crypto map を利用するやり方だと、冗長化構成が取れないので、 やはり virtual-template を使う方法に。
topology
こんな感じ、余分なところを取って綺麗にしました。
設定
全体的に
virtual-template 使うと、
virtual-access
Site2側はmatch identity address 0.0.0.0 でどこからでも受けられるようになっているので、 Site3みたいな対向拠点をぽこぽこ増やしたいときもある程度対応できそうですね。
Site3側はSite2-AとSite2-B から同じコストで経路をもらうと、ロードバランスしてくれます。
Site2-A, Site2-B 共通
shared-pass を変えたい場合は変更すると良いかと。
crypto keyring <keyring-name> pre-shared-key address 0.0.0.0 0.0.0.0 key <shared-pass> crypto isakmp profile <profile-name> keyring <keyring-name> match identity address 0.0.0.0 virtual-template <template number> interface Virtual-Template <template number> type tunnel ip unnumbered GigabitEthernet1/0 ip ospf 1 area 0 tunnel mode ipsec ipv4 tunnel protection ipsec profile default router ospf 1
Site3
crypto isakmp key <shared-pass> address <Site2-A Global IPAddress> crypto isakmp key <shared-pass> address <Site2-B Global IPAddress> interface Tunnel <tunnel number> ip unnumbered GigabitEthernet1/0 ip ospf 1 area 0 tunnel source GigabitEthernet1/0 tunnel mode ipsec ipv4 tunnel destination <Site2-A Global IPAddress> tunnel protection ipsec profile default interface Tunnel <tunnel number> ip unnumbered GigabitEthernet1/0 ip ospf 1 area 0 tunnel source GigabitEthernet1/0 tunnel mode ipsec ipv4 tunnel destination <Site2-A Global IPAddress> tunnel protection ipsec profile default router ospf 1
その他
シンプルな設定のみということで
* crypto isakmp prfile
* crypto ipsec prfile
* crypto ipsec transform-set
あたりはデフォルトのものを使うようにしてます。
本運用するのならちゃんと設定した方が良いかと