Estoy en el proceso de volver a direccionar IP a una gran cantidad de ubicaciones remotas, todas las cuales utilizan una configuración de Cisco GET VPN / GDOI para el cifrado del tráfico. En el proceso, también quería revisar la configuración para asegurarnos de que seguíamos las mejores prácticas.
He revisado la guía de configuración de Cisco GET VPN y la Guía de implementación , pero no he encontrado una buena respuesta a esta pregunta:
¿Es una buena práctica utilizar un loopback o una interfaz física como interfaz de terminación del tráfico encriptado?
Actualmente, la configuración utiliza la interfaz física Gig0 / 0 para terminar el tráfico encriptado. Sin embargo, para simplificar algunos de los otros cambios involucrados, me gustaría utilizar la interfaz Loopback0 para ese propósito. En el futuro, algunos de estos sitios obtendrían enlaces ascendentes redundantes, y entiendo que podría usar la interfaz Loopback para terminar ambas conexiones cifradas.
A continuación hay dos ejemplos, la configuración existente y cómo entiendo que tendría que configurar el enrutador para usar el Loopback. Creo que solo tendría que agregar el siguiente comando al GM:
crypto map %MAPNAME local-address Loopback0
La dirección de GM también debería cambiarse en el servidor de claves; que yo sepa, ese es el único cambio en el KS.
Una muestra de la configuración existente:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
identity number 10
server address ipv4 10.100.1.1
server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP 10 gdoi
set group GDOI-MPLS-GROUP-10
!
interface Loopback0
ip address 10.129.110.125 255.255.255.252
!
interface GigabitEthernet0/0
description MPLS-Connection
ip address 10.101.44.2 255.255.255.248
ip virtual-reassembly
ip tcp adjust-mss 1300
duplex full
speed 100
no cdp enable
crypto map CM-STATIC-MAP
!
Una muestra que usa el loopback como interfaz de terminación:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
identity number 10
server address ipv4 10.100.1.1
server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP local-address Loopback0
crypto map CM-STATIC-MAP 10 gdoi
set group GDOI-MPLS-GROUP-10
!
interface Loopback0
ip address 10.129.110.101 255.255.255.252
!
interface GigabitEthernet0/0
description MPLS-Connection
ip address 10.101.24.2 255.255.255.248
ip tcp adjust-mss 1300
duplex full
speed 100
no cdp enable
crypto map CM-STATIC-MAP
!
Aquí hay un ejemplo de configuración de GET VPN:
http://www.certvideos.com/get-vpn-configuration-example/
fuente