Атрибут GroupID описывает параметр для выработки ключевого материала для ISAKMP. Используется алгоритм Диффи-Хеллмана, либо VKO GOST R 34.10-2001, либо VKO GOST R 34.10-2012.
Если существует необходимость задать список, то используйте альтернативный подход: в атрибуте Transform структуры IKERule укажите список структур IKETransform,
а в каждой структуре IKETransform задайте только один элемент списка (см. Пример структуры IKERule – MainMode).
Синтаксис |
GroupID = VKO_1B | VKO2_1B | MODP_768 | MODP_1024 | MODP_1536 |
Значение |
• VKO_1B – используется алгоритм VKO GOST R 34.10-2001, длина ключа 256 бит • VKO2_1B – используется алгоритм VKO GOST R 34.10-2012-256, длина ключа 256 бит Стандартные Oakley-группы: • MODP_768 – группа 1, стандартная Oakley-группа с длиной ключа 768 бит • MODP_1024 – группа 2, стандартная Oakley-группа с длиной ключа 1024 бита • MODP_1536 – группа 5, стандартная Oakley-группа с длиной ключа 1536 бит |
Значение по умолчанию |
не существует, атрибут обязательный, список должен содержать хотя бы один элемент. |
Примечание 1 |
Стоит отметить, что в правиле IKE (IKERule) предоставление партнеру выбора различных элементов списка возможно только в основном режиме IKE (MainMode).
Если правило IKE предусматривает агрессивный режим (присутствует структура AggrModeAuthMethod), то в этом правиле IKERule во всех структурах IKETransform атрибут GroupID должен иметь только одно значение, и оно должно быть одинаковым во всех структурах IKETransform, т.е. должна быть указана одна и та же группа. |
Примечание 2 |
Для С-Терра Клиент: рекомендуется указывать только один элемент |
Примечание 3 |
Для С-Терра Шлюз: при использовании атрибута GroupID для Aggressive Mode инициатор может предложить только одну Oakley группу. Это связано с тем, что в Aggressive Mode вычисление ключевых пар в соответствии с предлагаемым алгоритмом производится сразу, не дожидаясь ответа от партнера. |