Команда set ip access-group задает дополнительные правила фильтрации, присоединяемые к IPsec SA. Проверка на соответствие списку доступа выполняется внутри IPsec после декапсуляции и до инакпсуляции пакета.
Для отмены фильтрации используется та же команда, но с префиксом no.
Синтаксис set ip access-group {access-list-number | access-list-name} {in| out}
no set ip access-group {access-list-number | access-list-name} {in| out}
access-list-number номер списка доступа, который является числом из диапазона 1-199 или 1300-2699
access-list-name имя списка доступа
in фильтрация применяется для входящего IPsec трафика после декапсуляции
out фильтрация применяется для исходящего IPsec трафика перед инкапсуляцией.
Режимы команды Crypto map configuration.
Значение по умолчанию значение по умолчанию отсутствует.
Рекомендации по использованию
Используйте эту команду для назначения дополнительной проверки IPsec пакетов проходящих через внешний интерфейс по IPsec туннелю, на соответствие заданному списку доступа. Предварительно следует определить этот список доступа с помощью команд access-list или ip access-list.
Список доступа, назначенный этой командой, будет использоваться для фильтрации трафика, идущего через IPsec туннель, после декапсуляции – для входящего трафика и до инкапсуляции – для исходящего трафика, в зависимости от заданного параметра (in/out).
Если список доступа содержит модификаторы log или log-input, то они игнорируются при подсоединении к криптокарте (фильтр работает также, как если бы не содержал данные модификаторы).