IPsec、設定が面倒だなぁと思うものの一つです。

異機種間接続とかもう面倒で。

 

それはともかく、今回はCisco同士の話。

 

site to site VPNを Cisco機器同士ではりましょうという簡単なものです。

topology はこんな感じ。

 

現在、Site1とSite2 が 接続されている状態で、

Site2とSite3の間で新たに接続するという感じです。

 

Site1とSite2接続では、Site2側は Interface Tunnel 0 で接続されていて、

Site3を繋ぐにあたり、当然、切ってはいけない(パケットロスでもAlert上がるのでやめたい)

という状況です。

 

Site3側がIPアドレスが不定なため、トンネルインターフェースを作るのはあきらめ、

crypto map と access-listで何とかします。

 

Site2側は

 

 

crypto keyring <keyring-name>
    pre-shared-key address 0.0.0.0 0.0.0.0 key <shared-pass>

crypto isakmp profile <isakmp-profile-name>
   keyring <keyring-name>
   match identity address 0.0.0.0

crypto ipsec transform-set <set-name> esp-aes esp-sha-hmac

crypto dynamic-map <dynamic-map-name> 1
 set transform-set <set-name>
 set isakmp-profile <isakmp-profile-name>

crypto map <map-name> 1 ipsec-isakmp dynamic <dynamic-map-name>

interface <output interface>
    crypto map <map-name>


access-list 100 permit ip any <site3 network>

 

 

Site3側は

 

 

crypto isakmp key <shared-pass> address <site2 global-address>

crypto ipsec transform-set <set-name> esp-aes esp-sha-hmac

crypto map <map-name> 1 ipsec-isakmp
 set peer <site2 global-address>
 set transform-set <set-name>
 match address 100


interface <output interface>
    crypto map <map-name>

access-list 100 permit ip <site3 network> any

 

 

なお手軽構成です。

 

Site2とSite3で、 access-list の srcとdstが入れ替わったaclになってないと

接続できません、というのがポイントでしょうか。

 

 

どうでもいいですが、IPアドレスが動的でも、DNS登録されていれば、それ使って接続する方法もあって、

その方法だと Tunnel インターフェースが使えます。

(DDNSが書き換わってもそれを探しに行くので、

IPアドレス変更->DDNS登録変更->対向ホストでDNSキャッシュが切れて新しいIPアドレスが引けるようになる

という間は接続が切れますが、その後また自動復帰してくれるという)