Linux Advanced Routing & Traffic Control HOWTO (Hubert, Graf) - страница 24

Теперь можно приступить к формированию политик безопасности, которые в данной ситуации достаточно просты и незамысловаты. На хосте 10.0.0.216:

>#!/sbin/setkey –f

>flush;

>spdflush;

>spdadd 10.0.0.216 10.0.0.11 any –P out ipsec

>       esp/transport//require;

>spdadd 10.0.0.11 10.0.0.216 any –P in ipsec

>       esp/transport//require;

На хосте 10.0.0.11:

>#!/sbin/setkey –f

>flush;

>spdflush;

>spdadd 10.0.0.11 10.0.0.216 any –P out ipsec

>       esp/transport//require;

>spdadd 10.0.0.216 10.0.0.11 any –P in ipsec

>       esp/transport//require;

Теперь все готово к запуску racoon! После того, как он будет запущен, попробуем установить сеанс связи, через telnet, с хоста 10.0.0.11 на хост 10.0.0.216, впрочем можно и наоборот. racoon тут же начнет "переговоры" с удаленным хостом:

>12:18:44: INFO: isakmp.c:1689:isakmp_post_acquire(): IPsec-SA

>  request for 10.0.0.11 queued due to no phase1 found.

>12:18:44: INFO: isakmp.c:794:isakmp_ph1begin_i(): initiate new

>  phase 1 negotiation: 10.0.0.216[500]<=>10.0.0.11[500]

>12:18:44: INFO: isakmp.c:799:isakmp_ph1begin_i(): begin Aggressive mode.

>12:18:44: INFO: vendorid.c:128:check_vendorid(): received Vendor ID:

>  KAME/racoon

>12:18:44: NOTIFY: oakley.c:2037:oakley_skeyid(): couldn't find

>  the proper pskey, try to get one by the peer's address.

>12:18:44: INFO: isakmp.c:2417:log_ph1established(): ISAKMP-SA

>  established 10.0.0.216[500]-10.0.0.11[500] spi:044d25dede78a4d1:ff01e5b4804f0680

>12:18:45: INFO: isakmp.c:938:isakmp_ph2begin_i(): initiate new phase 2

>  negotiation: 10.0.0.216[0]<=>10.0.0.11[0]

>12:18:45: INFO: pfkey.c:1106:pk_recvupdate(): IPsec-SA established:

>  ESP/Transport 10.0.0.11->10.0.0.216 spi=44556347(0x2a7e03b)

>12:18:45: INFO: pfkey.c:1318:pk_recvadd(): IPsec-SA established:

>  ESP/Transport 10.0.0.216->10.0.0.11 spi=15863890(0xf21052)

Если теперь дать команду setkey –D, чтобы просмотреть список созданных защищенных каналов, мы получим такой вывод:

>10.0.0.216 10.0.0.11

>        esp mode=transport spi=224162611(0x0d5c7333) reqid=0(0x00000000)

>        E: 3des-cbc 5d421c1b d33b2a9f 4e9055e3 857db9fc 211d9c95 ebaead04

>        A: hmac-sha1 c5537d66 f3c5d869 bd736ae2 08d22133 27f7aa99

>        seq=0x00000000 replay=4 flags=0x00000000 state=mature

>        created: Nov 11 12:28:45 2002   current: Nov 11 12:29:16 2002

>        diff: 31(s)     hard: 600(s)    soft: 480(s)

>        last: Nov 11 12:29:12 2002      hard: 0(s)   soft: 0(s)

>        current: 304(bytes)     hard: 0(bytes) soft: 0(bytes)

>        allocated: 3    hard: 0 soft: 0

>        sadb_seq=1 pid=17112 refcnt=0