Каждая из структур AHProposal и ESPProposal содержит список вариантов преобразований (transforms). Структуры AHProposal и ESPProposal могут группироваться, позволяя обрабатывать трафик комбинацией протоколов AH и ESP.
Атрибут ContainedProposals содержит список единичных структур AHProposal и ESPProposal или их пар в порядке убывания приоритета.
Синтаксис |
ContainedProposals *= Proposal Proposal *= (AHProposal [,ESPProposal]) | ESPProposal |
Значение |
Число элементов списка неограничено. Все элементы списка должны быть различными. Один элемент списка содержит до двух преобразований с различными протоколами. Если элемент списка содержит AHProposal и ESPProposal, то они должны следовать в указанном порядке. Инициатор соединения посылает партнеру все варианты параметров защиты соединения, указанные в атрибуте ContainedProposals, с целью их согласования во время второй фазы IKE –сессии. Ответная сторона присланные предложения инициатора соединения последовательно сравнивает с каждым элементом своего списка предложений и выбирает первое совпавшее. При переборе более приоритетным является список на стороне ответчика. Параметры преобразований и комбинация протоколов AH и ESP определяют качество защиты соединения. Запись (ah1, esp1),(esp2),(ah3) означает, что рассматриваются варианты контекстов: либо связка (ah1, esp1), либо esp2, либо ah3. |
Значение по умолчанию |
не существует, атрибут обязательный. |
Пример
ContainedProposals *=
(ipsec_ah_md5, ipsec_esp_des3),(ipsec_ah_md5, ipsec_esp_idea)
(* (AH(MD5) и ESP(DES3) или AH(MD5) и ESP(IDEA) *)
ContainedProposals *=
(ipsec_ah_md5, ipsec_esp_des3),(ipsec_ah_md5)
(* (AH(MD5) и ESP(DES3) или AH(MD5) *)
ESPProposal ipsec_esp_idea(
Transform *= ESPTransform(
CipherAlg = "IDEA-CBC")
)
AHProposal ipsec_ah_md5(
Transform *= AHTransform(
IntegrityAlg* = "MD5-H96-HMAC")
)
ESPProposal ipsec_esp_des3(
Transform *= ESPTransform(
CipherAlg = "DES3-K168-CBC")
)