Команда crypto map используется для создания или изменения записей криптографических карт. Также с помощью команды crypto map осуществляется переход в режим настройки криптографических карт (Crypto map configuration).
Для удаления записи или набора записей криптографических карт используются те же команды, но с префиксом no.
Синтаксис crypto map map-name seq-num ipsec-isakmp [dynamic dynamic-map-set]
no crypto map map-name seq-num
map-name имя набора записей криптографической карты. Это имя присваивается в момент создания криптографической карты.
seq-num номер, присваиваемый отдельной записи в криптографической карте.
ipsec-isakmp указывает на то, что для данной записи при создании IPsec SA будет использоваться процедура согласования параметров IKE. Это ключевое слово обязательно только при создании новой криптокарты, пре редактировании уже существующей – можно не указывать.
dynamic указывает на то, что данная запись ссылается на уже существующий набор динамических криптографических карт, созданных командой crypto dynamic-map. При использовании этого ключевого слова доступ к командам настройки криптографической карты будет запрещен. Необязательный параметр.
dynamic-map-set имя набора записей динамической криптографической карты, который используется в качестве шаблона политики безопасности. Используется только в связке с параметром dynamic.
Режимы команды Global configuration. Данная команда осуществляет переход в режим crypto map configuration.
Значение по умолчанию нет предустановленных криптографических карт.
Рекомендации по использованию
Данная команда используется для создания новой криптокарты, новых записей в ней или изменения существующих записей.
Записи в криптографических картах устанавливают параметры IPsec SA для подлежащего шифрованию или аутентификации трафика.
Если требуется создать более одной записи в криптографической карте, то следует учитывать, что обработка трафика будет производиться в соответствием с приоритетами записей. Наименьший номер (seq-num) записи соответствует ее наивысшему приоритету и наоборот – чем выше значение номера записи, тем ниже ее приоритет. Пакеты обрабатываемого трафика сначала будут сравниваться с записями высшего приоритета.
Команда crypto map осуществляет переход в режим настройки криптографической карты (Crypto map configuration). В этом режиме могут быть настроены (отредактированы) такие параметры, как привязка к записи криптографической карты списка доступа (access list), партнера, установка опции PFS, установка времени жизни SA и др. В режиме настройки могут использоваться следующие команды:
match address осуществляет привязку списка доступа к записи криптографической карты
set pfs указывает, что на стадии согласования параметров IPsec для данной записи криптографической карты должна быть затребована опция PFS
set security-association lifetime устанавливает время жизни SA для конкретных записей криптографической карты
set transform-set указывает, какие наборы преобразований (transform set) могут использоваться с данной записью криптографической карты
set peer указывает IPsec партнера для записи криптографической карты
set identity устанавливает списки идентификаторов, которые используются
set pool устанавливает имя пула криптографической карты
set ip access-group устанавливает правила фильтрации, применяемые к входящим IPsec пакетам после декапсуляции, или к исходящим IPsec пакетам до инкапсуляции
set dns задает DNS для IKECFG
set domain задает доменный суффикс для IKECFG
set client authentication list задает ссылку на список аутентификации (при использовании аутентификации пользователя на RADIUS-сервере)
set client username задает способ получения идентификатора пользователя (при использовании аутентификации пользователя на RADIUS-сервере)
reverse-route включает механизм Reverse Route Injection (RRI).
Создание статической криптокарты
При создании новой crypto map (также как в Cisco) ключевое слово ipsec-isakmp обязательно должно присутствовать в команде, при редактировании уже существующей криптокарты допускается сокращенная запись – это ключевое слово можно не указывать.
Ограничения
Аналогично Cisco существуют ограничения на модификацию уже существующих криптокарт (указание с тем же именем и порядковым номером). Запрещены следующие ситуации:
· попытка замены существующей статической криптокарты на динамическую. Например:
crypto map cmap 1 ipsec-isakmp
...
crypto map cmap 1 ipsec-isakmp dynamic dmap !!! Ошибочная команда !!!
· попытка замены существующей динамической криптокарты на статическую. Например:
crypto map cmap 1 ipsec-isakmp dynamic dmap
...
crypto map cmap 1 ipsec-isakmp !!! Ошибочная команда !!!
· попытка замены ссылки на другой dynamic-map-set в уже существующей криптокарте. Например:
crypto map cmap 1 ipsec-isakmp dynamic dmap
...
crypto map cmap 1 ipsec-isakmp dynamic another-dmap !!! Ошибочная команда !!!
Во всех указанных случаях введенная команда игнорируется и на консоль выдается сообщение, аналогичное Cisco: "Attempt to change dynamic map tag for existing crypto map is ignored."
Редактирование
Если задать корректную команду для уже существующей криптокарты (т.е. не попадающую в один из указанных ранее ошибочных случаев), поведение различается для разных типов crypto map (поведение аналогично Cisco):
· для динамической криптокарты команда ничего не делает (поскольку совпадает с введенной ранее), однако воспринимается как корректная
· для статической криптокарты происходит вход в конфигурационный режим, в котором можно поменять настройки crypto map (peer, ACL, transform-set и т.д.).
Удаление
Основной вариант команды удаления отдельной записи в криптокарте:
no crypto map map-name seq-num
Добавление дополнительных ключевых слов не допускается.
Если указанного в команде имени набора записей криптокарты или номера записи в криптокарте не существует, то выдается сообщение об ошибке:
“Could not find crypto map entry <map-name> <seq-num>”.
Если указанная в команде запись является единственной в наборе записей криптокарты и криптокарта привязана к интерфейсу, то команда не выполняется и выдается сообщение об ошибке:
“ Crypto-map <map-name> is in use by interface(s): Fa<NUM>. Please remove the crypto map from the above interface(s) first”.
Команда удаления всего набора записей в криптокарте (криптокарты):
no crypto map map-name
Дополнительно данная команда удаляет записи crypto {map | dynamic-map} client configuration address {initiate | respond}, относящиеся к данной криптокарте.
Если указанная в команде криптокарта отсутствует, то команда не выполняется и выдается сообщение об ошибке:
“Could not find crypto map <map-name>”
Если указанная в команде криптокарта привязана к интерфейсу, то команда не выполняется и выдается сообщение об ошибке:
”Crypto-map <map-name> is in use by interface(s): Fa<NUM>. Please remove the crypto map from the above interface(s) first”.
Допускается (хотя и необязательно) добавление дополнительных ключевых слов, например:
no crypto map cmap 1 ipsec-isakmp
no crypto map cmap 1 ipsec-isakmp dynamic dmap !!! Только для динамической crypto map !!!
Команда no с указанием ключевого слова dynamic (как в последнем примере) работает только для динамической crypto map. Если такую команду задать для статической crypto map, команда завершится с ошибкой и проигнорируется.
Отличие данной команды от подобной команды Cisco IOS:
· Существует специфический подход в случае, если в crypto map set присутствует несколько crypto maps, а в их crypto-map-acls существуют пересечения по адресам, причем в части правил присутствует permit, а в других правилах – deny. Подробнее логика конвертирования для данной ситуации описана в документе «Приложение», раздел «Конвертор. Описание обработки интерфейсов».
· Существуют особенности при использовании crypto map с несколькими peers в случае, если используется аутентификация на preshared keys и для разных peers используются разные ключи и/или используется смешанная аутентификация (на preshared keys и сертификатах). Эти особенности описаны в документе «Приложение», в разделе «Конвертор. Описание обработки интерфейсов».
· Не поддерживается тип ipsec-manual и задание crypto map profile.
Команды crypto isakmp profiles и crypto ipsec profiles в данной версии Продукта не реализованы, тем не менее, имеется возможность сформировать инфраструктуру работы с удаленными пользователями. Например, имеется команда set identity, которая устанавливает identity инициатора и при работе с удаленными клиентами параметры шифрования и выделяемые туннельные адреса могут определяться в зависимости от DN сертификата и FQDN клиента. Одной из команд, формирующих инфраструктуру, является команда set pool, задающая пул адресов, из которого будут выделяться адреса по IKECFG для мобильных пользователей.
Пример
Ниже приведен пример использования команды crypto map:
Router(config)#crypto dynamic-map mydynamicmap 10
Router(config-crypto-map)#match address 103
Router(config-crypto-map)#set transform-set my_t_set1 my_t_set2 my_t_set3
Router(config)#crypto map mymap 10 ipsec-isakmp
Router(config-crypto-map)#match address 101
Router(config-crypto-map)#set transform-set my_t_set1
Router(config-crypto-map)#set peer 10.0.0.1
Router(config-crypto-map)#set peer 10.0.0.2
Router(config)#crypto map mymap 20 ipsec-isakmp
Router(config-crypto-map)#match address 102
Router(config-crypto-map)#set transform-set my_t_set1 my_t_set2
Router(config-crypto-map)#set peer 10.0.0.3
Router(config)#crypto map mymap 30 ipsec-isakmp dynamic mydynamicmap
!