SWAN之ikev2协议inactivity-timeout配置测试
本测试主要验证carol与sun网关建立连接,同时carol设置inactivity空闲时长为10秒,在超时之后删除连接的功能。本次测试拓扑如下:
配置
carol的配置文件:ikev2/inactivity-timeout/hosts/carol/etc/ipsec.conf,内容如下,inactivity字段指定空闲时长为10秒,超过此时长,将删除建立的子连接。
conn %defaultinactivity=10conn homeleft=PH_IP_CAROLleftfirewall=yesleftcert=carolCert.pemleftid=carol@strongswan.orgright=PH_IP_MOONrightsubnet=10.1.0.0/16rightid=@moon.strongswan.orgauto=add
moon的配置文件:ikev2/inactivity-timeout/hosts/carol/etc/ipsec.conf,内容如下。
conn rwleft=PH_IP_MOONleftfirewall=yesleftcert=moonCert.pemleftid=@moon.strongswan.orgleftsubnet=10.1.0.0/16right=%anyauto=add
测试准备阶段
配置文件:ikev2/inactivity-timeout/pretest.dat,内容为通常的ipsec连接的启动语句。
测试阶段
配置文件:ikev2/inactivity-timeout/evaltest.dat内容如下。首先确认carol主机和moon网关连接(home/rw)是否建立,之后,在主机carol上使用ping命令测试到alice主机的连通性。
moon:: ipsec status 2> /dev/null::rw.*INSTALLED, TUNNEL::YES
carol::ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
carol::ping -c 1 -s 120 -p deadbeef PH_IP_ALICE::128 bytes from PH_IP_ALICE: icmp_.eq=1::YES
接下来,等待11秒钟,超过inactivity定义的10秒。检查carol主机的strongswan进程日志,是否有子连接被删除的记录。以及在moon和carol主机在执行ipsec status命令已不能匹配到rw和home连接安装(INSTALLED)的子连接。此时ping不通。
carol::sleep 11::NO
carol::cat /var/log/daemon.log::deleting CHILD_SA after 10 seconds of inactivity::YES
moon:: ipsec status 2> /dev/null::rw.*INSTALLED::NO
carol::ipsec status 2> /dev/null::home.*INSTALLED::NO
carol::ping -c 1 -W 1 -s 120 -p deadbeef PH_IP_ALICE::128 bytes from PH_IP_ALICE: icmp_.eq=1::NO
以下为carol主机strongswan进程的部分日志。在超过10秒的空闲时间后,关闭子连接home{1},发送删除通知到对端,删除入方向(SPI: cc51fdd0_i)的ESP,接收到回复后,删除出方向(SPI: cff721ef_o)的ESP。
carol charon: 07[JOB] deleting CHILD_SA after 10 seconds of inactivity
carol charon: 07[IKE] closing CHILD_SA home{1} with SPIs cc51fdd0_i (148 bytes) cff721ef_o (148 bytes) and TS 192.168.0.100/32 === 10.1.0.0/16
carol charon: 07[IKE] sending DELETE for ESP CHILD_SA with SPI cc51fdd0
carol charon: 07[ENC] generating INFORMATIONAL request 2 [ D ]
carol charon: 07[NET] sending packet: from 192.168.0.100[4500] to 192.168.0.1[4500] (80 bytes)
carol charon: 10[NET] received packet: from 192.168.0.1[4500] to 192.168.0.100[4500] (80 bytes)
carol charon: 10[ENC] parsed INFORMATIONAL response 2 [ D ]
carol charon: 10[IKE] received DELETE for ESP CHILD_SA with SPI cff721ef
carol charon: 10[IKE] CHILD_SA closed
以下为carol发送的ESP删除消息的内容:
以下为测试过程中的交互报文。可见最后一个ping报文已无相应。
strongswan测试版本: 5.8.1
END
SWAN之ikev2协议inactivity-timeout配置测试相关推荐
- SWAN之ikev2协议mobike配置测试
本测试主要验证远程用户alice与网关sun建立连接时,首先使用eth1接口的IP地址发起连接,在建立连接之后,禁用eth1,以便连接可更新到eth0接口上.其中alice主机的两个接口与sun网关之 ...
- SWAN之ikev2协议lookip配置测试
本测试主要验证远程用户carol.dave与网关moon建立连接时,通过在ipsec.conf文件中指定leftsourceip字段值为%config,由moon获取虚拟IP地址的功能.并在moon上 ...
- SWAN之ikev2协议forecast配置测试
本测试中远程用户carol,dave分别与网关sun建立连接时,并获取虚拟IP地址,moon网关与两个远程用户协商多播和广播的流量选择符,并且使用mark值做区分.网关moon上的forecast插件 ...
- SWAN之ikev2协议farp配置测试
本测试主要验证远程用户carol.dave与网关moon建立连接时,并且通过在ipsec.conf文件中设置leftsourceip=%config,向moon网关请求虚拟IP地址,此虚拟地址位于10 ...
- SWAN之ikev2协议compress配置测试
本测试主要验证远程用户carol和moon网关之间的IPComp压缩功能,两次使用ping测试隧道连接的压缩与否,使用的报文长度不同,内核不压缩长度较小的报文.测试拓扑如下: 主机配置 carol的连 ...
- SWAN之ikev2协议config-payload-swapped配置测试
本测试主要验证远程用户carol以及dave和网关moon之间的IKE配置(configuration)功能,由两个远程用户发起配置请求,moon网关回复分配的虚拟IP地址和DNS服务器地址信息.在远 ...
- SWAN之ikev2协议host2host-swapped配置测试
本测试主要验证moon与sun主机基于X.509证书认证的连接场景,在配置文件ipsec.conf中使用right相关关键字表示本地配置,而使用left表示对端的配置,已测试strongswan的配置 ...
- IKEv2协议中的EAP-TLS认证处理流程
以下根据strongswan代码中的testing/tests/ikev2/rw-eap-tls-only/中的测试环境,验证一下IKEv2协议的EAP-TLS认证过程.拓扑结构如下: 拓扑图中使用到 ...
- Tacacs-双通道认证配置测试与总结
其他文章: Tacacs+协议原理 Tacacs+服务搭建与配置详解 Tacacs+各厂商交换机配置 Tacacs+协议交互报文抓包示例 Tacacs+双通道认证配置测试与总结 Tacacs+配置si ...
最新文章
- 工厂模式(Factory)
- 卷积层和全连接层的区别_1*1的卷积核和全连接层有什么异同?
- 论如何学习一门编程语言
- GridView RowDeleting 动态添加行,删除行记录 不删除数据库中记录
- php软件安装及调试_PHP调试利器XDebug的安装与使用
- Boost:boost::bimaps::unordered_multiset_of的测试程序
- RabbitMQ之TTL(Time-To-Live 过期时间)
- Mr. Bender and Square
- 《Business Rules Engine Overview》--《业务规则引擎概述》write by Mark Kamoski
- 论Acmer的自我修养 (算法学习目标和推荐题目)
- diyupload插件:批量图片上传
- 解决Windows不在第一分区时变色龙引导问题
- 主成分回归之后预测_回归分析之主成分回归
- 领域、子域、核心域、通用域、支撑域
- 在命令窗中查询当前电脑IP
- Iaas、Paas、Saas都是什么意思?
- 使用网上成熟的【MySqlBackup】组件,通过WEB网页操作,备份远程计算机中的数据库到C:\inetpub\wwwroot文件夹下,系统汇报错误(访问被拒绝),该如何解决呢?
- 关于Ecshop小京东,手机管理后台,增加楼层右边分类不显示的问题
- 【前端学习笔记】JQuery事件细节、JQ进阶常用方法
- Java程序员的认证--SUN认证