Configuración de Cisco GET VPN: mejores prácticas / ¿Se puede usar el loopback?

8

Estoy en el proceso de volver a direccionar IP a una gran cantidad de ubicaciones remotas, todas las cuales utilizan una configuración de Cisco GET VPN / GDOI para el cifrado del tráfico. En el proceso, también quería revisar la configuración para asegurarnos de que seguíamos las mejores prácticas.

He revisado la guía de configuración de Cisco GET VPN y la Guía de implementación , pero no he encontrado una buena respuesta a esta pregunta:

¿Es una buena práctica utilizar un loopback o una interfaz física como interfaz de terminación del tráfico encriptado?

Actualmente, la configuración utiliza la interfaz física Gig0 / 0 para terminar el tráfico encriptado. Sin embargo, para simplificar algunos de los otros cambios involucrados, me gustaría utilizar la interfaz Loopback0 para ese propósito. En el futuro, algunos de estos sitios obtendrían enlaces ascendentes redundantes, y entiendo que podría usar la interfaz Loopback para terminar ambas conexiones cifradas.

A continuación hay dos ejemplos, la configuración existente y cómo entiendo que tendría que configurar el enrutador para usar el Loopback. Creo que solo tendría que agregar el siguiente comando al GM:

crypto map %MAPNAME local-address Loopback0

La dirección de GM también debería cambiarse en el servidor de claves; que yo sepa, ese es el único cambio en el KS.


Una muestra de la configuración existente:

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.125 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.44.2 255.255.255.248
 ip virtual-reassembly
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!

Una muestra que usa el loopback como interfaz de terminación:

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP local-address Loopback0
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.101 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.24.2 255.255.255.248
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!

Brett Lykins
fuente

Respuestas:

4

Si planea implementar múltiples enlaces en el mismo grupo GDOI en los GM, la mejor práctica sería utilizar una interfaz de bucle invertido como fuente criptográfica. La razón es que, de lo contrario, los servidores clave verán cada interfaz como una entrada separada y el enrutador recibirá múltiples claves. Su segunda configuración de muestra se ve bien.

Consulte la sección 4.1.2.1.3 del GETVPN DIG: http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6525/ps9370/ps7180/GETVPN_DIG_version_1_0_External.pdf

smithian
fuente
¡Gracias! Esa es la guía que me faltaba en mis búsquedas ... :)
Brett Lykins
0

Aquí hay un ejemplo de configuración de GET VPN:

http://www.certvideos.com/get-vpn-configuration-example/

Shyam
fuente
2
Primero, bienvenido y gracias por contribuir. Stack Exchange generalmente desaprueba las respuestas que están vinculadas solo porque están sujetas a "pudrición de enlaces". Agregue la información relevante en la respuesta y use enlaces como referencias o para más detalles.
YLearn