Ipsec
strongSwan 何時以及使用哪些參數選擇連接?
StrongSwan(作為響應者)
ipsec.conf
為每個傳入的發起者密鑰交換意圖選擇一個已配置的連接(中的 conn 部分)。strongSwan 什麼時候選擇連接配置?它是否根據迄今為止收集的知識逐一縮小可能的聯繫?
例如,在 IKEv2 交換中,第一個數據包尚不包含標識符(“rightid”),但
keyexchange=ikev1
已經無法連接。第一個響應(如果不涉及 cookie)應該已經表明為 IKE SA 選擇的算法,因此必須選擇*一些連接。*strongSwan 怎麼可能在那個時候做到這一點?
strongSwan 怎麼可能在那個時候做到這一點?
根據 IP 地址 ( left|right ) 和 IKE 版本選擇初步配置。在 IKE_AUTH 交換中的身份可用之前,使用最佳匹配(或者如果多個配置同樣匹配則使用第一個)。
使用這些標識將根據left|rightid中的值(以及 IKE 版本)切換到不同的連接。所有匹配的連接都是候選(最好匹配優先),稍後可能會根據認證輪次和約束(如rightca或rightgroups )切換到候選連接。