Команда match address используется для связывания стандартного или расширенного списка доступа с записью криптографической карты. Команда работает в режиме настройки криптографических карт (Crypto map configuration).
Для удаления связи списка доступа с записью криптографической карты используется та же команда, но с префиксом no.
Синтаксис match address[access-list-id | name]
no match address [access-list-id | name]
access-list-id имя или номер списка доступа.
name имя списка шифрованного доступа.
Режимы команды Crypto map configuration.
Значение по умолчанию значение по умолчанию отсутствует.
Рекомендации по использованию
Данная команда используется для всех записей статических криптографических карт.
Используйте эту команду для назначения стандартного или расширенного списка доступа записи криптографической карты. Предварительно следует определить этот список доступа с помощью команд access-list или ip access-list.
Список доступа, назначенный этой командой, будет использоваться IPsec для определения трафика, который следует или не следует защищать шифрованием. (Трафик, который разрешен списком доступа, будет защищаться. Трафик, который запрещен списком доступа, не будет защищаться.)
При определении списка шифрованного доступа, который используется в команде match address, в командах access-list или ip access-list параметры source и destination определяются следующим образом: в качестве source используются адреса того, кого будет защищать данный шлюз, а в качестве destination – адреса, которые защищает партнер по соединению.
Таким образом, при привязке к криптокарте список шифрованного доступа указывает исходящий трафик (также и в Cisco IOS).
Помните, что список шифрованного доступа не отвечает за разрешение или запрет прохождения трафика через сетевой интерфейс. Эту функцию выполняет список доступа.
Замечание:
Запрещено использование ссылок на расписания (time-range) в списках шифрованного доступа, на которые ссылается криптокарта. В случае присутствия подобных ссылок на расписание, конвертирование будет прервано с сообщением об ошибке.
Пример
Ниже приведен пример с минимальными требованиями настройки параметров криптографической карты с использованием IKE для создания SA.
Router(config)#crypto map mymap 10 ipsec-isakmp
Router(config-crypto-map)#match address 101
Router(config-crypto-map)#set transform-set my_t_set1
Router(config-crypto-map)#set peer 10.0.0.1