本文主要是介绍SWAN之ikev2协议mobike配置测试,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
本测试主要验证远程用户alice与网关sun建立连接时,首先使用eth1接口的IP地址发起连接,在建立连接之后,禁用eth1,以便连接可更新到eth0接口上。其中alice主机的两个接口与sun网关之间都是可达的。以此测试mobike功能。本次测试拓扑如下:
eth1 |--------| 192.168.0.50 | alice |-------------------------------------------| |--------| | | eth0 || 10.1.0.10 || || eth0 | eth0 |------------| |--------| 192.168.0.1 |------------| 192.168.0.1 |--------| |------------|| test-br1 |---------| moon |---------------| test-br0 |--------------| sun |---------------| test-br2 ||------------| |--------| |------------| |--------| eth1 |------------|| eth1 | 10.2.0.1 || 10.1.0.1 | || | || | || 10.1.0.20 192.168.0.100 | 192.168.0.200 10.2.0.10 | |--------| |--------| | |--------| |--------| | venus | | carol |------|------| dave | | bob | |--------| |--------| |--------| |--------|
主机配置
alice的配置文件:ikev2/mobike/hosts/alice/etc/ipsec.conf,内容如下。
conn mobikeleft=192.168.0.50leftcert=aliceCert.pemleftid=alice@strongswan.orgright=PH_IP_SUNrightid=@sun.strongswan.orgrightsubnet=10.2.0.0/16auto=add
sun网关的配置文件:ikev2/mobike/hosts/sun/etc/ipsec.conf,内容如下。
conn mobikeleft=PH_IP_SUNleftcert=sunCert.pemleftid=@sun.strongswan.orgleftsubnet=10.2.0.0/16right=192.168.0.50rightid=alice@strongswan.orgauto=add
测试准备阶段
配置文件:ikev2/mobike/pretest.dat,内容为通常的ipsec连接的启动语句。另外需要注意的是启用alice的eth1接口,此次测试使用此接口发起连接。在sun网关上增加到10.1.0.0/16网段的路由,下一跳为moon主机,moon主机可在alice的接口eth0(10.1.0.10)和sun的eth0接口(192.168.0.2)之间路由流量。
alice::ifup eth1
sun::ip route add 10.1.0.0/16 via PH_IP_MOON
测试阶段
配置文件:ikev2/mobike/evaltest.dat内容如下。在确认alice主机和sun网关连接建立之后,在主机alice上检查ipsec statusall命令的输出内容,确认192.168.0.50(eth1)到10.2.0.0/16网段的连接,然后使用ping命令测试到bob主机的连通性。
alice::ipsec statusall 2> /dev/null::192.168.0.50/32 === 10.2.0.0/16::YES
sun:: ipsec statusall 2> /dev/null::10.2.0.0/16 === 192.168.0.50/32::YES
alice::ping -c 1 PH_IP_BOB::64 bytes from PH_IP_BOB: icmp_.eq=1::YES
接下来,禁用eth1接口,使用ipsec status命令在alice和sun主机上检查连接的建立情况,最后使用ping命令测试到主机bob的连通性。
alice::ifdown eth1::No output expected::NO
alice::sleep 1::No output expected::NO
alice::ipsec status 2> /dev/null::mobike.*ESTABLISHED.*PH_IP_ALICE.*PH_IP_SUN::YES
sun:: ipsec status 2> /dev/null::mobike.*ESTABLISHED.*PH_IP_SUN.*PH_IP_ALICE::YES
alice::ipsec statusall 2> /dev/null::PH_IP_ALICE/32 === 10.2.0.0/16::YES
sun:: ipsec statusall 2> /dev/null::10.2.0.0/16 === PH_IP_ALICE/32::YES
alice::ping -c 1 PH_IP_BOB::64 bytes from PH_IP_BOB: icmp_.eq=1::YES
以下为在建立连接的IKE_AUTH消息中,alice主机发送的MOBIKE的支持,以及额外的IP地址信息,这里是:10.1.0.10(接口eth0的地址)。
以下为alice主机上strongswan进程的日志信息。在检测到eth1禁用,其地址192.168.0.50(IPv6:fe80::5054:ff:fe3b:cd7)不可用之后,查找到对端地址192.168.0.2(sun网关)的路由,重新选择可达的源地址。这里选择的是eth0接口的地址10.1.0.10,由于对端sun网关通告了两个地址:192.168.0.2和10.2.0.1,分别检测alice到这两个地址的路径。最后,向192.168.0.2发送地址更新消息。
alice charon: 07[KNL] 192.168.0.50 disappeared from eth1
alice charon: 15[KNL] interface eth1 deactivated
alice charon: 10[KNL] fec0::5 disappeared from eth1
alice charon: 11[KNL] fe80::5054:ff:fe3b:cd7 disappeared from eth1
alice charon: 12[IKE] old path is not available anymore, try to find another
alice charon: 12[IKE] looking for a route to 192.168.0.2 ...
alice charon: 12[IKE] requesting address change using MOBIKE
alice charon: 12[ENC] generating INFORMATIONAL request 2 [ ]
alice charon: 12[IKE] checking path 10.1.0.10[4500] - 192.168.0.2[4500]
alice charon: 12[NET] sending packet: from 10.1.0.10[4500] to 192.168.0.2[4500] (80 bytes)
alice charon: 12[IKE] checking path 10.1.0.10[4500] - 10.2.0.1[4500]
alice charon: 12[NET] sending packet: from 10.1.0.10[4500] to 10.2.0.1[4500] (80 bytes)
alice charon: 15[NET] received packet: from 192.168.0.2[4500] to 10.1.0.10[4500] (80 bytes)
alice charon: 15[ENC] parsed INFORMATIONAL response 2 [ ]
alice charon: 15[ENC] generating INFORMATIONAL request 3 [ N(UPD_SA_ADDR) N(NATD_S_IP) N(NATD_D_IP) N(COOKIE2) N(ADD_6_ADDR) ]
下图为报文中的地址更新消息
strongswan测试版本: 5.8.1
END
这篇关于SWAN之ikev2协议mobike配置测试的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
