本文主要是介绍SWAN之ikev2协议lookip配置测试,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
本测试主要验证远程用户carol、dave与网关moon建立连接时,通过在ipsec.conf文件中指定leftsourceip字段值为%config,由moon获取虚拟IP地址的功能。并在moon上使用ipsec lookip命令进行验证。本次测试拓扑如下:
主机配置
carol的配置文件:ikev2/lookip/hosts/carol/etc/ipsec.conf,内容如下,主要注意是这里的leftsourceip字段值%config,意味着向网关请求虚拟IP地址。主机dave的配置与carol基本相同。
conn homeleft=PH_IP_CAROLleftsourceip=%configleftcert=carolCert.pemleftid=carol@strongswan.orgleftfirewall=yesright=PH_IP_MOONrightsubnet=10.1.0.0/16rightid=@moon.strongswan.orgauto=add
网关配置
moon的配置文件:ikev2/lookip/hosts/moon/etc/ipsec.conf,内容如下,主要注意是这里的rightsourceip字段指定虚拟IP地址段:10.3.0.0/28。
conn rwleft=PH_IP_MOONleftsubnet=10.1.0.0/16leftcert=moonCert.pemleftid=@moon.strongswan.orgleftfirewall=yesright=%anyrightsourceip=10.3.0.0/28auto=add
moon的配置文件:ikev2/lookip/hosts/moon/etc/strongswan.conf,内容如下,这里需要加载本次测试使用的lookip插件。
charon {load = random nonce aes sha1 sha2 pem pkcs1 curve25519 gmp x509 curl revocation hmac stroke kernel-netlink socket-default updown lookip
}
测试准备阶段
配置文件:ikev2/lookip/pretest.dat,内容为通常的ipsec连接的启动语句。
测试阶段
配置文件:ikev2/lookip/evaltest.dat内容如下。在确认carol,dave主机和sun网关连接建立之后,在网关moon上使用ipsec lookip命令检查分配给carol和dave的虚拟IP地址信息。
moon:: ipsec lookip --lookup PH_IP_CAROL1 2> /dev/null::192.168.0.100.*rw\[1].*carol@strongswan.org::YES
moon:: ipsec lookip --lookup PH_IP_DAVE1 2> /dev/null::192.168.0.200.*rw\[2].*dave@strongswan.org::YES
如下为ipsec lookip的执行结果:
moon# ipsec lookip --lookup 10.3.0.1 2> /dev/null | grep '192.168.0.100.*rw\[1].*carol@strongswan.org' [YES]
lookup: 10.3.0.1 192.168.0.100 rw[1] carol@strongswan.orgmoon# ipsec lookip --lookup 10.3.0.2 2> /dev/null | grep '192.168.0.200.*rw\[2].*dave@strongswan.org' [YES]
lookup: 10.3.0.2 192.168.0.200 rw[2] dave@strongswan.org
strongswan测试版本: 5.8.1
END
这篇关于SWAN之ikev2协议lookip配置测试的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
