Что это такое?

Это использование Perfect Forward Security (PFS).

Зачем это нужно?

Для пущей безопасности.

Как это настроить?

PFS — режим повторного согласования длины ключа на этапе Quick Mode. Поддерживаются группы Диффи-Хеллмана 2 либо 5 (1024 и 1536 бит, соответственно). В этом случае успешный подбор текущего ключа не компрометирует все предыдущие ключи.

true

Включить режим PFS.

false

Выключить режим PFS.

ПРИМЕЧАНИЕ. Длина ключа безопасной пересылки (PFS) может согласовываться как на стадии Main Mode, так и на стадии Quick Mode. На стадии Main Mode согласование длины ключа в NSG Linux включено безусловно.

Аналогичная настройка в устройствах Cisco:

crypto map ...
  set pfs group ...
  no set pfs

Совместная работа NSG Linux и Cisco возможна только в следующих двух случаях:

1. PFS выключено на обеих сторонах туннеля.
2. На устройстве NSG согласование PFS включено, а на устройстве Cisco выбрана группа 2 или 5.

При всех других возможных сочетаниях настроек туннель установлен не будет.