Leaflet
10-24
思科 ASA 系列命令参考,A 至 H 命令
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令
crypto map interface
注意 ASA 可让您即时更改加密映射、动态映射和 IPsec 设置。如果您更改,ASA 只减少受更改影响的
连接。如果更改与加密映射关联的现有访问列表,特别是通过删除访问列表中的条目进行更改,
则只会减少关联的连接。基于访问列表中其他条目的连接不受影响。
每个静态加密映射必须定义三部分:访问列表、转换集和 IPsec 对等设备。如果缺少其中一部
分,加密映射就不完整,并且 ASA 会移至下一个条目。但是,如果加密映射与访问列表匹配,
但不符合另外一个或两个要求,此 ASA 会丢弃流量。
请使用 show running-config crypto map 命令确保每个加密映射完整。要修复某个不完整的加密
映射,请删除该加密映射,添加缺少的条目,然后重新应用它。
示例 以下示例在全局配置模式下输入,将名为 mymap 的加密映射集分配到外部接口。当流量通过外
部接口时,ASA 将使用 mymap 集中的所有加密映射条目评估它。当出站通信与其中一个 mymap
加密映射条目中的访问列表匹配时,ASA 将使用该加密映射条目的配置建立安全关联。
ciscoasa(config)# crypto map mymap interface outside
以下示例展示加密映射最低配置要求:
ciscoasa(config)# crypto map mymap 10 ipsec-isakmp
ciscoasa(config)# crypto map mymap 10 match address 101
ciscoasa(config)# crypto map mymap set transform-set my_t_set1
ciscoasa(config)# crypto map mymap set peer 10.0.0.1
相关命令
命令 说明
clear configure crypto map
清除所有加密映射的所有配置。
show running-config crypto map
显示加密映射配置。