一旦我使用以下配置文件运行 setkey,
add 1.1.1.1 2.2.2.2 esp 2000 -E aes-ctr 0x3333333333333333333333333333333333333333;
add 3.3.3.3 2.2.2.2 esp 2000 -E aes-ctr 0x3333333333333333333333333333333333333333;
...它会导致出现错误消息(文件存在),并且只显示一个条目setkey -D。似乎目标 IP+SPI 对应该是唯一的,(但使用相同源 IP+SPI 的多个添加是可以的),我想知道这是否是故意的,为什么?
更新:对于传入的 IPSEC 数据包,添加规则似乎有效无论源 IP即当我在主机 2.2.2.2 上设置上述两条规则中的任何一条时,来自任何 SPI 为 2000 的源 IP 的传入数据包都会被接受和解密。这解释了为什么我收到第二行的错误消息,但我仍然不太明白为什么源 IP 被忽略。