我正在尝试测试我的 StrongSwan RoadWarrior 设置的性能(在此处找到的标准设置)。作为此测试的一部分,我需要确保它正确地重新键入。我对 IPSec 不是很熟悉,但是有没有办法手动触发重新生成密钥而不是让它在生命周期内过期?目前我swanctl.conf有一个可以缩短的重新设置密钥时间,但我希望能够使用 oneliner 随意完成。
AskOverflow.Dev
swanctl可以通过/ VICI手动触发密钥更新,也可以使用旧ipsec脚本(虽然没有记录)。对于 swanctl,命令是
--rekey. 要重新加密的 IKE 或子 SA 可以通过名称(--ike/--child)或唯一 ID(--ike-id/--child-id)来选择,可以通过--list-sas命令确定。与给定选择器匹配的所有 SA 都被重新加密,对于 IKE SA,还可以通过--reauth选项触发重新身份验证。VICI 通过使用的rekey()命令提供相同的选项swanctl。使用该
ipsec脚本,可以使用rekey该实用程序的未记录命令,即. 的格式决定了哪些 SA 被重新加密,类似于command。例如,使用或为第一个具有该名称的 IKE SA 重新加密,或者对于第一个子 SA,将数字放入或允许通过唯一 ID 重新加密(名称是可选的),其中或所有具有给定名称的 SA 都被重新加密。strokeipsec stroke rekey <name><name>downnamename[]name{}[]{}name[*]name{*}