SWAN之ikev2协议ip-pool-wish配置测试

2023-12-19 09:58

本文主要是介绍SWAN之ikev2协议ip-pool-wish配置测试,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

本测试主要验证远程用户carol和dave,通过设置ipsec.conf文件中的leftsourceip等于某个IP地址,在与网关moon建立连接时,请求获取指定的虚拟IP地址的功能。测试中carol和dave都将leftsourceip字段指定为10.3.0.1,但是carol首先发起连接,获得了想要的虚拟地址。dave之后发起连接,虽然也是请求地址10.3.0.1,但是由于已经分配出去,moon网关将分配一个新的10.3.0.2的地址给dave主机。本次测试拓扑如下:
在这里插入图片描述

主机配置

carol的配置文件:ikev2/ip-pool-wish/hosts/carol/etc/ipsec.conf,内容如下,主要注意是这里的leftsourceip字段值PH_IP_CAROL1(10.3.0.1),表示carol主机希望获得的虚拟IP地址。将在IKE_AUTH消息中包含Configuration载荷。dave主机的配置与此类似,其leftsourceip字段也配置为PH_IP_CAROL1(10.3.0.1)。

conn homeleft=PH_IP_CAROLleftsourceip=PH_IP_CAROL1leftcert=carolCert.pemleftid=carol@strongswan.orgleftfirewall=yesright=PH_IP_MOONrightsubnet=10.1.0.0/16rightid=@moon.strongswan.orgauto=add

网关配置

moon的配置文件:ikev2/ip-pool-wish/hosts/moon/etc/ipsec.conf,内容如下,rightsourceip字段指定为IP网段10.3.0.0/28。

conn rwleft=PH_IP_MOONleftsubnet=10.1.0.0/16leftcert=moonCert.pemleftid=@moon.strongswan.orgleftfirewall=yesright=%anyrightsourceip=10.3.0.0/28auto=add

测试准备阶段

配置文件:ikev2/ip-pool-wish/pretest.dat,内容为通常的ipsec连接的启动语句.

测试阶段

配置文件:ikev2/ip-pool-wish/evaltest.dat内容如下。确认carol主机上strongswan进程记录的安装虚拟IP(10.3.0.1)的信息。随后使用命令ip addr list显示获得的虚拟IP地址,以及ip route list table 220显示的到moon网关的内网10.1.0.0/16的源路由地址(虚拟IP)。然后使用ping命令测试到alice主机的连通性。

路由表220位strongswan使用的默认路由表,也可在strongswan.conf配置文件中,使用charon.routing_table进行指定。

carol::cat /var/log/daemon.log::installing new virtual IP PH_IP_CAROL1::YES
carol::ip addr list dev eth0::PH_IP_CAROL1::YES
carol::ip route list table 220::10.1.0.0/16.*src PH_IP_CAROL1::YES
carol::ipsec status 2> /dev/null::home.*ESTABLISHED.*carol@strongswan.org.*moon.strongswan.org::YES
carol::ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
carol::ping -c 1 PH_IP_ALICE::64 bytes from PH_IP_ALICE: icmp_.eq=1::YES

以下为dave主机的相关测试语句,虽然dave在leftsourceip字段指定了PH_IP_CAROL1(10.3.0.1)的地址,但是,由于其已经先分配给了carol主机,此处仍分配给dave主机虚拟IP地址PH_IP_DAVE1(10.3.0.2)。以下测试语句进行验证。

dave:: cat /var/log/daemon.log::installing new virtual IP PH_IP_DAVE1::YES
dave:: ip addr list dev eth0::PH_IP_DAVE1::YES
dave:: ip route list table 220::10.1.0.0/16.*src PH_IP_DAVE1::YES
dave:: ipsec status 2> /dev/null::home.*ESTABLISHED.*dave@strongswan.org.*moon.strongswan.org.::YES
dave:: ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
dave:: ping -c 1 PH_IP_ALICE::64 bytes from PH_IP_ALICE: icmp_.eq=1::YES

以下为moon网关上strongswan进程的日志信息,可见虚拟IP地址的分配。dave请求的是10.3.0.1,但是分配的是10.3.0.2。

moon charon: 11[IKE] peer requested virtual IP 10.3.0.1
moon charon: 11[CFG] assigning new lease to 'carol@strongswan.org'
moon charon: 11[IKE] assigning virtual IP 10.3.0.1 to peer 'carol@strongswan.org'moon charon: 15[IKE] peer requested virtual IP 10.3.0.1
moon charon: 15[CFG] assigning new lease to 'dave@strongswan.org'
moon charon: 15[IKE] assigning virtual IP 10.3.0.2 to peer 'dave@strongswan.org'

strongswan测试版本: 5.8.1

END

这篇关于SWAN之ikev2协议ip-pool-wish配置测试的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/511765

相关文章

SpringCloud动态配置注解@RefreshScope与@Component的深度解析

《SpringCloud动态配置注解@RefreshScope与@Component的深度解析》在现代微服务架构中,动态配置管理是一个关键需求,本文将为大家介绍SpringCloud中相关的注解@Re... 目录引言1. @RefreshScope 的作用与原理1.1 什么是 @RefreshScope1.

SpringBoot日志配置SLF4J和Logback的方法实现

《SpringBoot日志配置SLF4J和Logback的方法实现》日志记录是不可或缺的一部分,本文主要介绍了SpringBoot日志配置SLF4J和Logback的方法实现,文中通过示例代码介绍的非... 目录一、前言二、案例一:初识日志三、案例二:使用Lombok输出日志四、案例三:配置Logback一

springboot security之前后端分离配置方式

《springbootsecurity之前后端分离配置方式》:本文主要介绍springbootsecurity之前后端分离配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的... 目录前言自定义配置认证失败自定义处理登录相关接口匿名访问前置文章总结前言spring boot secu

一文详解SpringBoot响应压缩功能的配置与优化

《一文详解SpringBoot响应压缩功能的配置与优化》SpringBoot的响应压缩功能基于智能协商机制,需同时满足很多条件,本文主要为大家详细介绍了SpringBoot响应压缩功能的配置与优化,需... 目录一、核心工作机制1.1 自动协商触发条件1.2 压缩处理流程二、配置方案详解2.1 基础YAML

springboot简单集成Security配置的教程

《springboot简单集成Security配置的教程》:本文主要介绍springboot简单集成Security配置的教程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录集成Security安全框架引入依赖编写配置类WebSecurityConfig(自定义资源权限规则

SpringBoot中封装Cors自动配置方式

《SpringBoot中封装Cors自动配置方式》:本文主要介绍SpringBoot中封装Cors自动配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录SpringBoot封装Cors自动配置背景实现步骤1. 创建 GlobalCorsProperties

Spring Boot结成MyBatis-Plus最全配置指南

《SpringBoot结成MyBatis-Plus最全配置指南》本文主要介绍了SpringBoot结成MyBatis-Plus最全配置指南,包括依赖引入、配置数据源、Mapper扫描、基本CRUD操... 目录前言详细操作一.创建项目并引入相关依赖二.配置数据源信息三.编写相关代码查zsRArly询数据库数

SpringBoot配置Ollama实现本地部署DeepSeek

《SpringBoot配置Ollama实现本地部署DeepSeek》本文主要介绍了在本地环境中使用Ollama配置DeepSeek模型,并在IntelliJIDEA中创建一个Sprin... 目录前言详细步骤一、本地配置DeepSeek二、SpringBoot项目调用本地DeepSeek前言随着人工智能技

如何自定义Nginx JSON日志格式配置

《如何自定义NginxJSON日志格式配置》Nginx作为最流行的Web服务器之一,其灵活的日志配置能力允许我们根据需求定制日志格式,本文将详细介绍如何配置Nginx以JSON格式记录访问日志,这种... 目录前言为什么选择jsON格式日志?配置步骤详解1. 安装Nginx服务2. 自定义JSON日志格式各

使用Python实现网络设备配置备份与恢复

《使用Python实现网络设备配置备份与恢复》网络设备配置备份与恢复在网络安全管理中起着至关重要的作用,本文为大家介绍了如何通过Python实现网络设备配置备份与恢复,需要的可以参考下... 目录一、网络设备配置备份与恢复的概念与重要性二、网络设备配置备份与恢复的分类三、python网络设备配置备份与恢复实