SWAN之ikev2协议inactivity-timeout配置测试

本测试主要验证carol与sun网关建立连接，同时carol设置inactivity空闲时长为10秒，在超时之后删除连接的功能。本次测试拓扑如下：

配置

carol的配置文件：ikev2/inactivity-timeout/hosts/carol/etc/ipsec.conf，内容如下，inactivity字段指定空闲时长为10秒，超过此时长，将删除建立的子连接。

conn %defaultinactivity=10conn homeleft=PH_IP_CAROLleftfirewall=yesleftcert=carolCert.pemleftid=carol@strongswan.orgright=PH_IP_MOONrightsubnet=10.1.0.0/16rightid=@moon.strongswan.orgauto=add

moon的配置文件：ikev2/inactivity-timeout/hosts/carol/etc/ipsec.conf，内容如下。

conn rwleft=PH_IP_MOONleftfirewall=yesleftcert=moonCert.pemleftid=@moon.strongswan.orgleftsubnet=10.1.0.0/16right=%anyauto=add

测试准备阶段

配置文件：ikev2/inactivity-timeout/pretest.dat，内容为通常的ipsec连接的启动语句。

测试阶段

配置文件：ikev2/inactivity-timeout/evaltest.dat内容如下。首先确认carol主机和moon网关连接（home/rw）是否建立，之后，在主机carol上使用ping命令测试到alice主机的连通性。

moon:: ipsec status 2> /dev/null::rw.*INSTALLED, TUNNEL::YES
carol::ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
carol::ping -c 1 -s 120 -p deadbeef PH_IP_ALICE::128 bytes from PH_IP_ALICE: icmp_.eq=1::YES

接下来，等待11秒钟，超过inactivity定义的10秒。检查carol主机的strongswan进程日志，是否有子连接被删除的记录。以及在moon和carol主机在执行ipsec status命令已不能匹配到rw和home连接安装（INSTALLED）的子连接。此时ping不通。

carol::sleep 11::NO
carol::cat /var/log/daemon.log::deleting CHILD_SA after 10 seconds of inactivity::YES
moon:: ipsec status 2> /dev/null::rw.*INSTALLED::NO
carol::ipsec status 2> /dev/null::home.*INSTALLED::NO
carol::ping -c 1 -W 1 -s 120 -p deadbeef PH_IP_ALICE::128 bytes from PH_IP_ALICE: icmp_.eq=1::NO

以下为carol主机strongswan进程的部分日志。在超过10秒的空闲时间后，关闭子连接home{1}，发送删除通知到对端，删除入方向（SPI： cc51fdd0_i）的ESP，接收到回复后，删除出方向（SPI： cff721ef_o）的ESP。

carol charon: 07[JOB] deleting CHILD_SA after 10 seconds of inactivity
carol charon: 07[IKE] closing CHILD_SA home{1} with SPIs cc51fdd0_i (148 bytes) cff721ef_o (148 bytes) and TS 192.168.0.100/32 === 10.1.0.0/16
carol charon: 07[IKE] sending DELETE for ESP CHILD_SA with SPI cc51fdd0
carol charon: 07[ENC] generating INFORMATIONAL request 2 [ D ]
carol charon: 07[NET] sending packet: from 192.168.0.100[4500] to 192.168.0.1[4500] (80 bytes)
carol charon: 10[NET] received packet: from 192.168.0.1[4500] to 192.168.0.100[4500] (80 bytes)
carol charon: 10[ENC] parsed INFORMATIONAL response 2 [ D ]
carol charon: 10[IKE] received DELETE for ESP CHILD_SA with SPI cff721ef
carol charon: 10[IKE] CHILD_SA closed

以下为carol发送的ESP删除消息的内容：

以下为测试过程中的交互报文。可见最后一个ping报文已无相应。

strongswan测试版本： 5.8.1

END