实验介绍
该场景是远程用户(roadwarrior)carol和网关moon使用基于GNU libgcrypt库的加密插件gcrypt,执行加密相关操作。而远程用户dave使用strongswan默认的加密插件:为IKE连接使用加密套件:aes des sha1 sha2 md5 gmp等。远程用户carol和dave建立到网关moon的连接,认证采用X.509证书方式,连接成功建立之后,在主机carol和dave上ping网关moon之后的虚拟主机alice,以验证连通性。
以下启动gcrypt-ikev2/rw-cert测试用例.
注意:在启动之前需要执行start-testing脚本开启测试环境。
$ cd strongswan-5.9.6/testing
$
$ sudo ./do-tests gcrypt-ikev2/rw-cert
Guest kernel : 5.2.11
strongSwan : 5.9.6
Date : 20220621-1053-20[ ok ] 1 gcrypt-ikev2/rw-cert: pre..test..post
Passed : 1
Failed : 0The results are available in /srv/strongswan-testing/testresults/20220621-1053-20
or via the link http://192.168.0.150/testresults/20220621-1053-20Finished : 202206221-1053-36
由以上显示可知:测试用例gcrypt-ikev2/rw-cert的测试结果记录文件保存在以下目录:/srv/strongswan-testing/testresults/20220621-1053-20/gcrypt-ikev2/rw-cert/中,这些文件记录了测试过程中虚拟机carol和dave,以及网关moon的各种状态信息和运行日志。
测试拓扑如下:

配置
moon网关配置
配置文件swanctl.conf
strongswan-5.9.6/testing/tests/gcrypt-ikev2/rw-cert/hosts/moon/etc/swanctl/swanctl.conf
注意网关moon的连接配置
- 连接rw(roadwarrior)的proposals使用:aes128-sha256-modp3072,3des-sha1-modp1536,分别对于主机dave和carol的连接proposals配置 。
- 子连接net的esp_proposals使用:caes128-sha256-modp3072,3des-sha1-modp1536,分别对于主机dave和carol的子连接proposals配置。
作为网关,其事先并不知晓连接对端的IP地址信息,此处只有local_addrs的配置。
connections {
rw {
local_addrs = 192.168.0.1
local {
auth = pubkey
certs = moonCert.pem
id = moon.strongswan.org
}
remote {
auth = pubkey
}
children {
net {
local_ts = 10.1.0.0/16
updown = /usr/local/libexec/ipsec/_updown iptables
esp_proposals = aes128-sha256-modp3072,3des-sha1-modp1536
}
}
version = 2
proposals = aes128-sha256-modp3072,3des-sha1-modp1536
}
}
配置文件strongswan.conf
strongswan-5.9.6/testing/tests/gcrypt-ikev2/rw-cert/hosts/moon/etc/strongswan.conf
该配置文件指定要加载的模块,与carol配置相同,这里使用gcrypt插件。(也可以保持默认)
swanctl {
load = pem pkcs1 x509 revocation constraints pubkey openssl random
}charon-systemd {
load = curl test-vectors pem pkcs1 gcrypt nonce x509 revocation hmac xcbc ctr ccm gcm vici kernel-netlink socket-default updown
integrity_test = yes
crypto_test {
on_add = yes
}
}

本文详细描述了一项使用GNUlibgcrypt库的加密插件gcrypt进行的远程用户carol和dave与网关moon的加密连接测试,涉及X.509证书认证、IKEv2协议和ping测试验证。测试包括启动脚本、配置、预测试、实际测试和收尾步骤。
9350

被折叠的 条评论
为什么被折叠?



