IKEv1是否支持一个源IP范围的多个组合？

Question

我在网上看到，IKEv1和IKEv2之间的不同之处在于使用了一个源IP范围的多个组合作为左、右子网(本地和远程)、一个目标IP范围、一个源端口范围和一个目标端口范围。我在Ubuntu16.4LTE上使用Strongswan 5.3.5版本。

Answer 1

不，IKEv1不支持在一个SA中协商多个源IP范围(或子网)的组合。

IKEv1 RFCs (特别是2407和2409)将协商后的源IP限制为单个IP地址或IP子网(即IP地址和掩码；这通常用于处理10.0.0.0/8之类的事情；它还可以处理“任意”IP地址) 1。至于端口，您可以请求一个特定的端口，或者任何一个端口；之间不允许有任何端口。而且，不，单个SA不能有多个；如果需要保护多个子网，则需要协商单独的SAs。

IKEv1的Strongswan实现可能尝试超出RFC允许的范围(至少，在与其他Strongswan实现进行谈判时)；然而，我个人认为这是不可能的。

1：注意:这是子网，不是范围；它不能协商，比如10.0.0.1-10.0.0.6；最接近的是10.0.0.0/29 (也包括10.0.0.0和10.0.0.7)。它可以协商“不连续的”子网，比如10.0.X.1 (对于任何X)；如果许多IKEv1实现不支持这样一个奇怪的东西，我也不会感到惊讶.