Команда crypto dynamic-map используется для создания набора динамических криптографических карт.
Также эта команда используется для входа в режим crypto map configuration.
Для удаления набора записей или одной записи динамической криптографической карты используется та же команда с префиксом no.
Синтаксис crypto dynamic-map dynamic-map-name dynamic-seq-num no crypto dynamic-map dynamic-map-name [dynamic-seq-num] |
|
dynamic-map-name |
указывает имя набора записей динамической криптографической карты |
dynamic-seq-num |
указывает номер конкретной записи динамической криптографической карты. |
Значение по умолчанию |
отсутствует |
Режимы команды |
Global configuration. Данная команда осуществляет переход в режим crypto map configuration. |
Рекомендации по использованию |
Используйте эту команду для создания шаблонов политики, которые могут быть использованы в процессе согласования параметров SA с партнером, даже если вы не знаете всех параметров криптографической карты, требуемых для взаимодействия с удаленным партнером (таких, как его IP address). Например, если вы не имеете полной информации обо всех IPsec партнерах, использование динамических криптографических карт позволит вам создать SA с подобным партнером. Однако, процесс создания SA не будет начат до тех пор, пока успешно не завершится аутентификация IKE. |
Удаление |
• Удаление набора записей динамической криптокарты выполняется командой no crypto dynamic-map <dynamic-map-name> • В случае, если удаляемый набор записей криптографической карты отсутствуют в конфигурации, то выдается соответствующее сообщение об ошибке: Could not find crypto map template <dynamic-map-name> • Если существует хотя бы одна криптокарта, ссылающаяся на набор записей с указанным именем, выдается сообщение об ошибке: Crypto map template in use by crypto map; cannot delete • Удаление записи динамической криптокарты выполняется командой no crypto dynamic-map <dynamic-map-name> <seq-num> • В случае, если удаляемая запись динамической криптографической карты отсутствуют в конфигурации, то выдается соответствующее сообщение об ошибке: Could not find crypto map template entry <dynamic-map-name> <seq-num> • Если данная запись единственная с указанным именем и существует хотя бы одна криптокарта, ссылающаяся на данный набор записей, выдается сообщение об ошибке: Crypto map template in use by crypto map; cannot delete В режиме настройки параметров криптографической карты могут использоваться следующие команды (синтаксис этих команд совпадает с синтаксисом таких же команд при переходе в режим настройки криптографической карты командой crypto map): • set pfs - устанавливает опцию PFS. • set security-association lifetime - устанавливает время жизни IPsec SA. • set transform-set - связывает запись криптографической карты с наборами преобразований. • set pool - устанавливает пул адресов для записи криптографической карты. • set identity - связывает запись криптографической карты со списком идентификаторов. • match address - связывает расширенный список доступа с записью криптографической карты. • set ip access-group - устанавливает правила фильтрации, применяемые к входящим IPsec пакетам после декапсуляции, или к исходящим IPsec пакетам до инкапсуляции. • exit - выход из конфигурационного режима. Обязательной командой в этом списке является команда set transform-set.
Записи динамической криптографической карты, подобно записям статических криптографических карт группируются в наборы записей (сеты). После того, как с помощью команды crypto dynamic-map определен набор записей динамической криптографической карты (который обычно содержит только одну запись), его необходимо связать с записью в "родительской" криптографической карте. Эта операция производится с помощью команды crypto map. Затем эта "родительская" криптографическая карта должна быть привязана к интерфейсу.
Записи в "родительской" криптографической карте, ссылающиеся на динамические криптографические карты должны иметь более низкий приоритет, по сравнению с остальными записями. Это достигается присваиванием таким записям наивысших номеров (чем выше номер записи, тем ниже ее приоритет). |
Пример |
Ниже приведен пример использования команды crypto dynamic-map. В этом примере запись статической криптографической карты "mymap 30" ссылается на динамическую криптографическую карту Router(config)#crypto dynamic-map mydynamicmap 10 Router(config-crypto-map)#match address 103 Router(config-crypto-map)#set transform-set my_t_set1 my_t_set2 my_t_set3
Router(config)#crypto ipsec transform-set my_t_set1 esp-3des esp-sha-hmac Router(config)#crypto ipsec transform-set my_t_set2 esp-md5-hmac Router(config)#crypto map mymap 10 ipsec-isakmp Router(config-crypto-map)#match address 101 Router(config-crypto-map)#set transform-set my_t_set1 Router(config-crypto-map)#set peer 10.0.0.1 Router(config-crypto-map)#set peer 10.0.0.2 Router(config)#crypto map mymap 20 ipsec-isakmp Router(config-crypto-map)#match address 102 Router(config-crypto-map)#set transform-set my_t_set1 my_t_set2 Router(config-crypto-map)#set peer 10.0.0.3 Router(config)#crypto map mymap 30 ipsec-isakmp dynamic mydynamicmap ! |