Команда crypto map используется для создания или изменения записей криптографических карт.
Также с помощью команды crypto map осуществляется переход в режим настройки криптографических карт (Crypto map configuration).
Для удаления записи или набора записей криптографических карт используются те же команды, но с префиксом no.
Синтаксис crypto map map-name seq-num ipsec-isakmp [dynamic dynamic-map-set] no crypto map map-name seq-num |
|
map-name |
имя набора записей криптографической карты. Это имя присваивается в момент создания криптографической карты. |
seq-num |
номер, присваиваемый отдельной записи в криптографической карте. |
ipsec-isakmp |
указывает на то, что для данной записи при создании IPsec SA будет использоваться процедура согласования параметров IKE. Это ключевое слово обязательно только при создании новой криптокарты, пре редактировании уже существующей - можно не указывать. |
Dynamic |
указывает на то, что данная запись ссылается на уже существующий набор динамических криптографических карт, созданных командой crypto dynamic-map. При использовании этого ключевого слова доступ к командам настройки криптографической карты будет запрещен. Необязательный параметр. |
dynamic-map-set |
имя набора записей динамической криптографической карты, который используется в качестве шаблона политики безопасности. Используется только в связке с параметром dynamic. |
Режимы команды |
Global configuration Данная команда осуществляет переход в режим crypto map configuration. |
Значение по умолчанию |
нет предустановленных криптографических карт. |
Рекомендации по использованию |
• Данная команда используется для создания новой криптокарты, новых записей в ней или изменения существующих записей. • Записи
в криптографических картах устанавливают параметры IPsec
SA для подлежащего шифрованию
или аутентификации трафика. • Команда crypto map осуществляет переход в режим настройки криптографической карты (Crypto map configuration). В этом режиме могут быть настроены (отредактированы) такие параметры, как привязка к записи криптографической карты списка доступа (access list), партнера, установка опции PFS, установка времени жизни SA и др. В режиме настройки могут использоваться следующие команды: • match address - осуществляет привязку списка доступа к записи криптографической карты. • set pfs - указывает, что на стадии согласования параметров IPsec для данной записи криптографической карты должна быть затребована опция PFS. • set security-association lifetime - устанавливает время жизни SA для конкретных записей криптографической карты. • set security-association mtu - задает значение MTU для IPsec SA, создаваемых по данной crypto map. • set security-association replay disable - отключает защиту от replay атак. • set transform-set - указывает, какие наборы преобразований (transform set) могут использоваться с данной записью криптографической карты. • set peer - указывает IPsec партнера для записи криптографической карты. • set local-address - задает локальный IP-адрес для взаимодействия с партнерами. • set certificate local credential - задает локальный сертификат VPN-устройства для взаимодействия с партнерами по данной криптографической карте. • set identity - устанавливает списки идентификаторов, которые используются. • set ikecfg-request - включает запрос на получение адреса по IKECFG. • set pool - устанавливает имя пула криптографической карты. • set ip access-group - устанавливает правила фильтрации, применяемые к входящим IPsec пакетам после декапсуляции, или к исходящим IPsec пакетам до инкапсуляции. • set dns - задает DNS для IKECFG. • set domain - задает доменный суффикс для IKECFG. • set client authentication xauth - включает поддержку XAuth сервера. • set client authentication list - задает ссылку на список аутентификации (при использовании аутентификации пользователя на RADIUS-сервере). • set client username - задает способ получения идентификатора пользователя (при использовании аутентификации пользователя на RADIUS-сервере) (устаревшая команда). • set client forced-username - задает способ получения принудительного (неинтерактивного) идентификатора пользователя для аутентификации пользователя на RADIUS-сервере. • set client authentication forced-password - используется для задания принудительного пароля пользователя для аутентификации на RADIUS-сервере. • set accounting - привязывает список учета к конкретному набору криптографических карт. • set re-route - указывает, что пакет будет подвергаться повторной маршрутизации. • set tcp-encapsulation - включает режим инкапсуляции IPsec пакетов в TCP. • set dead-connection history off - отключает использование информации о ранее уничтоженных соединениях. • reverse-route - включает механизм Reverse Route Injection (RRI). |
Создание статической криптокарты |
При создании новой crypto map (также как в Cisco) ключевое слово ipsec-isakmp обязательно должно присутствовать в команде, при редактировании уже существующей криптокарты допускается сокращенная запись - это ключевое слово можно не указывать. |
Ограничения |
Аналогично Cisco существуют ограничения на модификацию уже существующих криптокарт (указание с тем же именем и порядковым номером). Запрещены следующие ситуации: • попытка замены существующей статической криптокарты на динамическую.Например: crypto map cmap 1 ipsec-isakmp ... crypto map cmap 1 ipsec-isakmp dynamic dmap !!! Ошибочная команда !!! • попытка замены существующей динамической криптокарты на статическую. Например: crypto map cmap 1 ipsec-isakmp dynamic dmap ... crypto map cmap 1 ipsec-isakmp !!! Ошибочная команда !!! • попытка замены ссылки на другой dynamic-map-set в уже существующей криптокарте. Например: crypto map cmap 1 ipsec-isakmp dynamic dmap ... crypto map cmap 1 ipsec-isakmp dynamic another-dmap !!! Ошибочная команда !!! Во всех указанных случаях введенная команда игнорируется и на консоль выдается сообщение, аналогичное Cisco: Attempt to change dynamic map tag for existing crypto map is ignored |
Редактирование |
Если задать корректную команду для уже существующей криптокарты (т.е. не попадающую в один из указанных ранее ошибочных случаев), поведение различается для разных типов crypto map (поведение аналогично Cisco): • для динамической криптокарты команда ничего не делает (поскольку совпадает с введенной ранее), однако воспринимается как корректная; • для статической криптокарты происходит вход в конфигурационный режим, в котором можно поменять настройки crypto map (peer, ACL, transform-set и т.д.). |
Удаление |
Основной вариант команды удаления отдельной записи в криптокарте: no crypto map map-name seq-num • Добавление дополнительных ключевых слов не допускается. • Если указанного в команде имени набора записей криптокарты или номера записи в криптокарте не существует, то выдается сообщение об ошибке: Could not find crypto map entry <map-name> <seq-num> • Если указанная в команде запись является единственной в наборе записей криптокарты и криптокарта привязана к интерфейсу, то команда не выполняется и выдается сообщение об ошибке: Crypto-map <map-name> is in use by interface(s): Fa<NUM>. Please remove the crypto map from the above interface(s) first Команда удаления всего набора записей в криптокарте (криптокарты): no crypto map map-name • Дополнительно данная команда удаляет записи crypto {map | dynamic-map} client configuration address {initiate | respond}, относящиеся к данной криптокарте. • Если указанная в команде криптокарта отсутствует, то команда не выполняется и выдается сообщение об ошибке: Could not find crypto map <map-name> • Если указанная в команде криптокарта привязана к интерфейсу, то команда не выполняется и выдается сообщение об ошибке: Crypto-map <map-name> is in use by interface(s): Fa<NUM>. Please remove the crypto map from the above interface(s) first • Допускается (хотя и необязательно) добавление дополнительных ключевых слов, например: no crypto map cmap 1 ipsec-isakmp no crypto map cmap 1 ipsec-isakmp dynamic dmap !!! Только для динамической crypto map !!! • Команда no с указанием ключевого слова dynamic (как в последнем примере) работает только для динамической crypto map. Если такую команду задать для статической crypto map, команда завершится с ошибкой и проигнорируется. |
Отличие данной команды от подобной команды Cisco IOS |
• Существует специфический подход в случае, если в наборе записей криптографической карты присутствует несколько crypto maps, а в их crypto-map-acls существуют пересечения по адресам, причем в части правил присутствует permit, а в других правилах - deny. • Существуют особенности при использовании crypto map с несколькими peers в случае, если используется аутентификация на preshared keys и для разных peers используются разные ключи и/или используется смешанная аутентификация (на preshared keys и сертификатах). • Не поддерживается тип ipsec-manual и задание crypto map profile. Команды crypto isakmp profiles и crypto ipsec profiles в данной версии Продукта не реализованы, тем не менее, имеется возможность сформировать инфраструктуру работы с удаленными пользователями. Например, имеется команда set identity, которая устанавливает identity инициатора и при работе с удаленными клиентами параметры шифрования и выделяемые туннельные адреса могут определяться в зависимости от DN сертификата и FQDN клиента. Одной из команд, формирующих инфраструктуру, является команда set pool, задающая пул адресов, из которого будут выделяться адреса по IKECFG для мобильных пользователей. |
Пример |
Ниже приведен пример использования команды crypto map: Router(config)#crypto dynamic-map mydynamicmap 10 Router(config-crypto-map)#match address 103 Router(config-crypto-map)#set transform-set my_t_set1 my_t_set2 my_t_set3
Router(config)#crypto map mymap 10 ipsec-isakmp Router(config-crypto-map)#match address 101 Router(config-crypto-map)#set transform-set my_t_set1 Router(config-crypto-map)#set peer 10.0.0.1 Router(config-crypto-map)#set peer 10.0.0.2 Router(config)#crypto map mymap 20 ipsec-isakmp Router(config-crypto-map)#match address 102 Router(config-crypto-map)#set transform-set my_t_set1 my_t_set2 Router(config-crypto-map)#set peer 10.0.0.3 Router(config)#crypto map mymap 30 ipsec-isakmp dynamic mydynamicmap ! |