ipsec.conf(5) - Linux man pag 中文翻译

ipsec.conf(5) - Linux man page
****英文网址：https://linux.die.net/man/5/ipsec.conf
**未经许可，禁止转载，请知悉！！！ **

Name (名称)
ipsec.conf - IPsec配置和连接

Description (描述)
可自行配置的ipsec.conf文件为Openswan IPsec子系统指定了大多数配置和控制信息。（重大的例外是有关身份验证的密钥，查看ipsec.secrets(5)），
它包含的内容不是安全且敏感的，除非手动配置的信息不仅仅用于测试，那么加密/认证密钥就属于非常敏感，
那么这些连接的描述最好放在一个单独的文件中，通过接下来描述的

该文件是一个文本文件，由一个或者多个部分组成，空白符后跟#，那么从#到该行尾都是注释。

包含“include” 和 “文件名”（两者被空格分开）的一行，该行将被替换为文件的内容，替换后前面和后面都有空行隔开。
如果文件名不是完整路径名，则认为与包含该文件的目录相关。可能只提供一个文件名，并且不包含空格，
但是可能包含shell通配符（参见 sh(1)）;比如 include ipsec.*.conf
include这种用法的主要目的是允许连接信息或者连接设置，和主要的配置文件分开，包括更改连接描述，
或者拷贝到相关联的安全网关等，从而不必经常修改主配置文件，
还要注意“also”和“alsoflip”参数（如下面描述的），他们允许将单个逻辑部分（例如连接描述）分成几个实际部分。

该文件的第一个重要行必须指定它符合的此规范的版本：

version 2
一个部分以一行开头

type name
其中type表示后面的部分类型，name是任意名称，用于区分该部分与相同类型的部分。
名称必须以字母开头，并且可能只包含字母，数字，句点，下划线和连字符。
以空格开头的所有后续非空行都是该部分的一部分; 部分中的注释也必须以空格开头。
这里可能只有给定类型的一个部分具有给定名称。

该部分内的行通常是这种格式

parameter=value

注意前面的强制空格, 在=的两侧可以有空白区域。 参数名称遵循与该部分名称相同的语法，
参数名称对应具体的所属部分，除非另有明确说明，否则参数名称在同一部分中不会出现多次。

空值表示参数的系统默认值（如果有的话），即它大致相当于缺省。
仅当整个值用双引号（“）括起来时，值才可能包含空格;值本身不能包含双引号，也不能跨越多行。

数值被指定为“整数”（数字序列）或“十进制数”（数字序列可选地后跟 ‘.’ 和另一个数字序列）。

目前有一个参数可用于任何类型的部分：

also
这个值是一个部分的名称；该部分的参数将附加到also所在的部分，就好像它们已作为其一部分编写一样。 
指定的部分必须存在，必须遵循当前部分，并且必须具有相同的部分类型。
允许嵌套，在一个部分中可能有多个also，虽然禁止一个部分出现多次。
例如，通过使用一个also参数和一个include行，将保持连接的加密密钥放在在单独的文件中以便和其他的描述分离。
注意，请参阅下面的BUGS以了解某些限制。

alsoflip
可以用于conn部分，它的作用就像also翻转引用部分。
以x-（或X-，或x_或X_）开头的参数名称保留用于用户扩展，永远不会被IPsec赋予含义。
具有此类名称的参数仍必须遵守语法规则（名称中使用的字符限制;非引用值中没有空格;值中没有换行符或双引号）。
所有其他尚未使用的参数名称保留用于将来的IPsec改进。
一个部分的名称带有%default 指定该部分相同类型的默认值。
对于其中的每个参数，部分中的相同类型如果没有相同名称的参数，就会从%default获取拷贝值。给定类型可能有多个%default。
但是只有一个默认部分可能提供给任何具体参数名称，并且给定类型的所有%default都必须在非默认部分之前，%default可能不含有also或者alsoflip参数。
目前有两种类型的部分：config 部分指定IPsec的一般配置信息，conn 部分指定IPsec连接。

Conn Sections
一个conn部分包含了一个连接规范，定义了使用IPSEC的一个网络连接，连接的名称是开以任意取的，
用于标识 ipsec_auto(8)和ipsec_manual(8)的连接，简单例子如下：
  
conn snt
 
left=10.11.11.1
leftsubnet=10.0.1.0/24
leftnexthop=172.16.55.66
leftsourceip=10.0.1.1
right=192.168.22.1
rightsubnet=10.0.2.0/24
rightnexthop=172.16.88.99
rightsourceip=10.0.2.1
keyingtries=%forever
关于术语的说明，在自动密钥管理中，有两种通信方式：用户IP数据包的传输，和网关到网关间密钥协商、更新和一般控制。
用于用户数据包的数据路径（关于"IPsec SAs"的设置），
在这里称为“连接”; 用于协商的路径（用“ISAKMP SA”构建）被称为“密钥协商信道”。

为了避免对配置文件进行微不足道的修改以适应连接中涉及的不同系统。
对于通信双方，连接规范是按照左右参与者的方式编写的，而不是根据本地和远端编写的。
哪个被认为是左或右是任意的; IPsec根据内部信息确定运行哪一个。 这允许在两端使用相同的连接规范。
有些情况下没有对称性; 一个好的约定是使用左侧为本地侧，右侧为远端（第一个字母是一个很好的助记符）。

许多参数涉及一个参与者或另一个; 这里只列出左边的那些，
但是名称以left开头的每个参数都有一个以right开头的对应参数，其描述相同但区分左右。

CONN PARAMETERS: GENERAL （conn 参数：通用）
以下参数与自动和手动建立连接都相关，除非另有说明，对于一个连接要生效，通常两端要完全同意这些参数值。

connaddrfamily
参数值为ipv4（默认值）或者ipv6
目前只有使用NETKEY的堆栈支持ipv6

type （表示连接的类型）
参数值如下:
tunnel(默认值）： 表示host-to-host， host-to-subnet, subnet-to-subnet 隧道
transport：表示host-to-host传输模式
passthrough：表示不使用IPsec
drop：表示丢弃数据
reject：表示丢弃数据并返回ICMP诊断包

left
[必选项]左参与者的公共网络接口的IP地址，以ipsec_ttoaddr（3）接受的任何形式。目前，支持IPv4和IPv6 IP地址
如果是%defaultroute，并且config setup项的interfaces中含有%defaultroute，
那么left将自动由本地的缺省路由接口地址（和ipsec启动时确定的一样）填充，leftnexthop也支持，
left或者right都可能为%defaultroute，但不能同时均为%defaultroute

%any：表示在协商（自动协商模式）时填充
%opportunistic：表示 left 和 lefnexthop 的参数都从 left 侧客户端的DNS数据中获取

left的值也可以是包含接口名称，并使用该名称获取IP地址并填充
比如某连接的值为%group、%opportunisticgroup会使该连接成为一个策略组的连接，
一个将被实例化为策略组文件中列出的每个CIDR块的常规或机会性conn，其名称与conn相同。

如果将IP地址与NAT结合使用，请始终使用实际本地计算机（NAT）的IP地址，
如果远程（例如right=）也是NAT，则远程的公共IP地址（非NAT）。
请注意，这使得配置在两侧不再对称，因此您无法在两台主机上使用相同的配置文件。

leftsubnet
左参与者后面的私有子网，表示为 网络/网络掩码 （实际上，ipsec_ttosubnet（3）可接受的任何形式）;
目前支持IPv4和IPv6范围。 如果省略，基本上认为是 left/32，表示连接的左端仅转到左参与者

leftsubnets
指定左侧设备的多个私有子网,格式 { networkA/netmaskA networkB/netmaskB […] }。
如果同时定义了 leftsubnets=和 rightsubnets=，将实例化所有子网隧道组合 ，leftsubnet 和 leftsubnets 不能同时使用。
例子请看testing/pluto/multinet-*

leftprotoport
允许通过连接的协议和端口，也称为端口选择器。

参数可以是数字或者协议名，在 /etc/protocols 中可以查找到，比如leftprotoport=icmp，或者protocol/port，
比如tcp/smtp， ports可以使用数字（比如 25）或名字（比如 smtp）表示,可以在/et