crypto dynamic-map

Команда crypto  dynamic-map используется для создания набора динамических криптографических карт. Также эта команда используется для входа в режим crypto map configuration.

Для удаления набора записей или одной записи динамической криптографической карты используется та же команда с префиксом no.

 

Синтаксис           crypto dynamic-map dynamic-map-name dynamic-seq-num

                   no crypto dynamic-map dynamic-map-name [dynamic-seq-num]

dynamic-map-name      указывает имя набора записей динамической криптографической карты

dynamic-seq-num        указывает номер конкретной записи динамической криптографической карты.

 

Значение по умолчанию                    значение по умолчанию отсутствует.

 

Режимы команды                               Global configuration. Данная команда осуществляет переход в режим crypto map configuration.

 

Рекомендации по использованию

Используйте эту команду для создания шаблонов политики, которые могут быть использованы в процессе согласования параметров SA с партнером, даже если вы не знаете всех параметров криптографической карты, требуемых для взаимодействия с удаленным партнером (таких, как его IP address). Например, если вы не имеете полной информации обо всех IPsec партнерах, использование динамических криптографических карт позволит вам создать SA с подобным партнером. Однако, процесс создания SA не будет начат до тех пор, пока успешно не завершится аутентификация IKE.

 

Удаление

Удаление набора записей динамической криптокарты выполняется командой

no crypto dynamic-map <dynamic-map-name>.

В случае, если удаляемый набор записей криптографической карты отсутствуют в конфигурации, то выдается соответствующее сообщение об ошибке: Could  not  find  crypto  map  template <dynamic-map-name>

Если существует хотя бы одна криптокарта, ссылающаяся на набор записей с указанным именем, выдается сообщение об ошибке: crypto  map  template  in  use  by  crypto  map; cannot  delete 

 

Удаление записи динамической криптокарты выполняется командой

no crypto dynamic-map <dynamic-map-name> <seq-num>.

В случае, если удаляемая запись динамической криптографической карты отсутствуют в конфигурации, то выдается соответствующее сообщение об ошибке: Could  not  find  crypto  map  template  entry <dynamic-map-name> <seq-num>.

Если данная запись единственная с указанным именем и существует хотя бы одна криптокарта, ссылающаяся на данный набор записей, выдается сообщение об ошибке: crypto  map  template  in  use  by  crypto  map; cannot  delete.

 

В режиме настройки параметров криптографической карты могут использоваться следующие команды (синтаксис этих команд совпадает с синтаксисом таких же команд при переходе в режим настройки криптографической карты командой crypto map):

set pfs – устанавливает опцию PFS

set security-association lifetime – устанавливает время жизни IPsec SA.

set transform-set  – связывает запись криптографической карты с наборами преобразований

set pool  – устанавливает пул адресов для записи криптографической карты.

set identity  – связывает запись криптографической карты со списком идентификаторов

match address – связывает расширенный список доступа с записью криптографической карты

set ip access-group  устанавливает правила фильтрации, применяемые к входящим IPsec пакетам после декапсуляции, или к исходящим IPsec пакетам до инкапсуляции 

exit  – выход из конфигурационного режима.

Обязательной командой в этом списке является команда  set transform-set. 

Записи динамической криптографической карты, подобно записям статических криптографических карт группируются в наборы записей (сеты). После того, как с помощью команды crypto  dynamic-map определен набор записей динамической криптографической карты (который обычно содержит только одну запись), его необходимо связать с записью в "родительской" криптографической карте. Эта операция производится с помощью команды crypto map. Затем эта "родительская" криптографическая карта должна быть привязана к интерфейсу.

Записи в "родительской" криптографической карте, ссылающиеся на динамические криптографические карты должны иметь более низкий приоритет, по сравнению с остальными записями. Это достигается присваиванием таким записям наивысших номеров (чем выше номер записи, тем ниже ее приоритет).

 

Пример

Ниже приведен пример использования команды crypto  dynamic-map. В этом примере запись статической криптографической карты "mymap 30" ссылается на динамическую криптографическую карту

Router(config)#crypto dynamic-map mydynamicmap 10

Router(config-crypto-map)#match address 103

Router(config-crypto-map)#set transform-set my_t_set1 my_t_set2 my_t_set3

 

Router(config)#crypto ipsec transform-set my_t_set1 esp-3des esp-sha-hmac

Router(config)#crypto ipsec transform-set my_t_set2 esp-md5-hmac

Router(config)#crypto map mymap 10 ipsec-isakmp

  Router(config-crypto-map)#match address 101

  Router(config-crypto-map)#set transform-set my_t_set1

  Router(config-crypto-map)#set peer 10.0.0.1

  Router(config-crypto-map)#set peer 10.0.0.2

Router(config)#crypto map mymap 20 ipsec-isakmp

  Router(config-crypto-map)#match address 102

  Router(config-crypto-map)#set transform-set my_t_set1 my_t_set2

  Router(config-crypto-map)#set peer 10.0.0.3

Router(config)#crypto map mymap 30 ipsec-isakmp dynamic mydynamicmap

!