做了这么长时间×××的测试,接触过多种实现×××的设备和软件,互通性测试可以说是首要的,只有互通才能进行其他的测试。因为每种设备或软件都有不同的实现方法,所以实际工作中经常互通起来可能存在一些问题,再加上×××的两种协议AH和ESP,以及隧道模式和传输模式的组合,使得×××的互通变得异常复杂。今天把自己以前总结的测试结果记录下来,以供以后参考。
一,使用openswan搭建的×××服务器互通(openswan做过一些改动)
隧道模式(左端发起协商):
左:AH 右:AH 协商成功,能通信
左:ESP 右:ESP 协商成功,能通信
左:ESP+AH 右:ESP 协商成功,能通信
左:ESP 右:ESP+AH 协商成功,能通信
左:ESP+AH 右:AH 协商不成功
左:AH 右:ESP+AH 协商不成功
左:AH 右:ESP 协商不成功
左:ESP 右:AH 协商不成功
传输模式(左端发起协商):
左:ESP 右:ESP 协商成功,不能通信
左:AH 右:AH 协商成功,不能通信
左:ESP 右:ESP+AH 协商成功,不能通信
左:ESP+AH 右:ESP 协商成功,不能通信
左:ESP 右:AH 协商不成功
左:AH 右:ESP 协商不成功
左:ESP+AH 右:AH 协商不成功
左:AH 右:ESP+AH 协商不成功
二,天融信×××之间的互通测试(以下只有协商结果,没有测试通信是否成功。双向为双向协商,左到右表示协商方向为从左到右)
天融信1 天融信2 协商结果
ESP+AH (双向) ESP+AH yes
ESP (双向) ESP+AH yes
AH (左到右) ESP+AH no(第一阶段协商成功)
ESP (双向) ESP yes
AH (双向) AH yes
ESP+AH (左到右) AH yes
三,Windows中的IPSEC ×××之间的互通测试(测试方法同上)
Windows Windows 协商结果
ESP (双向) ESP yes
AH (双向) AH yes
AH (双向) ESP+AH no
ESP (双向) ESP+AH no
ESP+AH (双向) ESP+AH yes(ESP无验证,有加密)
ESP+AH (双向) ESP+AH yes(ESP有验证和加密,AH验证)
四,IPSec-tools与思科2621路由器×××互通测试(测试方法同上)
IPSec-tools 思科 协商结果
ESP (双向) ESP yes
ESP+AH (左到右) ESP no
ESP+AH (右到左) ESP yes
ESP+AH (左到右) AH no
ESP+AH (右到左) AH yes
ESP+AH (双向) ESP+AH yes(ESP验证和加密,AH验证)
五,天融信×××与思科2621路由器×××互通测试(测试方法同上)
天融信 思科 协商结果
ESP (双向) ESP yes
AH (双向) AH yes
ESP+AH (双向) AH no
ESP (双向) ESP+AH yes
ESP+AH (左到右) ESP no
ESP+AH (右开左) ESP yes
AH (左到右) ESP+AH no
AH (右到左) ESP+AH yes
ESP+AH (左到右) ESP+AH no
ESP+AH (右到左) ESP+AH yes
六,天融信×××与IPSec-tools互通测试(测试方法同上)
(以下协商不成功"no"均指第一阶段协商成功,第二阶段协商不成功。)
天融信 IPSec-tools 协商结果
ESP (双向) ESP+AH yes
AH (双向) ESP+AH yes
ESP+AH (左到右) ESP+AH no(当IPSec-tools中加入254验证99算法 时,协商成功)
ESP+AH (右到左) ESP+AH yes
ESP+AH (左到右) ESP no(这是对的,怎么试都不通)
ESP+AH (右到左) ESP yes
ESP+AH (左到右) AH no(正常情况,怎么试都不通)
ESP+AH (右到左) AH no(期待正解)
AH (双向) AH yes
ESP (双向) ESP yes