# IPSec VTI

Последний пример Site-to-Site VPN с использованием IPSec, который, собственно, и рекомендован циской – VTI (Virtual Tunnel Interface)

Настройка IPSec отличается тем, что нам уже не нужно создавать вручную crypto-map (а соответственно и ACL), вместо него мы создаём IPSec-профиль

```
crypto isakmp policy 1
authentication pre-share
crypto isakmp key CISCO address 100.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac 
mode transport

crypto ipsec profile VTI-P
set transform-set AES128-SHA
```

А его в свою очередь обязательно нужно привязать к туннельному интерфейсу.

```
interface Tunnel0
tunnel protection ipsec profile VTI-P
```

Отличие от использованных ранее Crypto map в том, что сейчас нет нужды создавать ACL – весь трафик, попадающий в туннель, шифруется (карты шифрования тем не менее по-прежнему создаются, но уже автоматически).

Это получился обычный Tunnel Protection без VTI. Так же широко используется.\
Команда **tunnel mode ipsec ipv4** указывает на использование VTI.\
Отличие от обычного GRE в методах инкапсуляции – в VTI экономится 4 байта путём исключения GRE-заголовка.

[Небольшое описание](http://henrydu.com/blog/networks/vpn/ipsec-over-gre-and-ipsec-vti-368.html)\
[Полная конфигурация маршрутизаторов для IPSec VTI](https://docs.google.com/document/d/1Ss_bo0WDZzM_5CI24jokEDks5Y0deUGFs6n-RmedcgA/pub).