crypto isakmp profile
にて match identity address 0.0.0.0
を入れてしまうと、
該当外のIPSecもこの設定を利用してしまうため不都合があるので、
aggressive-mode を利用するほうが無難という。
Site2-A, Site2-B 共通
外へ出ていくIFが GigabitEthernet1/0 であるとしている。
crypto keyring <keyring-name> pre-shared-key address 0.0.0.0 0.0.0.0 key <shared-pass> crypto isakmp profile <profile-name> keyring <keyring-name> match identity user-fqdn <User@FQDN.local> virtual-template <template number> interface Virtual-Template <template number> type tunnel ip unnumbered GigabitEthernet1/0 ip ospf 1 area 0 tunnel mode ipsec ipv4 tunnel protection ipsec profile default router ospf 1
Site2-A, Site2-B 共通
外へ出ていくIFが GigabitEthernet1/0 であるとしている。
crypto isakmp peer address <Site2-A Global IPAddress> set aggressive-mode password <shared-pass> set aggressive-mode client-endpoint user-fqdn <User@FQDN.local> crypto isakmp peer address <Site2-B Global IPAddress> set aggressive-mode password <shared-pass> set aggressive-mode client-endpoint user-fqdn <User@FQDN.local> interface Tunnel <tunnel number> ip unnumbered GigabitEthernet1/0 ip ospf 1 area 0 tunnel source GigabitEthernet1/0 tunnel mode ipsec ipv4 tunnel destination <Site2-A Global IPAddress> tunnel protection ipsec profile default interface Tunnel <tunnel number> ip unnumbered GigabitEthernet1/0 ip ospf 1 area 0 tunnel source GigabitEthernet1/0 tunnel destination <Site2-B Global IPAddress> tunnel protection ipsec profile default router ospf 1