StrongSwan(作为响应者)ipsec.conf为每个传入的发起者密钥交换意图选择一个已配置的连接(中的 conn 部分)。
strongSwan 什么时候选择连接配置?它是否根据迄今为止收集的知识逐一缩小可能的联系?
例如,在 IKEv2 交换中,第一个数据包尚不包含标识符(“rightid”),但keyexchange=ikev1已经无法连接。
第一个响应(如果不涉及 cookie)应该已经表明为 IKE SA 选择的算法,因此必须选择一些连接。strongSwan 怎么可能在那个时候做到这一点?
根据 IP 地址 ( left|right ) 和 IKE 版本选择初步配置。在 IKE_AUTH 交换中的身份可用之前,使用最佳匹配(或者如果多个配置同样匹配则使用第一个)。
使用这些标识将根据left|rightid中的值(以及 IKE 版本)切换到不同的连接。所有匹配的连接都是候选(最好匹配优先),稍后可能会根据认证轮次和约束(如rightca或rightgroups )切换到候选连接。