Атрибут IKECFGBindToPeerAddress

Используется только для С-Терра Шлюз.

IKECFGBindToPeerAddress задает один из двух вариантов параметров, по которым IKECFG-сервер идентифицирует клиентов.

При выдаче IKECFG адреса устанавливается однозначное соответствие выданного IP-адреса и клиента. В случае отсутствия в правиле IKECFGPool, поле игнорируется.

Синтаксис

IKECFGBindToPeerAddress = TRUE | FALSE

Значение

      TRUE – клиенты идентифицируются по адресу и порту партнера.

Примечание:

Имеются в виду адрес и порт партнера, видимые Шлюзу, по которым построен ISAKMP SA.

Следует учитывать, что при наличии между партнерами NAT-устройства IKE-обмен может начинаться с одной парой адрес-порт, а завершаться (с созданием ISAKMP SA) с другой. Именно конечная пара адрес-порт используется для идентификации партнёра в ISAKMP SA при выдаче IKECFG адреса.

При установке значения в TRUE следует учитывать, что NAPT-устройства могут назначать разные ip-адреса и порты клиенту, что в свою очередь может привести к быстрому исчерпанию пула. В этом случае для ISAKMP и IPSec SA рекомендуется устанавливать короткие времена жизни для освобождения IKECFG адресов.

 

      FALSE  – клиенты идентифицируются по партнёрскому ID  первой фазы IKE.

Значение по

умолчанию

FALSE