Команда set peer используется для указания партнера по защищенному соединению в записи криптографической карты. Для удаления партнера из записи криптографической карты используется та же команда, но с префиксом no.
Синтаксис set peer ip-address|hostname
no set peer ip-address|hostname
ip-address IP-адрес партнера по защищенному соединению
hostname DNS-имя партнера по защищенному соединению (указывается без кавычек).
Режимы команды Crypto map configuration.
Значение по умолчанию значение по умолчанию отсутствует.
Рекомендации по использованию
Данная команда используется для указания партнера по защищенному взаимодействию в криптографической карте.
Эта команда требуется для всех статических криптографических карт. Для динамических карт эта команда не обязательна и, в большинстве случаев, не используется (потому что в основном партнер неизвестен).
Можно назначить несколько партнеров путем повторения выполнения команды. Попытка создать SA будет предпринята с партнером, заданным первым. Если попытка не удается для первого партнера, IKE пробует обратиться к следующему партнеру из списка криптографической карты.
Примечание: при использовании set peer hostname присутствуют серьезные ограничения. В этом случае допускаются только конфигурации, при конвертации которых получаются LSP с одной единственной IKERule:
· одна единственная crypto map с одним единственным set peer;
· одна единственная crypto map с несколькими set peer, у которых полностью совпадают параметры аутентификации: сертификат и/или один и тот же preshared key.
Если эти условия не соблюдаются, выдается сообщение об ошибке MSG_ID_CSCONV_PEER_HOSTNAME_COMPLEX_CONF:
[MSG_ID_CSCONV_PEER_HOSTNAME_COMPLEX_CONF]
!!! Присутствует команда set peer с hostname. При этом конфигурация сложная
!!! и потенциально неоднозначная.
SEVERITY= ERR
INDEX = 0x00733A09
TMPL = There is a "set peer" command with a hostname. But configuration is too complex and potentially ambiguous.
Пример
Ниже приведен пример с минимальными требованиями настройки параметров криптографической карты с использованием IKE для создания SA.
Router(config)#crypto map mymap 10 ipsec-isakmp
Router(config-crypto-map)#match address 101
Router(config-crypto-map)#set transform-set my_t_set1
Router(config-crypto-map)#set peer 10.0.0.1