Я пытаюсь протестировать производительность моей установки StrongSwan RoadWarrior ( Стандартная, найденная здесь ). В рамках этого тестирования мне нужно убедиться, что он правильно меняет ключи. Я не очень хорошо знаком с IPSec, но есть ли способ вручную запустить смену ключей вместо того, чтобы позволить ей истечь в течение срока службы? В настоящее время в моем swanctl.conf
установлено время смены ключей, которое я мог бы сократить, но я хотел бы иметь возможность делать это по желанию с помощью одинарного лайнера.
Смену ключей можно запускать вручную с помощью swanctl
/VICI, а также с помощью устаревшего сценария ipsec
(хотя это не задокументировано ).
Для swanctl используется команда --rekey
. IKE или Child SA для смены ключа можно выбрать либо по имени (--ike/--child
), либо по уникальному идентификатору (--ike-id/--child-id
), что можно определить с помощью команды --list-sas
. Все SA, соответствующие заданным селекторам, получают новый ключ, а для IKE SA также можно инициировать повторную аутентификацию с помощью параметра --reauth
. VICI предоставляет те же параметры с помощью команды rekey()
, которую использует swanctl
.
Со сценарием ipsec
можно использовать недокументированную команду rekey
утилиты stroke
, т.е. ipsec stroke rekey
. Формат <имя>
определяет, какой SA будет изменен, аналогично команде down
. Например, используйте имя
или имя[]
, чтобы повторно ввести первый IKE SA с таким именем, или имя{}
для первого дочернего SA, поместив числа в []
или {}
позволяют сменить ключ с помощью уникального идентификатора (в этом случае имя необязательно), с имя[*]
или имя{*}
для всех SA с данное имя изменено.