Konfigurasi Cisco GET VPN - Praktik Terbaik / Bisakah loopback digunakan?


8

Saya sedang dalam proses re-ip menangani sejumlah besar lokasi terpencil, yang semuanya menggunakan konfigurasi Cisco GET VPN / GDOI untuk enkripsi lalu lintas. Dalam prosesnya, saya juga ingin meninjau konfigurasi untuk memastikan kami mengikuti praktik terbaik.

Saya telah membaca panduan konfigurasi Cisco GET VPN dan Panduan Penerapan , tetapi belum menemukan jawaban yang baik untuk pertanyaan ini:

Apakah praktik terbaik untuk menggunakan loopback atau antarmuka fisik sebagai antarmuka penghentian lalu lintas terenkripsi?

Saat ini konfigurasi menggunakan antarmuka fisik Gig0 / 0 untuk mengakhiri lalu lintas terenkripsi. Namun untuk menyederhanakan beberapa perubahan lain yang terlibat, saya ingin menggunakan antarmuka Loopback0 untuk tujuan itu. Di ujung jalan, beberapa situs ini akan mendapatkan uplink yang berlebihan, dan pemahaman saya adalah bahwa saya bisa menggunakan antarmuka Loopback untuk mengakhiri kedua koneksi terenkripsi.

Di bawah ini adalah dua contoh, konfigurasi yang ada dan bagaimana saya mengerti saya harus mengatur router untuk menggunakan Loopback. Saya yakin saya hanya perlu menambahkan perintah berikut ke GM:

crypto map %MAPNAME local-address Loopback0

Alamat GM kemudian juga harus diubah pada Server Kunci; setahu saya, itulah satu-satunya perubahan pada KS.


Contoh konfigurasi yang ada:

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.125 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.44.2 255.255.255.248
 ip virtual-reassembly
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!

Sampel menggunakan loopback sebagai antarmuka penghentian:

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP local-address Loopback0
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.101 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.24.2 255.255.255.248
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!

Jawaban:


4

Jika Anda berencana untuk mengimplementasikan beberapa tautan dalam grup GDOI yang sama pada GM, praktik terbaik adalah dengan menggunakan antarmuka loopback sebagai sumber kripto. Alasannya adalah bahwa jika server kunci akan melihat setiap antarmuka sebagai entri terpisah dan router akan menerima banyak rekeys. Konfigurasi sampel kedua Anda terlihat bagus.

Lihat bagian 4.1.2.1.3 dari GETVPN DIG: http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6525/ps9370/ps7180/GETVPN_DIG_version_1_0_External.pdf


Terima kasih! Itu adalah panduan yang saya lewatkan dalam pencarian saya ... :)
Brett Lykins

0

Berikut ini contoh konfigurasi GET VPN:

http://www.certvideos.com/get-vpn-configuration-example/


2
Pertama, selamat datang dan terima kasih atas kontribusi Anda. Stack Exchange umumnya tidak menyukai jawaban yang hanya tautan karena tunduk pada "busuk tautan." Silakan tambahkan informasi yang relevan dalam jawaban dan gunakan tautan sebagai referensi atau untuk lebih detail.
YPelajari
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.