Linux-Networking

StrongSwan/IPSec:手動觸發密鑰更新

  • June 5, 2020

我正在嘗試測試我的 StrongSwan RoadWarrior 設置的性能(在此處找到的標准設置)。作為此測試的一部分,我需要確保它正確地重新鍵入。我對 IPSec 不是很熟悉,但是有沒有辦法手動觸發重新生成密鑰而不是讓它在生命週期內過期?目前我swanctl.conf有一個可以縮短的重新設置密鑰時間,但我希望能夠使用 oneliner 隨意完成。

swanctl可以通過/ VICI手動觸發密鑰更新,也可以使用舊ipsec腳本(雖然沒有記錄)。

對於 swanctl,命令是--rekey. 要重新加密的 IKE 或子 SA 可以通過名稱(--ike/--child)或唯一 ID(--ike-id/--child-id)來選擇,可以通過--list-sas命令確定。與給定選擇器匹配的所有 SA 都被重新加密,對於 IKE SA,還可以通過--reauth選項觸發重新身份驗證。VICI 通過使用的rekey()命令提供相同的選項swanctl

使用該ipsec腳本,可以使用rekey該實用程序的未記錄命令,即. 的格式決定了哪些 SA 被重新加密,類似於command。例如,使用或為第一個具有該名稱的 IKE SA 重新加密,或者對於第一個子 SA,將數字放入或允許通過唯一 ID 重新加密(名稱是可選的),其中或所有具有給定名稱的 SA 都被重新加密。stroke``ipsec stroke rekey <name>``<name>downname``name[]``name{}``[]``{}``name[*]``name{*}

引用自:https://serverfault.com/questions/1020217