Команда crypto isakmp key применяется для создания предопределенного ключа для взаимодействия с определенным партнером. Удалить созданный ранее предопределенный ключ можно с помощью той же команды с префиксом no.
Синтаксис crypto isakmp key [0] keystring {address peer-address [mask]| hostname hostname} [no-xauth]
no crypto crypto isakmp key [0] keystring {address peer-address [mask]| hostname hostname} [no-xauth]
address используйте этот параметр, если в качестве идентификатора удаленного партнера используется его IP-адрес
hostname используйте этот параметр, если в качестве идентификатора удаленного партнера используется имя его хоста
0 не шифровать предопределенный ключ. Необязательный параметр, потому что он игнорируется. Ключ всегда не шифруется. Введен для соответствия такой же команде в Cisco IOS.
keystring предопределенный ключ, представляющий собой строку произвольной комбинации цифро-буквенных символов. Этот ключ должен быть идентичен у обоих партнеров по защищенному взаимодействию.
peer-address IP-адрес удаленного партнера.
mask маска подсети, которой принадлежит компьютер удаленного партнера. Используется только при установке параметра address. Необязательный параметр. Отсутствие параметра всегда эквивалентно 255.255.255.255.
hostname имя компьютера удаленного партнера. Имя должно быть задано в связке с именем домена, которому он принадлежит. Например – host.subnet.com.
no-xauth расширенная аутентификация в рамках протокола IKE не используется. Необязательный параметр, потому что расширенная аутентификация никогда не используется. Соответствует такому же параметру в Cisco IOS.
Значение по умолчанию значение по умолчанию отсутствует.
Режимы команды Global configuration.
Рекомендации по использованию
Используйте эту команду для создания предопределенных ключей аутентификации. Эта процедура должна быть выполнена для обоих партнеров. При создании ключа он автоматически добавляется в базу шлюза.
При использовании параметра address можно использовать аргумент mask, описывающий подсеть, которой принадлежит компьютер партнера. Если используется аргумент mask, то предопределенные ключи перестают быть принадлежностью только описанных двух партнеров. Если указывается аргумент mask, то в качестве IP адреса, должен быть указан адрес сети.
При использовании параметра hostname удаленный партнер будет иметь возможность устанавливать защищенное соединение с любого из сетевых интерфейсов своего компьютера.
Параметр [0] в команде всегда игнорируется. Предопределнный ключ никогда не шифруется. Параметр введен для совместимости с CSM. По show running-config выставленный параметр [0] в команде не показывается.
Наличие или отсутствие параметра [no-xauth] не оказывает влияния на конвертирование конфигурации. Этот параметр введен для соответствия такому же параметру в Cisco IOS. Если этот параметр указан в команде, то по команде show running-config он показывается.
Не разрешается вводить некорректную маску, например 255.0.255.0. В этом случае выводится сообщение об ошибке:
Invalid address-mask pair
Если задана маска, не разрешается вводить адрес, не соответствующий маске. Например – 192.168.1.0 255.255.0.0. В этом случае выводится сообщение об ошибке:
Invalid address-mask pair
Нельзя повторно вводить команду с адресной информацией, уже присутствующей в конфигурации. В этом случае выводится одно из следующих сообщений об ошибке:
A pre-shared key for address mask <peer-address> <mask> already exists!
A pre-shared key for for host <hostname> already exists.
Для смены ключа следует сначала удалить старую информацию, а потом ввести новую.
Удаление
Удаление существующего ключа выполняется командой:
no crypto isakmp key [0] keystring {address <peer-address> [<mask>] | hostname <hostname>} [no-xauth]
Адресная информация является единственной значащей в данной команде: keystring, а также наличие или отсутствие no-xauth игнорируется.
Если ввести команду с адресной информацией, отсутствующей в конфигурации, будет выдано одно из следующих сообщений об ошибке:
ISAKMP: no key for address <peer-address>
ISAKMP: no key for hostname <hostname>.
При выводе текущей конфигурации по show running-config производится сортировка команд по следующим правилам:
· первыми пишутся команды “address” для отдельных хостов (параметр mask отсутствует или равен 255.255.255.255)
· далее пишутся команды “address” для подсетей, при этом они сортируются от узких подсетей к широким
· в конце пишутся команды “hostname”.
Сортировка адресов для подсетей с одинаковыми масками, а также сортировка по hostname не производится (сохраняется порядок ввода команд).
Отличие данной команды от подобной команды Cisco IOS:
· Не поддерживается шифрование ключа (“6”).
· Наличие или отсутствие параметра [no-xauth] не влияет на результат работы команды, в отличие от Cisco IOS – там результат зависит от этого параметра.
· В Cisco IOS можно ввести адрес, не соответствующий маске.
Пример
Ниже приведен пример создания предопределенного ключа аутентификации для партнера с адресом 192.168.1.22.
Router(config)#crypto isakmp identity address
Router(config)#crypto isakmp key sharedkeystring address 192.168.1.22