SWAN之ikev2协议config-payload-swapped配置测试

本测试主要验证远程用户carol以及dave和网关moon之间的IKE配置（configuration）功能，由两个远程用户发起配置请求，moon网关回复分配的虚拟IP地址和DNS服务器地址信息。在远程用户carol和dave主机的ipsec.conf配置文件中，将rightsourceip设置为%config开启此功能。此测试与config-payload测试基本相同（），只是这里使用right相关字段表示本地信息，left相关字段表示远端信息。在config-payload测试中，ipsec.conf文件中的leftsourceip设置为%config。本次测试拓扑如下：

主机配置

carol的连接配置文件：ikev2/config-payload-swapped/hosts/carol/etc/ipsec.conf，内容如下，主要关注home连接中的rightsourceip字段设置为%config，这正是本次测试的地址配置功能。dave主机的ipsec.conf配置与carol基本相同。

config setupconn %defaultikelifetime=60mkeylife=20mrekeymargin=3mkeyingtries=1keyexchange=ikev2conn homeright=PH_IP_CAROLrightsourceip=%configrightcert=carolCert.pemrightid=carol@strongswan.orgrightfirewall=yesrighthostaccess=yesleft=PH_IP_MOONleftsubnet=10.1.0.0/16leftid=@moon.strongswan.orgauto=add

网关moon配置

moon的配置文件：ikev2/config-payload-swapped/hosts/moon/etc/ipsec.conf，内容如下，主要关注rw-carol连接的leftsourceip字段设置为PH_IP_CAROL1，此为要分配给carol主机的虚拟IP，由全局配置文件strongswan-5.8.1/testing/testing.conf可知其值为10.3.0.1。对于连接rw-dave配置相似，分配给dave的虚拟IP地址为PH_IP_DAVE1，其值为10.3.0.2。

config setupconn %defaultikelifetime=60mkeylife=20mrekeymargin=3mkeyingtries=1keyexchange=ikev2right=PH_IP_MOONrightsubnet=10.1.0.0/16rightcert=moonCert.pemrightid=@moon.strongswan.orgrightfirewall=yesconn rw-carolleft=%anyleftid=carol@strongswan.orgleftsourceip=PH_IP_CAROL1auto=addconn rw-daveleft=%anyleftid=dave@strongswan.orgleftsourceip=PH_IP_DAVE1auto=add

测试准备阶段

配置文件：ikev2/config-payload-swapped/pretest.dat，主要是ipsec连接的启动，不再累述。

测试阶段

配置文件：ikev2/config-payload-swapped/evaltest.dat。以下测试语句检查carol主机上strongswan的运行日志，匹配安装虚拟ip地址：PH_IP_CAROL1的信息。接下来在carol的接口eth0上验证此IP地址，以及检查路由表220中的去往10.1.0.0/16网段的源地址为PH_IP_CAROL1的路由信息。ping命令检测carol到alice的连通性。

carol::cat /var/log/daemon.log::installing new virtual IP PH_IP_CAROL1::YES
carol::ip addr list dev eth0::PH_IP_CAROL1::YES
carol::ip route list table 220::10.1.0.0/16.*src PH_IP_CAROL1::YES
carol::ping -c 1 PH_IP_ALICE::64 bytes from PH_IP_ALICE: icmp_.eq=1::YES

以下为在主机dave上进行的测试语句，与以上主机carol上的测试类似。

dave:: cat /var/log/daemon.log::installing new virtual IP PH_IP_DAVE1::YES
dave:: ip addr list dev eth0::PH_IP_DAVE1::YES
dave:: ip route list table 220::10.1.0.0/16.*src PH_IP_DAVE1::YES
dave:: ping -c 1 PH_IP_ALICE::64 bytes from PH_IP_ALICE: icmp_.eq=1::YES

以下为在carol主机上strongswan进程的日志文件的部分信息，显示了虚拟IP的安装日志（PH_IP_CAROL1 == 10.3.0.1）。

carol charon: 13[IKE] installing new virtual IP 10.3.0.1

由下图tcpdump抓取的报文（已解密）可见，alice主机在IKE_AUTH Initiator Request报文中携带了Configuration（47）载荷，其中的类型为：CFG_REQUEST(1)，这里由一个请求的配置属性：INTERNAL_IP4_ADDRESS。

在moon网关的回复报文IKE_AUTH Responder Response中，携带了回复的Configuration载荷，其中类型为：CFG_REPLY(2)，三个配置属性，分别为虚拟IP地址和两个DNS服务器地址。如下所示。

strongswan测试版本： 5.8.1

END