Что это такое?

Это список членов данной SA.

Зачем это нужно?

Для перечисления шлюзов IPsec, которые могут аутентифицировать друг друга при помощи данного секрета и, таким образом, образуют безопасную ассоциацию (SA).

Как это настроить?

Составить список хостов, для которых действителен данный секрет. Для добавления хостов в список используйте команды +, _new или _insert. Данный список является нумерованным и упорядочивается автоматически; порядок нумерации узлов в списке значения не имеет. Для удаления используйте команду - или _remove.

Список может содержать любое число элементов или быть пустым. В частности:

1. Если список пустой, то данный секрет может применяться к любой паре узлов.
2. Если список содержит ровно одну запись, то она относится к локальному устройству, т.е. данный секрет может применяться к SA между этим устройством и любым удалённым устройством.
3. Если список содержит две или более записи, то для аутентификации с помощью PSK необходимо найти в нём соответствия для обеих сторон.

В частности, если известен только идентификатор удалённой стороны (адрес или имя — не важно), а свой неизвестен (IP-адрес назначается динамически, или устройство находится за NAT поставщика услуг, а идентификацию его по имени удалённая сторона не допускает — частая ситуация при подключении к серверам Cisco), то список должен включать удалённую сторону и запись %any.

Если данная пара хостов соответствует нескольким секретам, то из них выбирается тот, для которого совпадение списка indices наиболее точное.

ПРИМЕЧАНИЕ. Список членов SA анализируется различным образом для SA, основанных на PSK и на RSA-секретах.