SWAN之ikev2协议farp配置测试

本测试主要验证远程用户carol、dave与网关moon建立连接时,并且通过在ipsec.conf文件中设置leftsourceip=%config,向moon网关请求虚拟IP地址,此虚拟地址位于10.1.0.0/16网段,得到虚拟IP地址的carol和dave主机相当位于和主机alice(10.1.0.10)相同的网段。借助于moon网关的farp代理插件,alice主机可与carol和dave实现通信。本次测试拓扑如下:
在这里插入图片描述

carol主机配置

carol的配置文件:ikev2/farp/hosts/carol/etc/ipsec.conf,内容如下,主要是这里的leftsourceip字段值%config,将导致在IKE报文中发送Configuration载荷,请求IP地址信息。主机dave的配置文件ipsec.conf与carol基本一致。

conn home
        left=PH_IP_CAROL
        leftsourceip=%config
        leftcert=carolCert.pem
        leftid=carol@strongswan.org
        leftfirewall=yes
        right=PH_IP_MOON
        rightsubnet=10.1.0.0/16
        rightid=@moon.strongswan.org
        auto=add

网关moon的配置文件:ikev2/farp/hosts/moon/etc/ipsec.conf,配置了两个连接rw-carol和rw-dave,分别为ID为carol@strongswan.org和dave@strongswan.org的主机指定了虚拟IP地址:10.1.0.30和10.1.0.40。

config setup

conn %default
        left=PH_IP_MOON
        leftsubnet=10.1.0.0/16
        leftcert=moonCert.pem
        leftid=@moon.strongswan.org
        leftfirewall=yes

conn rw-carol
        right=%any
        rightid=carol@strongswan.org
        rightsourceip=10.1.0.30
        auto=add

conn rw-dave
        right=%any
        rightid=dave@strongswan.org
        rightsourceip=10.1.0.40
        auto=add

另外,在网关moon的配置文件:ikev2/farp/hosts/moon/etc/strongswan.conf中,加载了farp模块,负责arp代理功能。指定两个DNS服务器:PH_IP_WINNETOU(192.168.0.150)和PH_IP_VENUS(10.1.0.20)。


charon {
  load = random nonce aes sha1 sha2 pem pkcs1 curve25519 gmp x509 curl revocation hmac stroke kernel-netlink socket-default updown attr farp
  dns1 = PH_IP_WINNETOU
  dns2 = PH_IP_VENUS
}

测试准备阶段

配置文件:ikev2/farp/pretest.dat,内容为通常的ipsec连接的启动语句。额外需要注意的是在alice主机上执行的arp表项删除操作,用来确保alice为这两个IP地址发送arp请求,以便获得moon网关上farp模块代理的arp地址。

alice::arp -d 10.1.0.30
alice::arp -d 10.1.0.40

测试阶段

配置文件:ikev2/farp/evaltest.dat内容如下(以carol主机为例)。在确认carol主机上连接(home)建立之后,主机alice执行ping分配给carol主机的虚拟地址(10.1.0.30)的命令,测试连通性,在发出ICMP报文之前,alice首先发送arp请求10.1.0.30的MAC地址,moon网关的farp模块监听在RAW套接口上,收到此arp请求之后,将回复一个MAC为moon网关接口eth1的MAC地址的报文。之后alice的ping报文发给moon网关,经由建立的安全连接发往主机carol。

carol::ipsec status 2> /dev/null::home.*ESTABLISHED.*carol@strongswan.org.*moon.strongswan.org::YES
carol::ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
alice::ping -c 1 10.1.0.30::64 bytes from 10.1.0.30: icmp_.eq=1::YES
carol::ping -c 1 PH_IP_ALICE::64 bytes from PH_IP_ALICE: icmp_.eq=1::YES

以下为在IKE_AUTH报文中分配给carol主机IP地址的Configuration载荷截图。

在这里插入图片描述

以下为alice主机发送ping报文的流程(arp报文),farp回复的MAC地址:52:54:00:43:e3:35,正是moon网关eth1接口的MAC地址。

在这里插入图片描述

strongswan测试版本: 5.8.1

END

相关推荐
©️2020 CSDN 皮肤主题: 编程工作室 设计师:CSDN官方博客 返回首页