本文主要是介绍SWAN之ikev2协议ip-split-pools-db配置测试,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
本测试主要验证远程用户carol和dave,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。测试中moon定义了两个地址池,在第一个地址池地址耗尽之后,使用第二个地址池分配IP地址。本次测试拓扑如下:
主机配置
carol的配置文件:ikev2/ip-split-pools-db/hosts/carol/etc/ipsec.conf,内容如下,主要注意是这里的leftsourceip字段值%config,表示carol主机希望获得的虚拟IP地址。将在IKE_AUTH消息中包含Configuration载荷。dave主机的配置与此类似,其leftsourceip字段也配置为%config。
conn homeleft=PH_IP_CAROLleftsourceip=%configleftcert=carolCert.pemleftid=carol@strongswan.orgleftfirewall=yesright=PH_IP_MOONrightsubnet=10.1.0.0/16rightid=@moon.strongswan.orgauto=add
网关配置
moon的配置文件:ikev2/ip-split-pools-db/hosts/moon/etc/ipsec.conf,内容如下,rightsourceip字段指定了两个地址池:%pool0和%pool1。
conn rwleft=PH_IP_MOONleftsubnet=10.1.0.0/16leftcert=moonCert.pemleftid=@moon.strongswan.orgleftfirewall=yesright=%anyrightsourceip=%pool0,%pool1auto=add
moon的配置文件:ikev2/ip-split-pools-db/hosts/moon/etc/ipsec.conf,内容如下,charon加载了和本次测试相关的插件sqlite和attr-sql。attr-sql插件使用的数据库地址由database的值定义。
pool段定义了ipsec pool命令加载sqlite插件。
charon {load = random nonce aes sha1 sha2 pem pkcs1 curve25519 gmp x509 curl revocation hmac stroke kernel-netlink socket-default sqlite attr-sql updownplugins {attr-sql {database = sqlite:///etc/db.d/ipsec.db}}
}pool {load = sqlite
}
测试准备阶段
配置文件:ikev2/ip-split-pools-db/pretest.dat,内容为通常的ipsec连接的启动语句。另外,使用ipsec pool工具创建了两个地址池,其中地址池pool0仅添加了一个IP地址10.3.0.1;地址池pool1中也添加了一个IP地址10.3.1.1。当第一个地址池中的IP发配完之后,将使用第二个地址池。
moon::cat /usr/local/share/strongswan/templates/database/sql/sqlite.sql > /etc/db.d/ipsec.sql
moon::cat /etc/db.d/ipsec.sql | sqlite3 /etc/db.d/ipsec.db
moon::ipsec pool --add pool0 --start 10.3.0.1 --end 10.3.0.1 --timeout 48 2> /dev/null
moon::ipsec pool --add pool1 --start 10.3.1.1 --end 10.3.1.1 --timeout 48 2> /dev/null
测试阶段
配置文件:ikev2/ip-split-pools-db/evaltest.dat内容如下。首先确认carol和dave主机的隧道连接的建立,之后,在两个主机上的strongswan进程记录中检查各自虚拟IP地址的安装信息,carol主机得到了pool0地址池中的IP:10.3.0.1。dave得到了pool1地址池中的IP:10.3.1.1。
carol::ipsec status 2> /dev/null::home.*ESTABLISHED.*carol@strongswan.org.*moon.strongswan.org::YES
carol::ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
carol::cat /var/log/daemon.log::installing new virtual IP 10.3.0.1::YES
dave:: ipsec status 2> /dev/null::home.*ESTABLISHED.*dave@strongswan.org.*moon.strongswan.org::YES
dave:: ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
dave:: cat /var/log/daemon.log::installing new virtual IP 10.3.1.1::YES
以下为moon网关的相关测试语句,在其strongswan进程日志中应检测到pool0地址池的耗尽。之后,使用ipsec pool命令查看虚拟地址的分配和租约情况。
moon:: cat /var/log/daemon.log::acquired new lease for address 10.3.0.1 in pool.*pool0::YES
moon:: cat /var/log/daemon.log::assigning virtual IP 10.3.0.1 to peer::YES
moon:: cat /var/log/daemon.log::no available address found in pool.*pool0::YES
moon:: cat /var/log/daemon.log::acquired new lease for address 10.3.1.1 in pool.*pool1::YES
moon:: cat /var/log/daemon.log::assigning virtual IP 10.3.1.1 to peer::YES
moon:: ipsec pool --status 2> /dev/null::pool0.*10.3.0.1.*10.3.0.1.*48h.*1 .*1 .*1 ::YES
moon:: ipsec pool --status 2> /dev/null::pool1.*10.3.1.1.*10.3.1.1.*48h.*1 .*1 .*1 ::YES
moon:: ipsec pool --leases --filter pool=pool0,addr=10.3.0.1,id=carol@strongswan.org 2> /dev/null::online::YES
moon:: ipsec pool --leases --filter pool=pool1,addr=10.3.1.1,id=dave@strongswan.org 2> /dev/null::online::YES
strongswan测试版本: 5.8.1
END
这篇关于SWAN之ikev2协议ip-split-pools-db配置测试的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
