StrongSwan/IPSec:手动触发rekey

Question

我正在尝试测试我的StrongSwan RoadWarrior安装程序(在这里找到的标准的)的性能。作为这个测试的一部分，我需要确保它是正确的。我对IPSec不是很熟悉，但是有没有一种方法可以手动触发重键，而不是让它在一生中过期呢？目前，我的swanctl.conf有一个rekey时间集，我可以缩短，但我希望能够随心所欲地使用一个单线杆。

Answer 1

Rekeyings可以通过swanctl/维奇手动触发，但也可以使用遗留的ipsec脚本(但这还没有文档说明)。

对于swanctl，命令是--rekey。可以通过名称(--ike/--child)或唯一ID (--ike-id/--child-id)来选择IKE或can，该ID可以通过--list-sas命令确定。所有匹配给定选择器的SAs都被重新键化，对于IKE，也可以通过--reauth选项触发重新身份验证。VICI通过rekey()命令提供了相同的选项，swanctl使用该命令。

使用ipsec脚本，可以使用stroke实用程序的非文档化的rekey命令，即ipsec stroke rekey 。的格式决定了什么SA被重新键化，类似于down命令。例如，使用name或name[]来使用该名称的第一个is，或使用name{}表示第一个子SA，将数字放入[]或{}中，允许通过唯一ID (名称是可选的)进行重键操作，使用name[*]或name{*}对所有具有给定名称的D21或D22进行重新键控。