Атрибут GroupID описывает параметр для выработки ключевого материала для ISAKMP. Используется алгоритм VKO GOST R 34.10-2001 или VKO GOST R 34.10-2012.
Если существует необходимость задать список, то используйте альтернативный подход: в атрибуте Transform структуры IKERule укажите список структур IKETransform,
а в каждой структуре IKETransform задайте только один элемент списка (см. Пример структуры IKERule – MainMode).
При использовании атрибута GroupID для Aggressive Mode инициатор может предложить только один алгоритм.
Это связано с тем, что в Aggressive Mode вычисление ключевых пар в соответствии с предлагаемым алгоритмом производится сразу, не дожидаясь ответа от партнера.
Синтаксис |
GroupID = VKO_1B | VKO2_1B |
Значение |
• VKO_1B – используется алгоритм обмена ключами GOST R 34.10-2001 VKO, длина ключа 256 бит • VKO2_1B – используется алгоритм обмена ключами GOST R 34.10-2012-256 VKO, длина ключа 256 бит |
Значение по умолчанию |
не существует, атрибут обязательный, список должен содержать хотя бы один элемент. |
Примечание |
Стоит отметить, что в правиле IKE (IKERule) предоставление партнеру выбора различных элементов списка возможно только в основном режиме IKE (MainMode). Если правило IKE предусматривает агрессивный режим (присутствует структура AggrModeAuthMethod), то в этом правиле IKERule во всех структурах IKETransform атрибут GroupID должен иметь только одно значение, и оно должно быть одинаковым во всех структурах IKETransform, т.е. должна быть указана одна и та же группа. В ряде случаев это приводит к потере гибкости конфигурации и, следовательно, к применению не рекомендуется. |