一旦我运行setkey与下面的configuration文件,
add 1.1.1.1 2.2.2.2 esp 2000 -E aes-ctr 0x3333333333333333333333333333333333333333; add 3.3.3.3 2.2.2.2 esp 2000 -E aes-ctr 0x3333333333333333333333333333333333333333; …它会导致一个错误消息(File Exists),并且只有一个条目与setkey -D一起setkey -D 。 看来目标IP + SPI对应该是唯一的(但是多个添加了相同的源IP + SPI都可以),我想知道是否有意为之,为什么?
更新 :似乎对于传入的IPSEC数据包,添加规则工作, 无论源IP 。 即当我在主机2.2.2.2上面有两个规则的任何一个时,来自任何具有SPI 2000的源IP的传入数据包被接受和解密。 这就解释了为什么我得到第二行的错误信息,但是我仍然不明白为什么源IP被忽略。