Comment on page

IPSec

Решается это как и прежде – шифрованием. Если для Site-to-Site VPN мы ещё могли использовать pre-shared key, потому что мы жёстко задавали адрес IPSec-пира, то в случае DMVPN нам нужна гибкость, а заранее мы не знаем адреса соседей. В связи с этим рекомендуется использование сертификатов. На xgu есть хорошая статья по центру сертификатов на cisco.
Но мы для упрощения возьмём всё же настройку с pre-shared ключом.
crypto isakmp policy 1
authentication pre-share
От рассмотренных выше Tunnel Protection и VTI она будет отличаться использованием шаблонного адреса:
crypto isakmp key DMVPNpass address 0.0.0.0 0.0.0.0
Опасность здесь в том, что установить IPSec-сессию с хабом, зная ключ, может любое устройство
Тут можно спокойно использовать транспортный режим:
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode transport
crypto ipsec profile DMVPN-P
set transform-set AES128-SHA
Далее созданный профиль применяется на туннельный интерфейс. Настройка на всех узлах одинаковая.
interface Tunnel0
tunnel protection ipsec profile DMVPN-P
Теперь пакеты, передающиеся через Интернет будут зашифрованы: msk-arbat-gw1, fa0/1:
Только не вздумайте поставить tunnel mode ipsec ipv4 :)
IPSec-туннели и карты шифрования будут создаваться динамически для сеансов передачи данных между филиалами и будут перманентными для каналов Hub-Spoke.