Команда set pool используется для привязки созданного пула адресов для IKECFG к данной криптографической карте. Для устранения связи пула адресов и криптографической карты используется та же команда, но с префиксом no.
Синтаксис set pool name
no set pool
name имя пула, из которого будут выдаваться IP-адреса для партнеров в данной криптографической карте. Имеется зарезервированное слово <none> (в угловых скобках) для указания, что к данной криптокарте не привязан пул. Данный пул должен быть задан в режиме Global configuration mode.
Режимы команды Crypto map configuration.
Значение по умолчанию нет значения по умолчанию.
Рекомендации по использованию
Использование данной команды возможно только для ipsec-isakmp записей в криптографических картах.
Команда указывает пул адресов для IKECFG, заданный командой ip local pool.
Если в конфигурации не создан указанный пул адресов, то выдается сообщение об ошибке: % Attempt to set unknown pool is ignored.
Если в криптокарте пул не указан явно командой set pool, но в конфигурации присутствует команда crypto map map-name client configuration address {initiate|respond}, которая привязывает все криптокарты с именем map-name к пулу с именем pool-name, а также команда crypto isakmp client configuration address-pool local pool-name, задающая глобальную привязку криптокарт к пулу с именем pool-name и указывающая общий пул для IKECFG, то этот пул и будет использоваться в криптокартах с именем map-name, кроме тех криптокарт, в которых пул задан явно.
Если задан пул по умолчанию, а в криптокарте указана команда set pool <none>, то пул адресов игнорируется.
Существует ограничение на привязку одного и того же пула к разным криптокартам:
· Если к двум и более криптокартам привязан один и тот же пул, то, независимо от способа привязки пула, необходимо, чтобы в данных криптокартах полностью совпадали настройки DNS серверов и доменных суффиксов по умолчанию:
· если в одной криптокарте присутствуют команды set dns и/или set domain, то в другой криптокарте должны быть идентичные команды
· либо во всех криптокартах соответствующая команда отсутствует. Не допускается, чтобы в одной криптокарте присутствовала команда, а в другой – нет.
Данное требование обязательно как для статических, так и для динамических криптокарт.
Если данное требование не выполняется, конвертирование конфигурации будет прервано с ошибкой вида:
Could not convert { crypto map | dynamic crypto map template } "<name1> <idx1>" . Reason: { crypto map | dynamic crypto map template } "<name2> <idx2>" references to the same pool ("<pool-name>") but the additional parameters to send to client are different.
где <namei> <idxi> – имена и индексы конфликтующих crypto maps или dynamic crypto map templates (примечание: сообщение об ошибке выдается для первой встреченной конфликтующей пары; в конфигурации могут присутствовать и другие конфликтующие криптокарты); <pool-name> – имя привязанного пула.
Удаление
Для удаления связи между пулом адресов и криптокартой используется команда
no set pool. Возможно указать в команде дополнительные параметры.
Замечание:
Если адреса для пула выделены из внутренней подсети, защищаемой шлюзом (S-Terra Gate), то при выделении партнерам адресов из такого пула необходимо прописать в таблице маршрутизации маршрут на IP-адреса из этого пула через интерфейс роутера, а не через внешний интерфейс шлюза (S-Terra Gate) командой ip route.
Если адреса пула не пересекаются с адресами внутренней подсети, защищаемой шлюзом (S-Terra Gate), то при выделении адресов из такого пула маршрут на адреса из такого пула можно прописать через внешний интерфейс шлюза, установленного по умолчанию.
Отличие данной команды от подобной команды Cisco IOS:
Данная команда отсутствует в IOS у Cisco.
Пример
Приведен пример создания и привязки пула адресов "mypool" к записи номер 10 криптографической карты "mymap":
Router(config)#ip local pool mypool 10.10.10.10 10.10.10.20
Router(config)#crypto map mymap 10 ipsec-isakmp
Router(config-crypto-map)#set pool mypool
Пример использования команды set pool <none>, когда ко всем криптокартам c именем cmap привязывается пул с именем pool1, но к 10 записи криптокарты cmap пул не привязан:
Router(config)#crypto isakmp client configuration address-pool local pool1
Router(config)#crypto map cmap client configuration address initiate
Router(config)#crypto map cmap 10 ipsec-isakmp
Router(config-crypto-map)#set pool <none>
Для случая динамической криптокарты:
Router(config)#crypto isakmp client configuration address-pool local pool2
Router(config)#crypto dynamic-map dmap client configuration address initiate
Router(config)#crypto map cmap 20 ipsec-isakmp dynamic dmap
Router(config-crypto-map)#set pool <none>