set peer (crypto map)

Команда set peer  используется для указания партнера по защищенному соединению в записи криптографической карты.

Для удаления партнера из записи криптографической карты используется та же команда, но с префиксом  no.

Синтаксис

set peer ip-address|hostname 

no set peer ip-address|hostname

ip-address

IP-адрес партнера по защищенному соединению

Hostname 

DNS-имя партнера по защищенному соединению (указывается без кавычек).

Режимы команды

Crypto map configuration

Значение по

умолчанию

отсутствует

Рекомендации по

использованию

      Данная команда используется для указания партнера по защищенному взаимодействию в криптографической карте.

      Эта команда требуется для всех статических криптографических карт. Для динамических карт эта команда не обязательна и, в большинстве случаев, не используется (потому что в основном партнер неизвестен).

      Можно назначить несколько партнеров путем повторения выполнения команды. Попытка создать SA будет предпринята с партнером, заданным первым. Если попытка не удается для первого партнера, IKE пробует обратиться к следующему партнеру из списка криптографической карты.

Примечание

при использовании set peer hostname присутствуют серьезные ограничения.

 

В этом случае допускаются только конфигурации, при конвертации которых получаются LSP с одной единственной IKERule:

      одна единственная crypto map  с одним единственным set peer;

      одна единственная crypto map с несколькими set peer, у которых полностью совпадают параметры аутентификации: сертификат и/или один и тот же preshared key.

     Если эти условия не соблюдаются, выдается сообщение об ошибке

MSG_ID_CSCONV_PEER_HOSTNAME_COMPLEX_CONF:
[MSG_ID_CSCONV_PEER_HOSTNAME_COMPLEX_CONF]

!!! Присутствует команда set peer с hostname. При этом конфигурация сложная !!! и потенциально неоднозначная.

SEVERITY= ERR

INDEX   = 0x00733A09

TMPL    = There is a "set peer" command with a hostname. But configuration is too complex and potentially ambiguous

Пример

Ниже приведен пример с минимальными требованиями настройки параметров криптографической карты с использованием IKE для создания SA.

Router(config)#crypto map mymap 10 ipsec-isakmp

Router(config-crypto-map)#match address 101

 Router(config-crypto-map)#set transform-set my_t_set1

 Router(config-crypto-map)#set peer 10.0.0.1