Что это такое?

Это список членов данной SA.

Зачем это нужно?

Для перечисления шлюзов IPsec, которые могут аутентифицировать друг друга при помощи данного секрета и, таким образом, образуют безопасную ассоциацию (SA).

Как это настроить?

Составить список хостов, для которых действителен данный секрет. Для добавления хостов в список используйте команды +, _new или _insert. Данный список является нумерованным и упорядочивается автоматически; порядок нумерации узлов в списке значения не имеет. Для удаления используйте команду - или _remove.

Список может содержать любое число элементов или быть пустым. При использовании ключей RSA (с сертификатами X.509 или без них) он трактуется иначе, чем для PSK:

1. Если список пустой, то данный секрет может применяться к любой паре узлов.
2. Если список не пустой, то единственным или одним из элементов его должен быть идентификатор локального хоста. Идентификатор удалённой стороны игнорируется, а другие элементы списка, если они есть, рассматриваются как другие возможные идентификаторы данного хоста (например, другие IP-адреса, принадлежащие ему). Если такое соответствие найдено, то данный секрет может применяться к SA между этим устройством и любым удалённым устройством.

По этой причине список хостов для RSA обычно содержит единственный элемент — локальный хост, или не используется вовсе.

Если данная пара хостов соответствует нескольким секретам, то из них выбирается тот, для которого совпадение списка indices наиболее точное.

ПРИМЕЧАНИЕ. Список членов SA анализируется различным образом для SA, основанных на PSK и на RSA-секретах.