crypto isakmp profile にて match identity address 0.0.0.0を入れてしまうと、 該当外のIPSecもこの設定を利用してしまうため不都合があるので、 aggressive-mode を利用するほうが無難という。

Site2-A, Site2-B 共通

外へ出ていくIFが GigabitEthernet1/0 であるとしている。

crypto keyring <keyring-name>
  pre-shared-key address 0.0.0.0 0.0.0.0 key <shared-pass>

crypto isakmp profile <profile-name>
   keyring <keyring-name>
   match identity user-fqdn <User@FQDN.local>
   virtual-template <template number>

interface Virtual-Template <template number> type tunnel
 ip unnumbered GigabitEthernet1/0
 ip ospf 1 area 0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile default

router ospf 1

Site2-A, Site2-B 共通

外へ出ていくIFが GigabitEthernet1/0 であるとしている。

crypto isakmp peer address <Site2-A Global IPAddress>
 set aggressive-mode password <shared-pass>
 set aggressive-mode client-endpoint user-fqdn <User@FQDN.local>

crypto isakmp peer address <Site2-B Global IPAddress>
 set aggressive-mode password <shared-pass>
 set aggressive-mode client-endpoint user-fqdn <User@FQDN.local>

interface Tunnel <tunnel number>
 ip unnumbered GigabitEthernet1/0
 ip ospf 1 area 0
 tunnel source GigabitEthernet1/0
 tunnel mode ipsec ipv4
 tunnel destination <Site2-A Global IPAddress>
 tunnel protection ipsec profile default

interface Tunnel <tunnel number>
 ip unnumbered GigabitEthernet1/0
 ip ospf 1 area 0
 tunnel source GigabitEthernet1/0
 tunnel destination <Site2-B Global IPAddress>
 tunnel protection ipsec profile default

router ospf 1