Атрибут PreserveIPsecSA

Атрибут PreserveIPsecSA позволяет задать сохранение IPsecSA при изменении конфигурационного файла.

Синтаксис

PreserveIPsecSA = TRUE | FALSE

Значение

TRUE – IPsec SA сохраняется при наличии следующих условий в момент изменения конфигурации (загрузки LSP):

существует список правил фильтрации – FilterChain, привязанный к тому же набору NetworkInterface, что и FilterChain, к которому был привязан IPsecAction, по которому данный SA построен;

в этом FilterChain для селектора SA находится подходящее правило пакетной фильтрации Filter с ExtendedAction = ipsec.

Для IPsec SA, оставшихся от предыдущей конфигурации, не работает заблаговременная смена ключевой информации (Smooth Rekeying) и не происходит уведомление партнера о разрыве соединения (отсылка Delete Payload). Delete Payload, присланные от партнера, обрабатываются корректно.

FALSE – все IPsec SA удаляются при любых изменениях в конфигурации следующих структур: IPsecAction, IKERule, AAASettings, фильтров NetworkInterface.IPsecPolicy, IKEParameters.LocalPort, IKEParameters.NATTLocalPort, GlobalParameters.AllowNestedIPsec, а также структур, на которые перечисленные ссылаются..

Значение по умолчанию

FALSE

Примечание

IPsec SA, оставшиеся от старой конфигурации, в той или иной мере могут нарушать новую политику безопасности или быть неработоспособными из-за несоответствия новой LSP. Администратор должен учитывать данную особенность и в сомнительных ситуациях устанавливать PreserveIPsecSA = FALSE.