Saya sedang dalam proses re-ip menangani sejumlah besar lokasi terpencil, yang semuanya menggunakan konfigurasi Cisco GET VPN / GDOI untuk enkripsi lalu lintas. Dalam prosesnya, saya juga ingin meninjau konfigurasi untuk memastikan kami mengikuti praktik terbaik.
Saya telah membaca panduan konfigurasi Cisco GET VPN dan Panduan Penerapan , tetapi belum menemukan jawaban yang baik untuk pertanyaan ini:
Apakah praktik terbaik untuk menggunakan loopback atau antarmuka fisik sebagai antarmuka penghentian lalu lintas terenkripsi?
Saat ini konfigurasi menggunakan antarmuka fisik Gig0 / 0 untuk mengakhiri lalu lintas terenkripsi. Namun untuk menyederhanakan beberapa perubahan lain yang terlibat, saya ingin menggunakan antarmuka Loopback0 untuk tujuan itu. Di ujung jalan, beberapa situs ini akan mendapatkan uplink yang berlebihan, dan pemahaman saya adalah bahwa saya bisa menggunakan antarmuka Loopback untuk mengakhiri kedua koneksi terenkripsi.
Di bawah ini adalah dua contoh, konfigurasi yang ada dan bagaimana saya mengerti saya harus mengatur router untuk menggunakan Loopback. Saya yakin saya hanya perlu menambahkan perintah berikut ke GM:
crypto map %MAPNAME local-address Loopback0
Alamat GM kemudian juga harus diubah pada Server Kunci; setahu saya, itulah satu-satunya perubahan pada KS.
Contoh konfigurasi yang ada:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
identity number 10
server address ipv4 10.100.1.1
server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP 10 gdoi
set group GDOI-MPLS-GROUP-10
!
interface Loopback0
ip address 10.129.110.125 255.255.255.252
!
interface GigabitEthernet0/0
description MPLS-Connection
ip address 10.101.44.2 255.255.255.248
ip virtual-reassembly
ip tcp adjust-mss 1300
duplex full
speed 100
no cdp enable
crypto map CM-STATIC-MAP
!
Sampel menggunakan loopback sebagai antarmuka penghentian:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
identity number 10
server address ipv4 10.100.1.1
server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP local-address Loopback0
crypto map CM-STATIC-MAP 10 gdoi
set group GDOI-MPLS-GROUP-10
!
interface Loopback0
ip address 10.129.110.101 255.255.255.252
!
interface GigabitEthernet0/0
description MPLS-Connection
ip address 10.101.24.2 255.255.255.248
ip tcp adjust-mss 1300
duplex full
speed 100
no cdp enable
crypto map CM-STATIC-MAP
!