SWAN之ikev2协议dpd

协议dpd"/>

SWAN之ikev2协议dpd

本测试主要验证远程用户carol和网关moon建立连接之后，由于链路问题，导致DPD（Dead Peer Detection）检查报文没有响应，删除连接的功能。本次测试拓扑如下：

carol主机配置

carol的配置文件：ikev2/dpd-clear/hosts/carol/etc/ipsec.conf，内容如下，keyexchange字段为ikev2，表示采用IKEv2协议。left字段的值为carol主机的IP地址。right字段指明对端为moon网关，但是rightid字段为moon的ID信息：moon@strongswan。rightsubnet字段指明对端的子网为：10.1.0.0/16。

config setupconn %defaultikelifetime=60mkeylife=20mrekeymargin=3mkeyingtries=1conn homeleft=PH_IP_CAROLleftcert=carolCert.pemleftid=carol@strongswanleftfirewall=yesright=PH_IP_MOONrightid=@moon.strongswanrightsubnet=10.1.0.0/16keyexchange=ikev2auto=add

moon网关的配置文件：ikev2/double-nat-net/hosts/moon/etc/ipsec.conf，内容如下，基本内容与alice主机相同。但是right字段的值为%any，表明接收任何主机发来的连接，此配置不能主动发起连接，需要等待carol的连接请求。需要注意的是此处指定了dpdaction的值为clear，即dpd检查失败之后，清除连接。字段dpddelay的值为10秒，指定dpd检测间隔。

config setupconn %defaultikelifetime=60mkeylife=20mrekeymargin=3mkeyingtries=1keyexchange=ikev2dpdaction=cleardpddelay=10conn rwleft=PH_IP_MOONleftcert=moonCert.pemleftid=@moon.strongswanleftsubnet=10.1.0.0/16right=%anyrightid=carol@strongswanauto=add

测试准备阶段

配置文件：ikev2/dpd-clear/pretest.dat，内容为ipsec连接的启动语句。

moon::ipsec start
carol::ipsec start
moon::expect-connection rw
carol::expect-connection home
carol::ipsec up home

测试阶段

配置文件：ikev2/dpd-clear/evaltest.dat。以下测试语句检查在carol主机和moon网关上隧道建立成功。随后，在carol主机上丢弃所有moon的报文，模拟链路断开的情况。最后，延时13秒（超出dpd配置的10秒间隔），在moon网关的strongswan进程日志中，确认DPD功能生效。

carol::ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
moon:: ipsec status 2> /dev/null::rw.*INSTALLED, TUNNEL::YES
carol::iptables -A INPUT -i eth0 -s PH_IP_MOON -j DROP::no output expected::NO
moon:: sleep 13::no output expected::NO
moon:: cat /var/log/daemon.log::sending DPD request::YES
moon:: cat /var/log/daemon.log::retransmit.*of request::YES
moon:: cat /var/log/daemon.log::giving up after.*retransmits::YES
moon:: ipsec status 2> /dev/null::rw.*INSTALLED::NO

以下为moon网关的strongswan进程日志，在经历了2此重传之后而结束，共传输了3个DPD报文。

moon charon: 15[IKE] sending DPD request
moon charon: 15[ENC] generating INFORMATIONAL request 0 [ ]
moon charon: 15[NET] sending packet: from 192.168.0.1[4500] to 192.168.0.100[4500] (80 bytes)
moon charon: 16[IKE] retransmit 1 of request with message ID 0
moon charon: 16[NET] sending packet: from 192.168.0.1[4500] to 192.168.0.100[4500] (80 bytes)
moon charon: 06[IKE] retransmit 2 of request with message ID 0
moon charon: 06[NET] sending packet: from 192.168.0.1[4500] to 192.168.0.100[4500] (80 bytes)
moon charon: 05[IKE] giving up after 2 retransmits

如下图所示，传输了3个INFORMATIONAL报文，消息ID为0。第一个DPD报文在最后一个IKE_AUTH报文发送10秒之后发出。

strongswan测试版本： 5.8.1

END