一千萬個為什麽

搜索

思科GET VPN配置 - 最佳實踐/環回是否可以使用?



我正在對大量遠程位置進行重新尋址,所有這些位置都使用Cisco GET VPN/GDOI配置來加密流量。在這個過程中,我也想回顧一下配置,以確保我們遵循最佳做法。

我一直在思科 GET VPN配置指南和部署指南,但沒有找到這個問題的很好答案:

將回送或物理接口用作加密流量的終止接口是最佳做法嗎?

目前,配置使用物理Gig0/0接口來終止加密流量。不過為了簡化其他一些變化,我想利用Loopback0接口來達到這個目的。在路上,其中一些站點會獲得冗余上行鏈路,我的理解是我可以使用Loopback接口終止兩個加密連接。

以下是兩個示例,現有配置以及我的理解,我必須將路由器設置為使用環回。我相信我只需要向GM添加以下命令:

  crypto map%MAPNAME local-address Loopback0
</代碼> 

GM地址也必須在密鑰服務器上進行更改;據我所知,這是KS上唯一的變化。


現有配置的示例:

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.125 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.44.2 255.255.255.248
 ip virtual-reassembly
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!

將回送用作終止接口的示例:

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP local-address Loopback0
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.101 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.24.2 255.255.255.248
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!

轉載註明原文: 思科GET VPN配置 - 最佳實踐/環回是否可以使用?

一共有 2 個回答:

如果您打算在GM上的同一GDOI組中實施多個鏈接,最佳做法是使用回送接口作為加密源。原因是,否則密鑰服務器會將每個接口視為單獨的條目,並且路由器將接收多個重新密鑰。你的第二個示例配置看起來不錯

See section 4.1.2.1.3 of the GETVPN DIG: http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6525/ps9370/ps7180/GETVPN_DIG_version_1_0_External.pdf