Создание пула адресов производится в окне Add IKECFG Pool (Рисунок 89), которое появляется при нажатии кнопки Add в разделе IKECFG Pools.
Рисунок 89
Состав элементов окна:
· Name – имя IKECFG пула. В имени должны использоваться только латинские буквы, цифры и символы: !”#$%&’()*+,-./;:>=<@[\]^_`{|}~?. Не допускаются пробелы. Имя обязательно должно начинаться с буквы.
· IP Address Range(s) – группа элементов формирования диапазона IP-адресов. Например, из подсети 10.10.10.0/24 можно выделить диапазон адресов 10.10.10.196-10.10.10.199. Или выделить другой диапазон 10.10.10.240 – 10.10.10.243.
· First IP Address – поле ввода первого IP-адреса диапазона или единичного IP-адреса. Первый адрес диапазона должен быть меньше последнего адреса диапазона. Это поле не должно быть пустым.
· Last IP Address – поле ввода последнего IP-адреса диапазона.
· IP Address Range List – список диапазонов IP-адресов. В списке запрещено выделение нескольких строк. Список может содержать как диапазоны, так и отдельные IP-адреса. В списке не должно быть диапазонов, которые пересекаются или входят в другие диапазоны списка, а также в адресные пространства других IKECFG пулов.
· Set as IOS pool – флажок, устанавливающий статус IOS создаваемому пулу адресов. Пул с таким статусом является общим и может быть только один.
В файле конфигурации это назначение отображается командой crypto isakmp client configuration address-pool local pool_name.
Для привязки такого пула к криптографическим картам используется команда crypto map имя_политики_IPsec client configuration address {initiate|respond}
или
crypto dynamic-map имя_набора_динамических_криптокарт client configuration address {initiate|respond},
а не set pool, в случае, когда пул не имеет статуса IOS.
Примечание: если набор динамических криптокарт, у которых не задан пул адресов, связан с политикой IPsec, у которой указан пул адресов, помеченный как IOS pool , то в разделах Overview, VPN (VPN Connections), IPSec Policies у данного набора динамических криптокарт вместо значения <none> будет отображаться имя пула с пометкой <effective>. Это же значение будет отображаться, если описанная выше ситуация присутствует в действующей на шлюзе конфигурации.
Кнопки управления:
· Add – кнопка добавления диапазона, указанного в полях First IP Address и Last IP Address, в список диапазонов IP-адресов. Кнопка блокируется при пустом поле First IP Address. Если заполнено только поле First IP Address, то по нажатию этой кнопки в список будет помещен указанный адрес.
· Remove – кнопка удаления выделенного диапазона из списка. Если в списке нет выделенной строки, кнопка блокируется.
После создания IKECFG пула необходимо отредактировать таблицу маршрутизации для правильной работы соединений. Для этого в разделе Routing нужно добавить запись для обратного трафика от подсети к клиентам, получившим адрес из данного IKECFG пула. При этом параметры записи задаются следующим образом:
Prefix, Prefix Mask указывается диапазон адресов данного IKECFG пула
IP Address задается адрес внешнего маршрутизатора, через который поступают пакеты клиентам.