SWAN之ikev2协议host2host-cert配置测试

本测试主要验证moon与sun主机基于X.509证书认证的连接场景,本次测试拓扑如下:

在这里插入图片描述

配置

sun的配置文件:ikev2/host2host-cert/hosts/sun/etc/ipsec.conf,内容如下,无特殊配置。

conn host-host
        left=PH_IP_SUN
        leftcert=sunCert.pem
        leftid=@sun.strongswan.org
        leftfirewall=yes
        right=PH_IP_MOON
        rightid=@moon.strongswan.org
        auto=add

moon的配置文件:ikev2/host2host-cert/hosts/moon/etc/ipsec.conf,内容如下,与sun配置基本相同。

conn host-host
        left=PH_IP_MOON
        leftcert=moonCert.pem
        leftid=@moon.strongswan.org
        leftfirewall=yes
        right=PH_IP_SUN
        rightid=@sun.strongswan.org
        auto=add

测试准备阶段

配置文件:ikev2/host2host-cert/pretest.dat,内容为通常的ipsec连接的启动语句。

测试阶段

配置文件:ikev2/host2host-cert/evaltest.dat内容如下。首先确认moon主机和sun主机连接(host-host)是否建立。之后,在主机moon上使用ping命令测试到sun主机的连通性。

moon::ipsec status 2> /dev/null::host-host.*INSTALLED, TUNNEL::YES
sun:: ipsec status 2> /dev/null::host-host.*INSTALLED, TUNNEL::YES
moon::ping -c 1 PH_IP_SUN::64 bytes from PH_IP_SUN: icmp_.eq=1::YES
sun::tcpdump::IP moon.strongswan.org > sun.strongswan.org: ESP::YES
sun::tcpdump::IP sun.strongswan.org > moon.strongswan.org: ESP::YES

以下为moon主机发送的IKE_AUTH Initiatore请求报文,其中Certificate载荷为moon自身的证书;Authentication载荷为签名的认证数据。另外的Certificate Request载荷请求对端的证书,带有CA证书相关信息。

在这里插入图片描述

以下为sun主机的IKE_AUTH Responder回复报文,其中Certificate载荷为sun自身的证书;Authentication载荷为签名的认证数据。此时不再需要请求moon的证书。

在这里插入图片描述

strongswan测试版本: 5.8.1

END

相关推荐
©️2020 CSDN 皮肤主题: 编程工作室 设计师:CSDN官方博客 返回首页