Команда crypto dynamic-map используется для создания набора динамических криптографических карт. Также эта команда используется для входа в режим crypto map configuration.
Для удаления набора записей или одной записи динамической криптографической карты используется та же команда с префиксом no.
Синтаксис crypto dynamic-map dynamic-map-name dynamic-seq-num
no crypto dynamic-map dynamic-map-name [dynamic-seq-num]
dynamic-map-name указывает имя набора записей динамической криптографической карты
dynamic-seq-num указывает номер конкретной записи динамической криптографической карты.
Значение по умолчанию значение по умолчанию отсутствует.
Режимы команды Global configuration. Данная команда осуществляет переход в режим crypto map configuration.
Рекомендации по использованию
Используйте эту команду для создания шаблонов политики, которые могут быть использованы в процессе согласования параметров SA с партнером, даже если вы не знаете всех параметров криптографической карты, требуемых для взаимодействия с удаленным партнером (таких, как его IP address). Например, если вы не имеете полной информации обо всех IPsec партнерах, использование динамических криптографических карт позволит вам создать SA с подобным партнером. Однако, процесс создания SA не будет начат до тех пор, пока успешно не завершится аутентификация IKE.
Удаление
Удаление набора записей динамической криптокарты выполняется командой
no crypto dynamic-map <dynamic-map-name>.
В случае, если удаляемый набор записей криптографической карты отсутствуют в конфигурации, то выдается соответствующее сообщение об ошибке: Could not find crypto map template <dynamic-map-name>
Если существует хотя бы одна криптокарта, ссылающаяся на набор записей с указанным именем, выдается сообщение об ошибке: crypto map template in use by crypto map; cannot delete
Удаление записи динамической криптокарты выполняется командой
no crypto dynamic-map <dynamic-map-name> <seq-num>.
В случае, если удаляемая запись динамической криптографической карты отсутствуют в конфигурации, то выдается соответствующее сообщение об ошибке: Could not find crypto map template entry <dynamic-map-name> <seq-num>.
Если данная запись единственная с указанным именем и существует хотя бы одна криптокарта, ссылающаяся на данный набор записей, выдается сообщение об ошибке: crypto map template in use by crypto map; cannot delete.
В режиме настройки параметров криптографической карты могут использоваться следующие команды (синтаксис этих команд совпадает с синтаксисом таких же команд при переходе в режим настройки криптографической карты командой crypto map):
set pfs – устанавливает опцию PFS
set security-association lifetime – устанавливает время жизни IPsec SA.
set transform-set – связывает запись криптографической карты с наборами преобразований
set pool – устанавливает пул адресов для записи криптографической карты.
set identity – связывает запись криптографической карты со списком идентификаторов
match address – связывает расширенный список доступа с записью криптографической карты
set ip access-group устанавливает правила фильтрации, применяемые к входящим IPsec пакетам после декапсуляции, или к исходящим IPsec пакетам до инкапсуляции
exit – выход из конфигурационного режима.
Обязательной командой в этом списке является команда set transform-set.
Записи динамической криптографической карты, подобно записям статических криптографических карт группируются в наборы записей (сеты). После того, как с помощью команды crypto dynamic-map определен набор записей динамической криптографической карты (который обычно содержит только одну запись), его необходимо связать с записью в "родительской" криптографической карте. Эта операция производится с помощью команды crypto map. Затем эта "родительская" криптографическая карта должна быть привязана к интерфейсу.
Записи в "родительской" криптографической карте, ссылающиеся на динамические криптографические карты должны иметь более низкий приоритет, по сравнению с остальными записями. Это достигается присваиванием таким записям наивысших номеров (чем выше номер записи, тем ниже ее приоритет).
Пример
Ниже приведен пример использования команды crypto dynamic-map. В этом примере запись статической криптографической карты "mymap 30" ссылается на динамическую криптографическую карту
Router(config)#crypto dynamic-map mydynamicmap 10
Router(config-crypto-map)#match address 103
Router(config-crypto-map)#set transform-set my_t_set1 my_t_set2 my_t_set3
Router(config)#crypto ipsec transform-set my_t_set1 esp-3des esp-sha-hmac
Router(config)#crypto ipsec transform-set my_t_set2 esp-md5-hmac
Router(config)#crypto map mymap 10 ipsec-isakmp
Router(config-crypto-map)#match address 101
Router(config-crypto-map)#set transform-set my_t_set1
Router(config-crypto-map)#set peer 10.0.0.1
Router(config-crypto-map)#set peer 10.0.0.2
Router(config)#crypto map mymap 20 ipsec-isakmp
Router(config-crypto-map)#match address 102
Router(config-crypto-map)#set transform-set my_t_set1 my_t_set2
Router(config-crypto-map)#set peer 10.0.0.3
Router(config)#crypto map mymap 30 ipsec-isakmp dynamic mydynamicmap
!