Используется только для С-Терра Шлюз.
IKECFGBindToPeerAddress задает один из двух вариантов параметров, по которым IKECFG-сервер идентифицирует клиентов.
При выдаче IKECFG адреса устанавливается однозначное соответствие выданного IP-адреса и клиента. В случае отсутствия в правиле IKECFGPool, поле игнорируется.
Синтаксис |
IKECFGBindToPeerAddress = TRUE | FALSE |
Значение |
• TRUE – клиенты идентифицируются по адресу и порту партнера. Примечание: Имеются в виду адрес и порт партнера, видимые Шлюзу, по которым построен ISAKMP SA. Следует учитывать, что при наличии между партнерами NAT-устройства IKE-обмен может начинаться с одной парой адрес-порт, а завершаться (с созданием ISAKMP SA) с другой. Именно конечная пара адрес-порт используется для идентификации партнёра в ISAKMP SA при выдаче IKECFG адреса. При установке значения в TRUE следует учитывать, что NAPT-устройства могут назначать разные ip-адреса и порты клиенту, что в свою очередь может привести к быстрому исчерпанию пула. В этом случае для ISAKMP и IPSec SA рекомендуется устанавливать короткие времена жизни для освобождения IKECFG адресов.
• FALSE – клиенты идентифицируются по партнёрскому ID первой фазы IKE. |
Значение по умолчанию |
FALSE |