IPsec、設定が面倒だなぁと思うものの一つです。
異機種間接続とかもう面倒で。
それはともかく、今回はCisco同士の話。
site to site VPNを Cisco機器同士ではりましょうという簡単なものです。
topology はこんな感じ。
現在、Site1とSite2 が 接続されている状態で、
Site2とSite3の間で新たに接続するという感じです。
Site1とSite2接続では、Site2側は Interface Tunnel 0 で接続されていて、
Site3を繋ぐにあたり、当然、切ってはいけない(パケットロスでもAlert上がるのでやめたい)
という状況です。
Site3側がIPアドレスが不定なため、トンネルインターフェースを作るのはあきらめ、
crypto map と access-listで何とかします。
Site2側は
crypto keyring <keyring-name>
pre-shared-key address 0.0.0.0 0.0.0.0 key <shared-pass>
crypto isakmp profile <isakmp-profile-name>
keyring <keyring-name>
match identity address 0.0.0.0
crypto ipsec transform-set <set-name> esp-aes esp-sha-hmac
crypto dynamic-map <dynamic-map-name> 1
set transform-set <set-name>
set isakmp-profile <isakmp-profile-name>
crypto map <map-name> 1 ipsec-isakmp dynamic <dynamic-map-name>
interface <output interface>
crypto map <map-name>
access-list 100 permit ip any <site3 network>
Site3側は
crypto isakmp key <shared-pass> address <site2 global-address>
crypto ipsec transform-set <set-name> esp-aes esp-sha-hmac
crypto map <map-name> 1 ipsec-isakmp
set peer <site2 global-address>
set transform-set <set-name>
match address 100
interface <output interface>
crypto map <map-name>
access-list 100 permit ip <site3 network> any
なお手軽構成です。
Site2とSite3で、 access-list の srcとdstが入れ替わったaclになってないと
接続できません、というのがポイントでしょうか。
どうでもいいですが、IPアドレスが動的でも、DNS登録されていれば、それ使って接続する方法もあって、
その方法だと Tunnel インターフェースが使えます。
(DDNSが書き換わってもそれを探しに行くので、
IPアドレス変更->DDNS登録変更->対向ホストでDNSキャッシュが切れて新しいIPアドレスが引けるようになる
という間は接続が切れますが、その後また自動復帰してくれるという)