Cisco GREoverIPSecの設定方法

GREoverIPSecについての説明は他サイトをご覧ください。
「GREoverIPSec」とgoogle検索すると詳しく解説しているものが
複数出てきます。

ここでは、GREoverIPSecの設定についてサンプルコンフィグとコマンド解説をします。

実際、導入したことのあるコンフィグを参照しているので、実績はあります。

———以下、センター側コンフィグ—————————

crypto isakmp policy 1 ///暗号化アルゴリズム、認証方式、ハッシュアルゴリズム、DHグループなどを定義
encr aes
authentication pre-share
group 2

crypto isakmp key (key) address 192.168.1.2 ///事前共有鍵の設定
crypto isakmp key (key) address 192.168.1.3
crypto isakmp key (key) address 192.168.1.4

crypto isakmp keepalive 30

crypto ipsec transform-set TEST-IPSEC esp-aes esp-sha-hmac
///暗号化アルゴリズムとハッシュアルゴリズムの組み合わせ(transform-set)を定義
mode transport

crypto map TEST-MAP 1 ipsec-isakmp　///crypto mapを作成
set peer 192.168.1.2　///通信の暗号・複号化するピアを設定
set transform-set TEST-IPSEC　///transform-setを設定
match address 102 ///access-list102に適応するIP addressのみ通信

crypto map TEST-MAP 2 ipsec-isakmp
set peer 192.168.1.3
set transform-set TEST-IPSEC
match address 103

crypto map TEST-MAP 3 ipsec-isakmp
set peer 192.168.1.4
set transform-set TEST-IPSEC
match address 104

interface Loopback0
ip address 192.168.1.1 255.255.255.255

interface Tunnel1
description — Kyoten 1 —
ip address 10.10.1.1 255.255.255.252
ip mtu 1372
tunnel source Dialer1
tunnel destination 192.168.1.2
!

interface Tunnel2
description — Kyoten 2 —
ip address 10.10.2.1 255.255.255.252
ip mtu 1372
tunnel source Dialer1
tunnel destination 192.168.1.3

interface Tunnel3
description — Kyoten 3 —
ip address 10.10.3.1 255.255.255.252
ip mtu 1372
tunnel source Dialer1
tunnel destination 192.168.1.4

interface FastEthernet0/0
no ip address
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1

interface FastEthernet0/1
ip address 192.168.100.1 255.255.255.0
ip tcp adjust-mss 1332
duplex auto
speed auto

interface Dialer1
ip unnumbered Loopback0
ip mtu 1454
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname (user1)
ppp chap password (password)
crypto map TEST-MAP　///ピアとなるインターフェースにcrypto mapを設定

ip route 0.0.0.0 0.0.0.0 192.168.100.254
ip route 192.168.1.2 255.255.255.255 Dialer1
ip route 192.168.1.3 255.255.255.255 Dialer1
ip route 192.168.1.4 255.255.255.255 Dialer1

access-list 102 permit gre host 192.168.1.1 host 192.168.1.2
access-list 103 permit gre host 192.168.1.1 host 192.168.1.3
access-list 104 permit gre host 192.168.1.1 host 192.168.1.4
dialer-list 1 protocol ip permit

———以下、拠点側コンフィグ—————————

crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key (key) address 192.168.1.1
crypto isakmp keepalive 30

crypto ipsec transform-set TEST-IPSEC esp-aes esp-sha-hmac
mode transport

crypto map TEST-MAP 1 ipsec-isakmp
set peer 192.168.1.1
set transform-set TEST-IPSEC
match address 101

interface Loopback0
ip address 192.168.1.2 255.255.255.255

interface Tunnel0
description — Center Router —
ip address 10.1.1.2 255.255.255.252
ip mtu 1372
tunnel source Dialer1
tunnel destination 192.168.101.1

interface GigabitEthernet8
ip address 10.10.3.1 255.255.255.0
ip tcp adjust-mss 1332
duplex auto
speed auto
!
interface GigabitEthernet9
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1

interface Dialer1
ip unnumbered Loopback0
ip mtu 1454
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname user04
ppp chap password user04
crypto map GRE-IPSEC

ip route 0.0.0.0 0.0.0.0 Tunnel0
ip route 192.168.1.1 255.255.255.255 Dialer1

2拠点目以降は同じ要領で設定すれば、
問題なく、構築できます。

tunnelインターフェースの設定はsourceとdestinationを設定しているだけで、
あと、tunnelのためにパケットをカプセル化するため、
mtuサイズを指定してあげています。

「mtu」というのは、僕も詳しくわかってませんが、
一度に送信可能なパケットのデータ量のことで、
Ethernetフレームは最大1500byteです。

ですが、PPPoEとか、tunnelとか、
特別にカプセル化しないといけない時は、
mtuサイズを小さく設定してあげる必要があります。

,,,と、僕の今の段階ではそういうものだと理解しています。

その設定値というのは、大体決まっているので、
ネットで調べるとすぐに出てきます。