私は、多数のリモートロケーションのre-ipアドレス指定の処理を行っています。すべてのリモートロケーションは、トラフィックの暗号化にCisco GET VPN / GDOI構成を使用しています。その過程で、ベストプラクティスに従っていることを確認するために、構成も確認したいと思いました。
Cisco GET VPN構成ガイドと導入ガイドを読み終えましたが、この質問に対する適切な回答が見つかりませんでした。
暗号化されたトラフィックの終端インターフェイスとしてループバックまたは物理インターフェイスを使用するのがベストプラクティスですか?
現在の構成では、物理Gig0 / 0インターフェイスを使用して、暗号化されたトラフィックを終端しています。ただし、関連する他の変更の一部を簡略化するために、その目的のためにLoopback0インターフェイスを利用したいと思います。将来的には、これらのサイトの一部が冗長アップリンクを取得することになります。私の理解では、ループバックインターフェイスを使用して両方の暗号化された接続を終了できると思います。
次の2つのサンプルは、既存の構成と、ループバックを使用するようにルーターを設定する必要があることを理解する方法です。次のコマンドをGMに追加するだけでよいと思います。
crypto map %MAPNAME local-address Loopback0
GMアドレスは、キーサーバーでも変更する必要があります。私の知る限り、KSの唯一の変更です。
既存の構成のサンプル:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
identity number 10
server address ipv4 10.100.1.1
server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP 10 gdoi
set group GDOI-MPLS-GROUP-10
!
interface Loopback0
ip address 10.129.110.125 255.255.255.252
!
interface GigabitEthernet0/0
description MPLS-Connection
ip address 10.101.44.2 255.255.255.248
ip virtual-reassembly
ip tcp adjust-mss 1300
duplex full
speed 100
no cdp enable
crypto map CM-STATIC-MAP
!
ループバックを終端インターフェイスとして使用するサンプル:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
identity number 10
server address ipv4 10.100.1.1
server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP local-address Loopback0
crypto map CM-STATIC-MAP 10 gdoi
set group GDOI-MPLS-GROUP-10
!
interface Loopback0
ip address 10.129.110.101 255.255.255.252
!
interface GigabitEthernet0/0
description MPLS-Connection
ip address 10.101.24.2 255.255.255.248
ip tcp adjust-mss 1300
duplex full
speed 100
no cdp enable
crypto map CM-STATIC-MAP
!