我正在尝试测试我的 StrongSwan RoadWarrior 设置的性能(标准版本在此处)。作为此测试的一部分,我需要确保它正确地重新密钥。我不太熟悉 IPSec,但有没有办法手动触发重新密钥,而不是让它在生命周期内过期?目前我的密钥swanctl.conf设置了一个重新密钥时间,我可以缩短,但我希望能够用一行代码随意完成。
答案1
可以通过以下方式手动触发密钥更新swanctl/维西而且还使用了旧ipsec脚本(尽管没有记录)。
对于 swanctl,命令为。可以通过名称 ( ) 或唯一 ID ( )--rekey选择要重新密钥的 IKE 或子 SA ,这可以通过命令确定。所有与给定选择器匹配的 SA 都会重新密钥,对于 IKE SA,也可以通过选项触发重新认证。VICI 通过命令提供相同的选项,它使用。--ike/--child--ike-id/--child-id--list-sas--reauthrekey()swanctl
使用该ipsec脚本,可以使用实用程序rekey的未记录命令,即。的格式决定了要重新密钥的 SA,类似于strokeipsec stroke rekey <name><name>down命令。例如,使用name或name[]为具有该名称的第一个 IKE SA 重新加密,或者name{}对于第一个子 SA,在[]或中输入数字{}允许通过唯一 ID 重新加密(名称是可选的),使用 或 为name[*]具有name{*}给定名称的所有 SA 重新加密。