Атрибут GroupID
Атрибут GroupID описывает допустимый параметр выработки ключевого материала для ISAKMP. Используется алгоритм Диффи-Хеллмана, либо алгоритм VKO ГОСТ Р 34.10-2001 [RFC4357], либо VKO ГОСТ Р 34.10-2012 .
Рекомендуется указывать только один элемент.
Если существует необходимость задать список групп, то используйте альтернативный подход: в атрибуте Transform структуры IKERule укажите список структур IKETransform, а в каждой структуре IKETransform задайте только один элемент списка (см. Пример структуры IKERule – MainMode).
Синтаксис |
GroupID = VKO_1B|MODP_768|MODP_1024|MODP_1536 |
Значение |
VKO_1B – используется алгоритм VKO GOST R 34.10-2001, длина ключа 256 бит MODP_768 – стандартная Oakley-группа с длиной ключа 768 бит –группа 1 MODP_1024 – стандартная Oakley-группа с длиной ключа 1024 бита – группа 2 MODP_1536 – стандартная Oakley-группа с длиной ключа 1536 бит – группа 5 |
Значение по умолчанию |
не существует, атрибут обязательный. |
Примечание |
Стоит отметить, что в правиле IKE (IKERule) предоставление партнеру выбора различных элементов списка возможно только в основном режиме IKE (MainMode). Если правило IKE предусматривает агрессивный режим (присутствует структура AggrModeAuthMethod), то в этом правиле IKERule во всех структурах IKETransform атрибут GroupID должен иметь только одно значение, и оно должно быть одинаковым во всех структурах IKETransform, т.е. должна быть указана одна и та же Oakley-группа либо VKO_1B. |