strongSwan之ipsec命令手册

正文共：1666 字 12 图，预估阅读时间：2 分钟

前面我们在CentOS中安装了strongSwan（对比华三设备配置，讲解Linux主机如何配置strongSwan），可惜现在CentOS停服了（CentOS 7停服之后该怎么安装软件呢？），使用变得不那么方便了，临时的替换方案可以是使用Ubuntu系统（准备搞OpenStack了，先装一台最新的Ubuntu 23.10）。

如果我们在Ubuntu系统中安装strongSwan，我们会得到ipsec命令。ipsec是调用IPsec的实用程序，ipsec实用程序可以调用控制和监视IPsec加密/身份验证系统所涉及的几个实用程序中的任何一个，使用指定的参数和选项运行指定的命令，就像直接调用一样。这在很大程度上消除了与其他软件可能发生的名称冲突，还允许一些集中式服务。

我们安装的是5.9.5版本的strongSwan，在Ubuntu中对应的手册为2013年10月29日的5.9.2dr1版本；如果在Kali系统中（如何将Kali系统部署到U盘？），对应的则是2013年10月29日的5.9.7版本，文档内容目测没有差异。

本手册页中描述的所有命令都是内置的，用于控制和监视IPsec连接以及IKE守护进程。ipsec命令的用法如下：

ipsec command [arguments] [options]

对于其他命令，ipsec为调用的命令提供了一个合适的PATH环境变量，还提供了ENVIRONMENT（环境变量）章节列出的环境变量。

控制命令

start [starter options]

调用starter，后者依次解析ipsec.conf并启动IKE守护进程charon。

update

向启动器发送HUP信号，启动器依次确定ipsec.conf中的任何更改，并更新正在运行的IKE守护进程charon上的配置。

reload

向启动器发送USR1信号，启动器继而基于实际ipsec.conf重新加载正在运行的IKE守护进程charon的整个配置。

restart

相当于在守护2秒后停止然后启动。

stop

终止所有IPsec连接，并通过向启动器发送TERM信号来停止IKE守护进程charon。

up [name]

告诉IKE守护进程启动连接[name]。

down [name]

告诉IKE后台进程终止连接[name]。

down name{n}

终止连接[name]的IKEv1快速模式和IKEv2 CHILD SA实例n。

down name{*}

终止连接[name]的所有IKEv1快速模式和IKEv2 CHILD SA实例。

down name[n]

终止连接[name]的IKE SA实例n。

down name[*]

终止连接[name]的所有IKE SA实例。

down-srcip <start> [<end>]

终止所有IKE SA实例，其中客户端的虚拟IP位于范围起始端内。

route [name]

告诉IKE守护进程在内核中为连接[name]插入IPsec策略，与IPsec策略匹配的第一个有效负载数据包将自动触发IKE连接设置。

unroute [name]

在内核中删除连接[name]的IPsec策略。

status [name]

返回关于连接[name]的简明状态信息，或者如果缺少参数，则返回关于所有连接的简要状态信息。

statusall [name]

返回连接[name]的详细状态信息，如果缺少参数，则返回所有连接的详细状态。

LIST命令

leases [<poolname> [<address>]]

返回所有或所选IP地址池（甚至单个虚拟IP地址）的状态。

listalgs

返回可用于IKE的支持的加密算法列表及其相应的插件。

listpubkeys [--utc]

返回以原始密钥格式加载或从X.509和|或OpenPGP证书中提取的RSA公钥的列表。

listcerts [--utc]

返回由IKE守护进程本地加载或通过IKE协议接收的X.509和|或OpenPGP证书的列表。

listcacerts [--utc]

返回由IKE守护进程从/etc/ipsec.d/cacerts/目录本地加载或通过IKE协议接收的X.509证书颁发机构（Certification Authority，CA）证书的列表。

listaacerts [--utc]

返回由IKE守护进程从/etc/ipsec.d/aacerts/目录本地加载的X.509授权机构（Authorization Authority，AA）证书的列表。

listocspcerts [--utc]

返回由IKE守护进程从/etc/ipsec.d/ocspcerts/目录本地加载或由OCSP服务器发送的X.509 OCSP签名者证书的列表。

listacerts [--utc]

返回IKE守护进程从/etc/ipsec.d/acerts/目录本地加载的X.509属性证书的列表。

listgroups [--utc]

返回用于定义用户授权配置文件的组列表。

listcainfos [--utc]

返回ipsec.conf中CA部分定义的证书颁发机构信息（CRL分发点、OCSP URI、LDAP服务器）。

listcrls [--utc]

返回由IKE守护进程从/etc/ipsec.d/crls目录加载或从基于HTTP或LDAP的CRL分发点获取的证书吊销列表（Certificate Revocation Lists，CRL）的列表。

listocsp [--utc]

返回从OCSP服务器获取的吊销信息。

listplugins

返回所有加载的插件功能的列表。

listcounters [name]

返回自后台进程启动以来收集的全局或特定于连接的IKE计数器值的列表。

listall [--utc]

返回以上列表命令生成的所有信息。每个list命令都可以使用--utc选项调用，该选项以utc而不是本地时间显示所有日期。

REREAD命令

rereadsecrets

刷新并重新读取ipsec.secrets中定义的所有密钥。

rereadcacerts

删除以前加载的CA证书，读取/etc/ipsec.d/cacerts目录中包含的所有证书文件，并将它们添加到证书颁发机构（Certification Authority，CA）证书列表中。这不会影响ipsec.conf配置文件ca部分中明确定义的证书，该部分可以使用update命令单独更新。

rereadaacerts

删除以前加载的AA证书，读取/etc/ipsec.d/aacerts目录中包含的所有证书文件，并将它们添加到授权机构（Authorization Authority，AA）证书列表中。

rereadocspcerts

读取/etc/ipsec.d/ocspcerts/目录中包含的所有证书文件，并将它们添加到OCSP签名者证书列表中。

rereadacerts

读取/etc/ipsec.d/acerts/目录中包含的所有证书文件，并将它们添加到属性证书列表中。

rereadcrls

读取/etc/ipsec.d/crls/目录中包含的所有证书吊销列表（Certificate Revocation Lists，CRL），并将它们添加到CRL列表中。

rereadall

执行上面列出的所有reread命令。

RESET命令

resetcounters [name]

重置全局计数器或特定于连接[name]的计数器。

PURGE命令

purgecerts

清除所有缓存的证书。

purgecrls

清除所有缓存的CRL。

purgeike

清除没有快速模式或子SA的IKE SA。

purgeocsp

清除所有缓存的OCSP信息记录。

INFO命令

--help

返回ipsec命令的使用信息。

--version

如果strongSwan使用其运行的Linux内核的本机NETKEY IPsec堆栈，则以以下形式返回版本信息：

Linux strongSwan U＜strongSwan用户版本＞/K＜Linux内核版本＞

--versioncode

如果strongSwan使用其运行的Linux内核的本机NETKEY IPsec堆栈，则以以下形式返回版本号：

U＜strongSwan用户版本＞/K＜Linux内核版本＞

--copyright

返回版权信息。

--directory

返回由配置选项定义的LIBEXECDIR目录。

--confdir

返回由配置选项定义的SYSCONFDIR目录。

--piddir

返回由配置选项定义的PIDDIR目录。

文件

/usr/libexec/ipsec实用程序目录。

环境变量

当调用其他命令时，ipsec命令提供以下环境变量。

IPSEC_DIR：包含ipsec程序和实用程序的IPSEC脚本；

IPSEC_BINDIR：包含pki命令的目录；

IPSEC_SBINDIR：包含ipsec命令的目录；

IPSEC_CONFDIR：包含配置文件的目录；

IPSEC_PIDDIR：包含PID/套接字文件的目录；

IPSEC_SCRIPT：ipsec脚本的名称；

IPSEC_NAME：IPsec发行版的名称；

IPSEC_VERSION：IPsec用户和内核的版本号；

IPSEC_STARTER_PID：IPsec启动器的PID文件；

IPSEC_CHARON_PID：IKE键控后台进程的PID文件。

参考信息

ipsec.conf(strongSwan之ipsec.conf配置手册), ipsec.secrets(strongSwan之ipsec.secrets配置手册)。

长按二维码
关注我们吧

对比华三设备配置，讲解Linux主机如何配置strongSwan

配置strongSwan和H3C VSR的IPsec对接案例

strongSwan穿越NAT与公网VSR对接IPsec配置案例

CentOS 7停服之后该怎么安装软件呢？

网络之路第五章：基础网络实验

巧用openVPN实现访问云资源池业务

手撸一个自动搭建openVPN服务器的SHELL脚本

Kali Linux安装中文输入法

配置CentOS 7通过MSTSC连接远程桌面

Windows配置共享文件夹

openVPN配置实现客户端互访

CentOS编译安装OpenSSL 3.3.1

OpenSSL命令手册

如何在Ubuntu 23.10部署KVM并创建虚拟机？

将iStoreOS部署到VMware ESXi变成路由器