Что это такое?

Это описание узла — члена SA.

Зачем это нужно?

Для включения некоторого узла в состав безопасной ассоциации (SA).

Как это настроить?

Узел безопасной ассоциации, основанной на ключах RSA с ручным переносом, может быть описан одним из способов:

• IP-адресом в явном виде. В отличие от SA на основе PSK, этот формат в данной реализации IPsec неприемлем для описания устройства во всех случаях, когда оно указано на другой стороне (в параметре left/right) как %any. Это относится к 3 возможным ситуациям: а) клиент IPsec находится за NAT поставщика услуг; б) клиент имеет динамический IP-адрес; в) вам лень писать статические адреса всех клиентов ещё и в конфигурации собственно туннелей.
• Доменным именем в формате my.domain.name, которое разрешается в IP-адрес. Этот вариант не рекомендуется использовать без крайней необходимости, поскольку он вносит в механизм IPsec дополнительное звено — сервер DNS, который, в свою очередь, может оказаться недоступным или быть скомпрометирован. Он также неприемлем для устройств, размещённых за NAT или на динамических IP-адресах.
• Полным доменным именем (Fully Qualified Domain Name, FQDN) в формате [user]@host[.domain]. Такое имя не преобразуется в IP-адрес, а используется как текстовая строка. Для описания устройства, которое находится на динамическом IP-адресе или за NAT, необходимо использовать именно этот формат.
  Поля user и .domain не обязательны и обычно не используются. Например, устройства Cisco Systems в такой конфигурации идентифицируют себя, по умолчанию, как @Router. (включая точку). В Linux-системах наличие точки в имени не обязательно.

Узел безопасной ассоциации, основанной на ключах RSA с сертификатами X.509, описывается перечнем основных полей сертификата. Перечень должен строго соответствовать полю unstructuredName сертификата и записывается в формате:

"/C=страна/ST=регион/L=город/O=организация/OU=подразделение/CN=имя/emailAddress=имя@сервер"

В качестве разделителя, вместо косой черты, можно использовать также запятую; однако пробелы в теле данного параметра не допускаются. Начальная косая черта не обязательна. Для описания своей стороны можно использовать также ключевое слово %cert или %fromcert.

В обоих случаях допустимо также ключевое слово %any, означающее любой адрес IPv4. Однако практического смысла при использовании RSA оно не имеет.

Во всех случаях, кроме %any, описания узлов предполагаемой безопасной ассоциации, если они указаны, должны совпадать с параметрами leftid/rightid предполагаемого соединения (установленными явно или по умолчанию).

ПРИМЕЧАНИЕ. Список членов SA анализируется различным образом для SA, основанных на PSK и на RSA-секретах.