SWAN之ikev2协议ip-two-pools-mixed配置测试

IPSecurity 专栏收录该内容
89 篇文章 4 订阅

本测试主要验证远程用户carol和alice,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。测试中moon网关定义了两个连接,对应于moon的接口eth0和eth1,分别用于服务carol和alice主机,一个链接使用rightsourceip=%intpool的地址池方式定义;另外一个连接使用简单的网段定义地址池rightsourceip=10.3.0.0/28。本次测试拓扑如下:
在这里插入图片描述

主机配置

carol的配置文件:ikev2/ip-two-pools-mixed/hosts/carol/etc/ipsec.conf,内容如下,主要注意是这里的leftsourceip字段值%config,表示carol主机请求虚拟IP地址。将在IKE_AUTH消息中包含Configuration载荷。alice主机的配置与此类似,其leftsourceip字段也配置为%config。

conn home
        left=PH_IP_CAROL
        leftsourceip=%config
        leftcert=carolCert.pem
        leftid=carol@strongswan.org
        leftfirewall=yes
        right=PH_IP_MOON
        rightid=@moon.strongswan.org
        auto=add

网关配置

moon的配置文件:ikev2/ip-two-pools-mixed/hosts/moon/etc/ipsec.conf,内容如下,配置了两个连接int和ext,其中int的IP地址为PH_IP_MOON1(10.1.0.1),即eth1,与alice主机在一个网段,rightsourceip配置为%intpool,将由此地址池为alice分配虚拟IP地址。连接ext的IP地址为PH_IP_MOON(192.168.0.1),即eth0接口IP,与carol主机在同一个网段,rightsourceip配置为10.3.0.0/28,将由此网段中为carol分配虚拟IP地址。

conn int 
        left=PH_IP_MOON1
        rightsourceip=%intpool
        auto=add

conn ext 
        left=PH_IP_MOON
        rightsourceip=10.3.0.0/28
        auto=add

测试准备阶段

配置文件:ikev2/ip-two-pools-mixed/pretest.dat,内容为通常的ipsec连接的启动语句。另外,使用ipsec pool工具创建了地址池intpool,其地址段为10.4.0.1到10.4.1.244。

moon::cat /usr/local/share/strongswan/templates/database/sql/sqlite.sql > /etc/db.d/ipsec.sql
moon::cat /etc/db.d/ipsec.sql | sqlite3 /etc/db.d/ipsec.db
moon::ipsec pool --add intpool --start 10.4.0.1 --end 10.4.1.244 --timeout  0 2> /dev/null

测试阶段

配置文件:ikev2/ip-two-pools-mixed/evaltest.dat内容如下。在moon网关上使用ipsec leases命令确认由10.3.0.0/28网段分配给carol的虚拟IP地址为10.3.0.1。以及通告intpool地址池分配给alice的虚拟IP地址10.4.0.1。

moon:: ipsec leases 10.3.0.0/28 2> /dev/null::1/14, 1 online::YES
moon:: ipsec leases 10.3.0.0/28 10.3.0.1 2> /dev/null::carol@strongswan.org::YES
moon:: ipsec pool --status 2> /dev/null::intpool.*10.4.0.1.*10.4.1.244.*static.*1::YES
moon:: ipsec pool --leases --filter pool=intpool,addr=10.4.0.1,id=alice@strongswan.org 2> /dev/null::online::YES

以下为moon网关上strongswan进程记录的虚拟IP地址分配信息。

moon charon: 15[IKE] peer requested virtual IP %any
moon charon: 15[CFG] assigning new lease to 'carol@strongswan.org'
moon charon: 15[IKE] assigning virtual IP 10.3.0.1 to peer 'carol@strongswan.org'

moon charon: 07[IKE] peer requested virtual IP %any
moon charon: 07[CFG] acquired new lease for address 10.4.0.1 in pool 'intpool'
moon charon: 07[IKE] assigning virtual IP 10.4.0.1 to peer 'alice@strongswan.org'

strongswan测试版本: 5.8.1

END

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

相关推荐
©️2020 CSDN 皮肤主题: 编程工作室 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值