ipsec.confStrongSwan(作为响应者)为每个传入的发起者密钥交换意图选择一个配置的连接(中的 conn 部分)。
strongSwan 何时选择连接配置?它是否根据迄今为止收集到的知识逐一缩小可能的连接范围?
例如在 IKEv2 交换中,第一个数据包尚未包含标识符(“rightid”),但与之的连接keyexchange=ikev1已经不可能了。
第一个响应(如果没有涉及 cookie)应该已经表明为 IKE SA 选择的算法,因此一些必须选择连接。此时 strongSwan 怎么可能做到这一点?
答案1
那么 strongSwan 怎么可能做到这一点呢?
根据 IP 地址选择初步配置(左|右) 和 IKE 版本。将使用最佳匹配(如果多个配置同样匹配,则使用第一个匹配),直到 IKE_AUTH 交换中的身份可用。
使用身份时,将根据以下值切换到不同的连接:左|右id(再次是 IKE 版本)。所有匹配的连接都是候选(最佳匹配优先),稍后可能会根据身份验证轮次和约束切换到这些候选连接,例如右卡或者正确的群体。