Команда set pool используется для привязки созданного пула адресов для IKECFG к данной криптографической карте.
Для устранения связи пула адресов и криптографической карты используется та же команда, но с префиксом no.
Синтаксис set pool name no set pool |
|
name |
имя пула, из которого будут выдаваться IP-адреса для партнеров в данной криптографической карте. Имеется зарезервированное слово <none> (в угловых скобках) для указания, что к данной криптокарте не привязан пул. Данный пул должен быть задан в режиме Global configuration mode. |
Режимы команды |
Crypto map configuration |
Значение по умолчанию |
нет |
Рекомендации по использованию |
• Использование данной команды возможно только для ipsec-isakmp записей в криптографических картах. • Команда указывает пул адресов для IKECFG, заданный командой ip local pool. • Если в конфигурации не создан указанный пул адресов, то выдается сообщение об ошибке: % Attempt to set unknown pool is ignored • Если в криптокарте пул не указан явно командой set pool, но в конфигурации присутствует команда crypto map map-name client configuration address {initiate|respond}, которая привязывает все криптокарты с именем map-name к пулу с именем pool-name, а также команда crypto isakmp client configuration address-pool local pool-name, задающая глобальную привязку криптокарт к пулу с именем pool-name и указывающая общий пул для IKECFG, то этот пул и будет использоваться в криптокартах с именем map-name, кроме тех криптокарт, в которых пул задан явно. • Если задан пул по умолчанию, а в криптокарте указана команда set pool <none>, то пул адресов игнорируется. • Существует ограничение на привязку одного и того же пула к разным криптокартам: если к двум и более криптокартам привязан один и тот же пул, то, независимо от способа привязки пула, необходимо, чтобы в данных криптокартах полностью совпадали настройки DNS серверов и доменных суффиксов по умолчанию: • если в одной криптокарте присутствуют команды set dns и/или set domain, то в другой криптокарте должны быть идентичные команды • либо во всех криптокартах соответствующая команда отсутствует. Не допускается, чтобы в одной криптокарте присутствовала команда, а в другой - нет. • Данное требование обязательно как для статических, так и для динамических криптокарт. • Если данное требование не выполняется, конвертирование конфигурации будет прервано с ошибкой вида: Could not convert { crypto map | dynamic crypto map template } "<name1> <idx1>" . Reason: { crypto map | dynamic crypto map template } "<name2> <idx2>" references to the same pool ("<pool-name>") but the additional parameters to send to client are different где <namei> <idxi> - имена и индексы конфликтующих crypto maps или dynamic crypto map templates (примечание: сообщение об ошибке выдается для первой встреченной конфликтующей пары; в конфигурации могут присутствовать и другие конфликтующие криптокарты); <pool-name> - имя привязанного пула. |
Удаление |
Для удаления связи между пулом адресов и криптокартой используется команда no set pool. Возможно указать в команде дополнительные параметры. |
Замечание |
Если адреса для пула выделены из внутренней подсети, защищаемой шлюзом (С-Терра Шлюз), то при выделении партнерам адресов из такого пула необходимо прописать в таблице маршрутизации маршрут на IP-адреса из этого пула через интерфейс роутера, а не через внешний интерфейс шлюза (С-Терра Шлюз) командой ip route. Если адреса пула не пересекаются с адресами внутренней подсети, защищаемой шлюзом (С-Терра Шлюз), то при выделении адресов из такого пула маршрут на адреса из такого пула можно прописать через внешний интерфейс шлюза, установленного по умолчанию. |
Отличие данной команды от подобной команды Cisco IOS |
Данная команда отсутствует в IOS у Cisco. |
Пример |
Приведен пример создания и привязки пула адресов "mypool" к записи номер 10 криптографической карты "mymap": Router(config)#ip local pool mypool 10.10.10.10 10.10.10.20 Router(config)#crypto map mymap 10 ipsec-isakmp Router(config-crypto-map)#set pool mypool Пример использования команды set pool <none>, когда ко всем криптокартам c именем cmap привязывается пул с именем pool1, но к 10 записи криптокарты cmap пул не привязан: Router(config)#crypto isakmp client configuration address-pool local pool1 Router(config)#crypto map cmap client configuration address initiate Router(config)#crypto map cmap 10 ipsec-isakmp Router(config-crypto-map)#set pool <none> Для случая динамической криптокарты: Router(config)#crypto isakmp client configuration address-pool local pool2 Router(config)#crypto dynamic-map dmap client configuration address initiate Router(config)#crypto map cmap 20 ipsec-isakmp dynamic dmap Router(config-crypto-map)#set pool <none> |