StrongSwan(作为响应者)为每个传入发起者密钥交换意向select一个configuration的连接(在ipsec.conf连接段)。
strongSwan在哪些时候select连接configuration? 是否根据迄今为止收集的知识逐一缩小可能的联系?
例如,在IKEv2交换中,第一个数据包还没有包含标识符(“rightid”),但是与keyexchange=ikev1连接已经不存在了。
第一个响应(如果没有涉及cookie的话)应该已经指出了为IKE SAselect的algorithm,所以必须select一些连接。 那么strongSwan怎么可能做到这一点呢?
那么strongSwan怎么可能做到这一点呢?
根据IP地址( 左侧 )和IKE版本select初步configuration。 在IKE_AUTH交换中的身份可用之前,使用最好的匹配(或者,如果多个configuration匹配的话,也是第一个匹配)。
使用身份切换到不同的连接将基于左rightid (又是IKE版本)中的值发生。 所有匹配的连接都是候选者(最好匹配第一个),稍后可以切换到例如基于右边或右边的validation轮回和约束。