SWAN之ikev2协议dpd-clear配置测试

IPSecurity 专栏收录该内容
89 篇文章 4 订阅

本测试主要验证远程用户carol和网关moon建立连接之后,由于链路问题,导致DPD(Dead Peer Detection)检查报文没有响应,删除连接的功能。本次测试拓扑如下:

在这里插入图片描述

carol主机配置

carol的配置文件:ikev2/dpd-clear/hosts/carol/etc/ipsec.conf,内容如下,keyexchange字段为ikev2,表示采用IKEv2协议。left字段的值为carol主机的IP地址。right字段指明对端为moon网关,但是rightid字段为moon的ID信息:moon@strongswan.org。rightsubnet字段指明对端的子网为:10.1.0.0/16。

config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1

conn home
        left=PH_IP_CAROL
        leftcert=carolCert.pem
        leftid=carol@strongswan.org
        leftfirewall=yes
        right=PH_IP_MOON
        rightid=@moon.strongswan.org
        rightsubnet=10.1.0.0/16
        keyexchange=ikev2
        auto=add

moon网关的配置文件:ikev2/double-nat-net/hosts/moon/etc/ipsec.conf,内容如下,基本内容与alice主机相同。但是right字段的值为%any,表明接收任何主机发来的连接,此配置不能主动发起连接,需要等待carol的连接请求。需要注意的是此处指定了dpdaction的值为clear,即dpd检查失败之后,清除连接。字段dpddelay的值为10秒,指定dpd检测间隔。

config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev2
        dpdaction=clear
        dpddelay=10

conn rw
        left=PH_IP_MOON
        leftcert=moonCert.pem
        leftid=@moon.strongswan.org
        leftsubnet=10.1.0.0/16
        right=%any
        rightid=carol@strongswan.org
        auto=add

测试准备阶段

配置文件:ikev2/dpd-clear/pretest.dat,内容为ipsec连接的启动语句。

moon::ipsec start
carol::ipsec start
moon::expect-connection rw
carol::expect-connection home
carol::ipsec up home

测试阶段

配置文件:ikev2/dpd-clear/evaltest.dat。以下测试语句检查在carol主机和moon网关上隧道建立成功。随后,在carol主机上丢弃所有moon的报文,模拟链路断开的情况。最后,延时13秒(超出dpd配置的10秒间隔),在moon网关的strongswan进程日志中,确认DPD功能生效。

carol::ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
moon:: ipsec status 2> /dev/null::rw.*INSTALLED, TUNNEL::YES
carol::iptables -A INPUT -i eth0 -s PH_IP_MOON -j DROP::no output expected::NO
moon:: sleep 13::no output expected::NO
moon:: cat /var/log/daemon.log::sending DPD request::YES
moon:: cat /var/log/daemon.log::retransmit.*of request::YES
moon:: cat /var/log/daemon.log::giving up after.*retransmits::YES
moon:: ipsec status 2> /dev/null::rw.*INSTALLED::NO

以下为moon网关的strongswan进程日志,在经历了2此重传之后而结束,共传输了3个DPD报文。

moon charon: 15[IKE] sending DPD request
moon charon: 15[ENC] generating INFORMATIONAL request 0 [ ]
moon charon: 15[NET] sending packet: from 192.168.0.1[4500] to 192.168.0.100[4500] (80 bytes)
moon charon: 16[IKE] retransmit 1 of request with message ID 0
moon charon: 16[NET] sending packet: from 192.168.0.1[4500] to 192.168.0.100[4500] (80 bytes)
moon charon: 06[IKE] retransmit 2 of request with message ID 0
moon charon: 06[NET] sending packet: from 192.168.0.1[4500] to 192.168.0.100[4500] (80 bytes)
moon charon: 05[IKE] giving up after 2 retransmits

如下图所示,传输了3个INFORMATIONAL报文,消息ID为0。第一个DPD报文在最后一个IKE_AUTH报文发送10秒之后发出。

在这里插入图片描述

strongswan测试版本: 5.8.1

END

展开阅读全文
  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

相关推荐
©️2020 CSDN 皮肤主题: 编程工作室 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值