Leaflet
10-27
思科 ASA 系列命令参考,A 至 H 命令
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令
crypto map match address
crypto map match address
要将访问列表分配到加密映射条目,请在全局配置模式下使用 crypto map match address 命令。
要从加密映射条目删除访问列表,请使用此命令的 no 形式。
crypto map map-name seq-num match address acl_name
no crypto map map-name seq-num match address acl_name
语法说明
默认值 没有默认行为或值。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 此命令对所有静态加密映射都是必要的。如果是定义动态加密映射(使用 crypto dynamic-map
命令),则此命令不是必要的,但强烈建议使用。
使用 access-list 命令定义访问列表。访问列表命中计数仅当隧道启动时才会增加。在隧道启动
后,命中计数不会在每个数据包流上增加。如果隧道关闭后重新启动,命中计数就会增加。
ASA 使用访问列表将要使用 IPsec 加密保护的流量与不需要保护的流量区分开来。它保护匹配允
许 ACE 的出站数据包,并确保匹配允许 ACE 的入站数据包获得保护。
当 ASA 将数据包匹配到 deny 语句时,它将使用加密映射中的其余 ACE 跳过数据包评估,并按顺
序使用下一个加密映射中的 ACE 继续数据包评估。
级联
ACL 涉及使用 deny ACE 来绕过 ACL 中
其余 ACE 的评估,并且使用分配到加密映射集中下一个加密映射的 ACL 继续流量评估。由于您
可以将每个加密映射与不同的 IPsec 设置关联,因此可以使用 deny ACE 将特殊流量从相应加密映
射的进一步评估中排除,并且将特殊流量匹配到另一个加密映射中的 permit 语句,以提供或要求
不同的安全保护。
acl_name
指定加密访问列表的名称。此名称应匹配所匹配的指定加密访问列表的
name 参数。
map-name
指定加密映射集的名称。
seq-num
指定分配给加密映射条目的编号。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是 • 是 • 是 • 是
—
版本 修改
7.0(1)
引入了此命令。
9.0(1)
增加了多情景模式支持。