Последний пример Site-to-Site VPN с использованием IPSec, который, собственно, и рекомендован циской – VTI (Virtual Tunnel Interface)
Настройка IPSec отличается тем, что нам уже не нужно создавать вручную crypto-map (а соответственно и ACL), вместо него мы создаём IPSec-профиль
crypto isakmp policy 1
authentication pre-share
crypto isakmp key CISCO address 100.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode transport
crypto ipsec profile VTI-P
set transform-set AES128-SHAА его в свою очередь обязательно нужно привязать к туннельному интерфейсу.
interface Tunnel0
tunnel protection ipsec profile VTI-PОтличие от использованных ранее Crypto map в том, что сейчас нет нужды создавать ACL – весь трафик, попадающий в туннель, шифруется (карты шифрования тем не менее по-прежнему создаются, но уже автоматически).
Это получился обычный Tunnel Protection без VTI. Так же широко используется. Команда tunnel mode ipsec ipv4 указывает на использование VTI. Отличие от обычного GRE в методах инкапсуляции – в VTI экономится 4 байта путём исключения GRE-заголовка.
Небольшое описание Полная конфигурация маршрутизаторов для IPSec VTI.
Last updated