.74[500]->10.10.10.92[500] spi=196520647(0xbb6aac7)
2022-06-15 09:52:29: INFO: IPsec-SA established: AH/Transport 10.10.10.74[500]->10.10.10.92[500] spi=56908505(0x3645ad9)
2022-06-15 09:52:29: INFO: IPsec-SA established: ESP/Transport 10.10.10.74[500]->10.10.10.92[500] spi=170687013(0xa2c7a25)主機二的輸出:
Foreground mode.
2022-06-15 17:52:11: INFO: @(#)ipsec-tools 0.8.2 (http://ipsec-tools.sourceforge.net)
2022-06-15 17:52:11: INFO: @(#)This product linked OpenSSL 1.1.1o-freebsd 3 May 2022 (http://www.openssl.org/)
2022-06-15 17:52:11: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2022-06-15 17:52:11: INFO: 10.10.10.92[4500] used for NAT-T
2022-06-15 17:52:11: INFO: 10.10.10.92[4500] used as isakmp port (fd=5)
2022-06-15 17:52:11: INFO: 10.10.10.92[500] used as isakmp port (fd=6)
2022-06-15 17:52:27: INFO: respond new phase 1 negotiation: 10.10.10.92[500]<=>10.10.10.74[500]
2022-06-15 17:52:27: INFO: begin Identity Protection mode.
2022-06-15 17:52:27: INFO: received Vendor ID: DPD
2022-06-15 17:52:27: INFO: ISAKMP-SA established 10.10.10.92[500]-10.10.10.74[500] spi:9c05e88e55dd0ead:3be77ea323c63ae8
2022-06-15 17:52:27: [10.10.10.74] INFO: received INITIAL-CONTACT
2022-06-15 17:52:28: INFO: respond new phase 2 negotiation: 10.10.10.92[500]<=>10.10.10.74[500]
2022-06-15 17:52:28: INFO: IPsec-SA established: AH/Transport 10.10.10.92[500]->10.10.10.74[500] spi=56908505(0x3645ad9)
2022-06-15 17:52:28: INFO: IPsec-SA established: ESP/Transport 10.10.10.92[500]->10.10.10.74[500] spi=170687013(0xa2c7a25)
2022-06-15 17:52:28: INFO: IPsec-SA established: AH/Transport 10.10.10.92[500]->10.10.10.74[500] spi=187131851(0xb2767cb)
2022-06-15 17:52:28: INFO: IPsec-SA established: ESP/Transport 10.10.10.92[500]->10.10.10.74[500] spi=196520647(0xbb6aac7)到路由器用 tcpdump 查看傳送的數據:
# tcpdump -i em0 host 10.10.10.92 and dst 10.10.10.74
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 262144 bytes
09:56:29.252361 IP 10.10.10.92 > 10.10.10.74: AH(spi=0x0b2767cb,seq=0x5): ESP(spi=0x0bb6aac7,seq=0x5), length 84
09:56:29.254597 IP 10.10.10.92 > 10.10.10.74: AH(spi=0x0b2767cb,seq=0x6): ESP(spi=0x0bb6aac7,seq=0x6), length 372
09:56:29.254961 IP 10.10.10.92 > 10.10.10.74: AH(spi=0x0b2767cb,seq=0x7): ESP(spi=0x0bb6aac7,seq=0x7), length 84
09:56:29.255449 IP 10.10.10.92 > 10.10.10.74: AH(spi=0x0b2767cb,seq=0x8): ESP(spi=0x0bb6aac7,seq=0x8), length 84表明數據已經被加密。退出 racoon,再用 tcpdump 查看數據,顯示這樣:
# tcpdump -i em0 host 10.10.10.92 and dst 10.10.10.74
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 262144 bytes
09:59:01.746824 IP 10.10.10.92.http > 10.10.10.74.54689: Flags [S.], seq 4062076932, ack 3510823228, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS val 3952843041 ecr 1536066686], length 0
09:59:01.748276 IP 10.10.10.92.http > 10.10.10.74.54689: Flags [P.], seq 1:303, ack 266, win 1027, options [nop,nop,TS val 3952843041 ecr 1536066687], length 302: HTTP: HTTP/1.1 200 OK
09:59:01.748480 IP 10.10.10.92.http > 10.10.10.74.54689: Flags [F.], seq 303, ack 266, win 1027, options [nop,nop,TS val 3952843041 ecr 1536066687], length 0
09:59:01.748796 IP 10.10.10.92.http > 10.10.10.74.54689: Flags [.], ack 267, win 1026, options [nop,nop,TS val 3952843041 ecr 1536066688], length 0能看到傳送的內容是http內容,已經不再加密,說明已經配置成功。加密前后都是執行同一命令:
lynx http://10.10.10.92退出 racoon 之后,兩臺機器可能就連不通了。可在兩邊創建文件 setkey.x,文件內容如下:
#!/sbin/setkey -f
flush;
spdflush;
#spdadd 10.10.10.74 10.10.10.92 any -P out ipsec esp/transport//require ah/transport//require;
#spdadd 10.10.10.92 10.10.10.74 any -P in ipsec esp/transport//require ah/transport//require;也就是把 setkey.conf 后面兩項注釋或刪除掉,然后兩邊執行命令:
# setkey -f /usr/local/etc/racoon/setkey.x此后兩邊恢復正常通信,傳送的數據不再加密。
子網一:10.10.10.0 路由器:10.10.10.99
子網二:172.15.0.0 路由器:172.15.0.19
先在兩子網之間先建立 VPN 連接,然后再加密兩臺路由器之間的數據。因為我用的是動態 IP 地址,自動建立并保持 VPN 連接,然后再加密。如果知道雙方的公網 IP 地址,也是可以將 VPN 一起加密的。ipsec 通過 500 或者 4500 端口連接,加密之后,就沒人知道你使用 VPN 連接了。這種方法聽起來更科學。
分別安裝 ipsec-tools,加載 ipsec 模塊:
# pkg install ipsec-tools
# kldload ipsec可用下面的命令來查看系統加載了哪些模塊:
# kldstat
Id Refs Address Size Name
1 33 0xffffffff80200000 1f30590 kernel
2 1 0xffffffff82131000 1fee0 ipsec.ko
3 1 0xffffffff82319000 3218 intpm.ko
4 1 0xffffffff8231d000 2180 smbus.ko
5 1 0xffffffff82320000 39c0 ng_socket.ko
6 9 0xffffffff82324000 aac8 netgraph.ko
7 1 0xffffffff8232f000 43c4 ng_mppc.ko
8 1 0xffffffff82334000 20b0 rc4.ko
9 1 0xffffffff82337000 2398 ng_iface.ko
10 1 0xffffffff8233a000 61e8 ng_ppp.ko
11 1 0xffffffff82341000 2138 ng_tee.ko
12 1 0xffffffff82344000 3278 ng_pptpgre.ko
13 1 0xffffffff82348000 31e8 ng_ksocket.ko
14 1 0xffffffff8234c000 3138 ng_vjc.ko
15 1 0xffffffff82350000 2a08 mac_ntpd.ko
16 1 0xffffffff82353000 2138 ng_tcpmss.ko子網一:10.10.10.0 路由器 10.10.10.99 的配置:
創建 psk.txt 文件
# cd /usr/local/etc/racoon
# echo "172.15.0.19 abcdefg123456">psk.txt
# chmod 400 psk.txtsetkey.conf 文件內容:
flush;
spdflush;
# To the home network
spdadd 10.10.10.0/24 172.15.0.0/24 any -P out ipsec esp/tunnel/10.10.10.99-172.15.0.19/use;
spdadd 172.15.0.0/24 10.10.10.0/24 any -P in ipsec esp/tunnel/172.15.0.19-10.10.10.99/use;racoon.conf 文件內容:
path pre_shared_key "/usr/local/etc/racoon/psk.txt"; #location of pre-shared key file
#log debug; #log verbosity setting: set to 'notify' when testing and debugging is complete
padding # options are not to be changed
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
timer # timing options. change as needed
{
counter 5;
interval 20 sec;
persend 1;
# natt_keepalive 15 sec;
phase1 30 sec;
phase2 15 sec;
}
listen # address [port] that racoon will listen on
{
isakmp 10.10.10.99 [500];
isakmp_natt 10.10.10.99 [4500];
}
remote anonymous [500]
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
my_identifier address 10.10.10.99;
peers_identifier address 172.15.0.19;
lifetime time 8 hour;
passive off;
proposal_check obey;
# nat_traversal off;
generate_policy off;
proposal {
encryption_algorithm blowfish;
hash_algorithm md5;
authentication_method pre_shared_key;
lifetime time 30 sec;
dh_group 1;
}
}
sainfo (address 10.10.10.0/24 any address 172.15.0.0/24 any) # address $network/$netmask $type address $network/$netmask $type ( $type being any or esp)
{ # $network must be the two internal networks you are joining.
pfs_group 1;
lifetime time 36000 sec;
encryption_algorithm aes 256;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}子網二:172.15.0.0 路由器:172.15.0.19 的配置。
配置和前述路由器的配置相似,將IP地址和子網地址對調,或者對應更換 IP 地址。
配置完成之后,兩端分別執行以下命令:
# setkey -f /usr/local/etc/racoon/setkey.conf
# # /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log在內網訪問對方內網機器,在路由器運行 tcpdump,會看到類似以下內容:
# tcpdump -i ng0 host 172.15.0.19 and dst 10.10.10.99
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ng0, link-type NULL (BSD loopback), capture size 262144 bytes
10:24:29.593381 IP 172.15.0.19 > 10.10.10.99: ESP(spi=0x0936e5a7,seq=0x7a7), length 100
10:24:29.609804 IP 172.15.0.19 > 10.10.10.99: ESP(spi=0x0936e5a7,seq=0x7a8), length 100
10:24:29.625372 IP 172.15.0.19 > 10.10.10.99: ESP(spi=0x0936e5a7,seq=0x7a9), length 100
10:24:29.625393 IP 172.15.0.19 > 10.10.10.99: ESP(spi=0x0936e5a7,seq=0x7aa), length 164
10:24:29.646215 IP 172.15.0.19 > 10.10.10.99: ESP(spi=0x0936e5a7,seq=0x7ab), length 84
10:24:29.688834 IP 172.15.0.19 > 10.10.10.99: ESP(spi=0x0936e5a7,seq=0x7ac), length 100
10:24:29.688852 IP 172.15.0.19 > 10.10.10.99: ESP(spi=0x0936e5a7,seq=0x7ad), length 100
10:24:29.689152 IP 172.15.0.19 > 10.10.10.99: ESP(spi=0x0936e5a7,seq=0x7ae), length 1316
10:24:29.689239 IP 172.15.0.19 > 10.10.10.99: ESP(spi=0x0936e5a7,seq=0x7af), length 1316
10:24:29.689306 IP 172.15.0.19 > 10.10.10.99: ESP(spi=0x0936e5a7,seq=0x7b0), length 500說明兩內網之間的通信已經成功加密。查看另一個網卡的通信數據:
# tcpdump -i em0 host 172.15.0.19 and dst 10.10.10.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:28:01.303099 IP 172.15.0.19.http > 10.10.10.1.60732: Flags [S.], seq 2241464426, ack 4023246556, win 65535, options [mss 1352,nop,wscale 6,sackOK,eol], length 0
10:28:01.391391 IP 172.15.0.19.http > 10.10.10.1.60732: Flags [.], ack 460, win 1036, length 0
10:28:01.504631 IP 172.15.0.19.http > 10.10.10.1.60732: Flags [.], seq 1:1236, ack 460, win 1036, length 1235: HTTP: HTTP/1.1 200 OK
10:28:01.504753 IP 172.15.0.19.http > 10.10.10.1.60732: Flags [.], seq 1236:2471, ack 460, win 1036, length 1235: HTTP
10:28:01.504772 IP 172.15.0.19.http > 10.10.10.1.60732: Flags [P.], seq 2471:2889, ack 460, win 1036, length 418: HTTPng0 是 mpd5 建立 VPN 連接時創建的,em0 是內部網的網卡。可見數據進入子網內部之后是以明文方式傳送的,我訪問的是 http 服務。
要在機器啟動時自動加載 ipsec 來加密通信,可在 /etc/rc.conf 文件中加入以下幾行。
ipsec_enable="YES"
ipsec_program="/usr/local/sbin/setkey"
ipsec_file="/usr/local/etc/racoon/setkey.conf"
racoon_enable="yes"如果機器啟動時沒有加載 ipsec,可以在 /boot/loader.conf 中加入
ipsec_load="YES"以后重新啟動機器,就會自動啟動ipsec。