シスコルータでLAN-to-LANのIPSec VPNを構築するときに、片側の拠点がグローバルアドレス非固定だったりします。そんなときは、グローバルアドレス非固定の拠点はAggressive mode で設定する必要があります。
このAggressive mode のサンプルコンフィグでは、LAN側アドレスは 192.168.20.0 /24 , WAN側アドレスは 192.168.220.2になっています。
★拠点側のコンフィグ
=====================================================
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key password address 192.168.220.1
crypto isakmp keepalive 30 periodic
!
crypto isakmp peer address 192.168.220.1
set aggressive-mode password password
set aggressive-mode client-endpoint fqdn Cisco2
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map mymap 1 ipsec-isakmp
set peer 192.168.220.1
set transform-set myset
set pfs group2
match address 100
!
interface FastEthernet0
ip address 192.168.20.254 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.220.2 255.255.255.0
crypto map mymap
!
ip route 0.0.0.0 0.0.0.0 192.168.220.1
!
!
no ip http server
no ip http secure-server
!
access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
!
!
=====================================================
0 件のコメント:
コメントを投稿