Синтаксис

ip local pool poolname low-ip-address [high-ip-address]

no ip local pool poolname low-ip-address [high-ip-address]

Для удаления всего набора локальных адресов используется команда

no ip local pool poolname

poolname

имя, присваиваемое пулу адресов.

low-ip-address

начальный адрес диапазона локальных адресов.

high-ip-address

конечный адрес диапазона локальных адресов. Необязательный параметр.

Значение по

умолчанию

 отсутствует

Режимы команды

Global configuration

Рекомендации по

использованию

Используйте эту команду для создания IKECFG пула IP-адресов.

•      Повторный вызов команды с другим диапазоном адресов добавляет этот диапазон в пул.

•      Если новый диапазон пересекается с ранее введенным, то команда не выполняется и выдается сообщение об ошибке:

%IP address range overlaps with pool: <pool-name>

•      Если первый адрес диапазона больше второго, то команда не выполняется и выдается сообщение об ошибке:

%Bad IP range, <low-ip-address> - <high-ip-address>

•   В пул адресов могут быть выделены адреса как из защищаемой шлюзом (С-Терра Шлюз) подсети, так и адреса, непересекающиеся с защищаемой подсетью.

•      При подключении пользователей они будут получать IP-адреса из этого набора.

•      Если конечный адрес пула не задан - будет создан пул, состоящий из одного адреса.

•      Один созданный пул адресов можно сделать общим для тех криптокарт, которые не имеют собственного пула и у которых установлен флаг crypto map map-name client configuration address {initiate|respond}.

•    Для этого нужно ввести команду crypto isakmp client configuration address-pool local pool-name.

•      Если общий пул уже задан, то последняя команда не выполняется и выдается сообщение об ошибке:

% Remove current pool first

Удаление

Удалить пул можно целиком либо только один диапазон адресов из пула.

Для удаления всего пула используется команда:

no ip local pool poolname 

Удаление диапазона из пула производится командой:

no ip local pool poolname low-ip-address [high-ip-address]. 

Удаление последнего диапазона из пула эквивалентно удалению всего пула. Такая команда может быть отвергнута с ошибкой, если на пул присутствует ссылка из команды set pool (режим настройки crypto map). В этом случае выдается сообщение:

% Cannot remove the pool. It is used by: crypto map(s): "cmap 10", "cmap 20"; dynamic map(s): "dmap 10", "dmap 20"

Отличие данной

команды от

подобной команды

Cisco IOS

•      Допускается удаление всего пула, в Cisco IOS - нет.

•      Поведение при удалении диапазона пула отличается от Cisco IOS, так как там нет команды set pool.

Пример

Ниже приведен пример создания пула IP-адресов с именем 'localpool', содержащего 1024 IP-адреса:

Router(config)#ip local pool localpool 10.1.1.0 10.1.4.255

Примечание

Если предполагается использовать для авторизации и аутентификации RADIUS-сервер, то одновременно настраивать IKECFG параметры на отдельном С-Терра Шлюзе и на RADIUS-сервере крайне нежелательно:

•      Если будет указан локальный IKECFG пул, то в случае получения данных авторизации от RADIUS-сервера, будут задействованы данные из локального IKECFG пула, а данные от RADIUS-сервера будут игнорироваться.

•      Если RADIUS-сервер выдал Framed-IP-Address (Framed-IP-Address - атрибут RADIUS-сервера, соответствующий IKECFG-адресу, высылаемому С-Терра Шлюзом партнеру), который попадает в один из пулов адресов, задействованных в создаваемой политике безопасности, то С-Терра Шлюз игнорирует авторизационные данные от RADIUS-сервера и пытается установить соединение с партнёром без IKECFG.