Cisco 機器と IPsec その2

crypto map を利用するやり方だと、冗長化構成が取れないので、 やはり virtual-template を使う方法に。

topology

f:id:paihu:20170604160223p:plain こんな感じ、余分なところを取って綺麗にしました。

設定

全体的に

virtual-template 使うと、 virtual-access というインターフェースが動的に生成されますが、 ここに対してstatic routeを入れる方法が分からなかったので とりあえず OSPF を動かしています。何らかのdynamic routing protocol動かさないと virtual-access インターフェースにトラフィックが向けられないような気がするのでそこがポイントかなと。

Site2側はmatch identity address 0.0.0.0 でどこからでも受けられるようになっているので、 Site3みたいな対向拠点をぽこぽこ増やしたいときもある程度対応できそうですね。

Site3側はSite2-AとSite2-B から同じコストで経路をもらうと、ロードバランスしてくれます。

Site2-A, Site2-B 共通

shared-pass を変えたい場合は変更すると良いかと。

crypto keyring <keyring-name>
  pre-shared-key address 0.0.0.0 0.0.0.0 key <shared-pass>

crypto isakmp profile <profile-name>
   keyring <keyring-name>
   match identity address 0.0.0.0
   virtual-template <template number>

interface Virtual-Template <template number> type tunnel
 ip unnumbered GigabitEthernet1/0
 ip ospf 1 area 0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile default

router ospf 1

Site3

crypto isakmp key <shared-pass> address <Site2-A Global IPAddress>
crypto isakmp key <shared-pass> address <Site2-B Global IPAddress>

interface Tunnel <tunnel number>
 ip unnumbered GigabitEthernet1/0
 ip ospf 1 area 0
 tunnel source GigabitEthernet1/0
 tunnel mode ipsec ipv4
 tunnel destination <Site2-A Global IPAddress>
 tunnel protection ipsec profile default

interface Tunnel <tunnel number>
 ip unnumbered GigabitEthernet1/0
 ip ospf 1 area 0
 tunnel source GigabitEthernet1/0
 tunnel mode ipsec ipv4
 tunnel destination <Site2-A Global IPAddress>
 tunnel protection ipsec profile default

router ospf 1

その他

シンプルな設定のみということで * crypto isakmp prfile * crypto ipsec prfile * crypto ipsec transform-set あたりはデフォルトのものを使うようにしてます。 本運用するのならちゃんと設定した方が良いかと