Configuração Cisco GET VPN - Melhores práticas / O loopback pode ser usado?

8

Estou no processo de re-IP endereçando um grande número de locais remotos, todos usando uma configuração Cisco GET VPN / GDOI para criptografia do tráfego. No processo, eu também queria revisar a configuração para garantir que seguimos as melhores práticas.

Estive no Guia de configuração e no Guia de implantação do Cisco GET VPN , mas não encontrei uma boa resposta para esta pergunta:

É uma prática recomendada usar uma interface de loopback ou física como a interface final do tráfego criptografado?

Atualmente, a configuração usa a interface Gig0 / 0 física para finalizar o tráfego criptografado. No entanto, para simplificar algumas das outras alterações envolvidas, eu gostaria de utilizar a interface Loopback0 para esse fim. No futuro, alguns desses sites estariam recebendo uplinks redundantes, e meu entendimento é que eu poderia usar a interface Loopback para terminar as duas conexões criptografadas.

Abaixo estão dois exemplos, a configuração existente e como eu entendo que precisaria configurar o roteador para usar o Loopback. Acredito que só precisaria adicionar o seguinte comando ao GM:

crypto map %MAPNAME local-address Loopback0

O endereço do GM também precisaria ser alterado no servidor principal; que eu saiba, essa é a única mudança no KS.

Uma amostra da confiuração existente:

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.125 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.44.2 255.255.255.248
 ip virtual-reassembly
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!

Uma amostra usando o loopback como a interface final: 

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP local-address Loopback0
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.101 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.24.2 255.255.255.248
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!
cisco  vpn 
Brett Lykins
fonte

Respostas:

4

Se você planeja implementar vários links no mesmo grupo GDOI nos GMs, a melhor prática seria usar uma interface de loopback como fonte de criptografia. A razão é que, caso contrário, os servidores principais verão cada interface como uma entrada separada e o roteador receberá várias chaves de acesso. Seu segundo exemplo de configuração parece bom.

Consulte a seção 4.1.2.1.3 do GETVPN DIG: http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6525/ps9370/ps7180/GETVPN_DIG_version_1_0_External.pdf

ferreiro
fonte
Obrigado! Isso é o guia que estava faltando nas minhas pesquisas ... :)
Brett Lykins
0

Aqui está um exemplo de configuração GET VPN:

http://www.certvideos.com/get-vpn-configuration-example/

Shyam
fonte
2
Primeiro, seja bem-vindo e obrigado por contribuir. O Stack Exchange geralmente desaprova as respostas que são vinculadas apenas porque estão sujeitas à "podridão do link". Adicione as informações relevantes na resposta e use os links como referências ou para obter mais detalhes.
YLearn
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.