Что это такое?

Это фирменное расширение механизма GRE keepalive в продуктах NSG.

Зачем это нужно?

Чтобы выбирать режим использования ключа в пакетах keepalive в зависимости от удалённой стороны.

Как это настроить?

Данное расширение механизма GRE keepalive относится к случаю, когда туннель имеет ключ (key). Ключ выполняет двоякую функцию:

• Служит для защиты туннеля (относительно слабой).
• Идентифицирует пакеты, относящиеся к тому или иному туннелю, в ситуации, когда между двумя устройствами установлено несколько туннелей с одинаковыми адресами источника и назначения.

Реализация Cisco такую ситуацию не предусматривает, а потому не включает ключ в посылаемые пакеты keepalive и не отвечает на чужие пакеты, содержащие ключ. Реализация NSG — более гибкая и позволяет выбирать режим использования ключа в пакетах keepalive в зависимости от возможностей удалённой стороны:

yes-strict

Не указывать ключ туннеля в исходящих пакетах keepalive и отвечать только на входящие пакеты, в которых также не указан ключ. Соответствует реализации keepalive в Cisco.

yes

Не указывать ключ туннеля в исходящих пакетах и отвечать на любые входящие пакеты от удалённой стороны — как с ключом, так и без него. Совместимо с Cisco.

no-strict

Указывать ключ туннеля в исходящих пакетах и отвечать только на пакеты, в которых также указан ключ. Абсолютно строгий режим, применим только при наличии устройств NSG с такой настройкой на обеих сторонах туннеля.

no

Указывать ключ туннеля в исходящих пакетах, но отвечать на любые входящие пакеты.