Команда ip local pool применяется для создания IKECFG пула адресов – набора (диапазона) IP-адресов, которые будут выдаваться партнерам, например, мобильному клиенту, после установления соединения и запроса IP-адреса из IKECFG пула.
Для удаления пула адресов используется та же команда с префиксом no.
Синтаксис ip local pool poolname low-ip-address [high-ip-address]
no ip local pool poolname low-ip-address [high-ip-address]
Для удаления всего набора локальных адресов используется команда
no ip local pool poolname
poolname имя, присваиваемое пулу адресов.
low-ip-address начальный адрес диапазона локальных адресов.
high-ip-address конечный адрес диапазона локальных адресов. Необязательный параметр.
Значение по умолчанию значение по умолчанию отсутствует.
Режимы команды Global configuration.
Рекомендации по использованию
Используйте эту команду для создания IKECFG пула IP-адресов.
Повторный вызов команды с другим диапазоном адресов добавляет этот диапазон в пул.
Если новый диапазон пересекается с ранее введенным, то команда не выполняется и выдается сообщение об ошибке: %IP address range overlaps with pool: <pool-name>.
Если первый адрес диапазона больше второго, то команда не выполняется и выдается сообщение об ошибке: %Bad IP range, <low-ip-address> - <high-ip-address>.
В пул адресов могут быть выделены адреса как из защищаемой шлюзом (S-Terra Gate) подсети, так и адреса, непересекающиеся с защищаемой подсетью.
При подключении пользователей они будут получать IP-адреса из этого набора.
Если конечный адрес пула не задан – будет создан пул, состоящий из одного адреса.
Один созданный пул адресов можно сделать общим для тех криптокарт, которые не имеют собственного пула и у которых установлен флаг crypto map map-name client configuration address {initiate|respond}. Для этого нужно ввести команду
crypto isakmp client configuration address-pool local pool-name.
Если общий пул уже задан, то последняя команда не выполняется и выдается сообщение об ошибке: % Remove current pool first.
Удаление
Удалить пул можно целиком либо только один диапазон адресов из пула.
Для удаления всего пула используется команда:
no ip local pool poolname
Удаление диапазона из пула производится командой:
no ip local pool poolname low-ip-address [high-ip-address].
Удаление последнего диапазона из пула эквивалентно удалению всего пула. Такая команда может быть отвергнута с ошибкой, если на пул присутствует ссылка из команды set pool (режим настройки crypto map). В этом случае выдается сообщение: % Cannot remove the pool. It is used by: crypto map(s): "cmap 10", "cmap 20"; dynamic map(s): "dmap 10", "dmap 20".
Отличие данной команды от подобной команды Cisco IOS:
· Допускается удаление всего пула, в Cisco IOS – нет.
· Поведение при удалении диапазона пула отличается от Cisco IOS, так как там нет команды set pool.
Пример
Ниже приведен пример создания пула IP-адресов с именем 'localpool', содержащего 1024 IP-адреса:
Router(config)#ip local pool localpool 10.1.1.0 10.1.4.255
Примечание
Если предполагается использовать для авторизации и аутентификации RADIUS-сервер, то одновременно настраивать IKECFG параметры на отдельном С-Терра Шлюзе и на RADIUS-сервере крайне нежелательно:
1. Если будет указан локальный IKECFG пул, то в случае получения данных авторизации от RADIUS-сервера, будут задействованы данные из локального IKECFG пула, а данные от RADIUS-сервера будут игнорироваться.
2. Если RADIUS-сервер выдал Framed-IP-Address (Framed-IP-Address – атрибут RADIUS-сервера, соответствующий IKECFG-адресу, высылаемому С-Терра Шлюзом партнеру), который попадает в один из пулов адресов, задействованных в создаваемой политике безопасности, то С-Терра Шлюз игнорирует авторизационные данные от RADIUS-сервера и пытается установить соединение с партнёром без IKECFG.