IPSec VTI
𝔯𝔱_𝔣𝔞𝔫Последний пример Site-to-Site VPN с использованием IPSec, который, собственно, и рекомендован циской – VTI (Virtual Tunnel Interface)
Настройка IPSec отличается тем, что нам уже не нужно создавать вручную crypto-map (а соответственно и ACL), вместо него мы создаём IPSec-профиль
crypto isakmp policy 1 authentication pre-share crypto isakmp key CISCO address 100.0.0.1 ! ! crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac mode transport crypto ipsec profile VTI-P set transform-set AES128-SHA
А его в свою очередь обязательно нужно привязать к туннельному интерфейсу.
interface Tunnel0 tunnel protection ipsec profile VTI-P
Отличие от использованных ранее Crypto map в том, что сейчас нет нужды создавать ACL – весь трафик, попадающий в туннель, шифруется (карты шифрования тем не менее по-прежнему создаются, но уже автоматически).
Это получился обычный Tunnel Protection без VTI. Так же широко используется. Команда tunnel mode ipsec ipv4 указывает на использование VTI. Отличие от обычного GRE в методах инкапсуляции – в VTI экономится 4 байта путём исключения GRE-заголовка.