VTI VPN

Ссылки:

IPSec Virtual Tunnel Interface

Configuring a Virtual Tunnel Interface with IP Security

Virtual tunnel interfaces (VTI) – относительно новая функциональность IOS, которая позволяет создать виртуальный интерфейс для IPSec канала. Это дает возможность управлять IPSec потоками более гибко, удобно и, в конечном счете, просто.

Преимущества IPSec VTI по сравнению с классическим  IPSec:

1.    Сильно упрощается настройка и контроль шифрованного трафика (можно применить QoS, ZBF и т.п.). Обработка нешифрованного трафика идет на виртуальном интерфейсе, шифрованного – на физическом.

2.     IPSec VTI поддерживает  multicast, а, следовательно, и протоколы динамической маршрутизации - OSPF, EIGRP и т.п.

Недостатки IPSec VTI по сравнению с классическим IPSec:

1.    Функционирует только в туннельном режиме

2.    Данная функциональность пока реализована только на Cisco

3.    Поддерживает ТОЛЬКО IP (unicast & multicast)

4.    Не реализована функция Stateful Failover

Преимущества IPSec VTI по сравнению с DMVPN:

1.    Меньше заголовок пакета, чем в DMVPN (GRE+key+IPSec > IPSec VTI)

2.    Проще настраивать

3.    Не требует NHRP

Недостатки IPSec VTI по сравнению с DMVPN:

1.    Не поддерживается прямое Spoke-to-Spoke взаимодействие

 Есть две разновидности VTI:

• Статический VTI очень похож на реализацию point-to-point GRE туннеля
• Динамический VTI очень похож на реализацию dial-in, реализованного через virtual templates и расширяющегося до индивидуальных virtual-access

Схема

Конфигурация интерфейсов:

Устройство	Интерфейс	IP адрес
Head	GE0/1	100.100.100.1/30
Head	Tunnel 3	10.10.10.10/31
Branch	Fe0/1	200.200.200.1/30
Branch	Tunnel 0	10.10.10.11/31

Используем конфигурацию sVTI-sVTI.

// На HQ:

crypto isakmp policy 10  encr 3des  authentication pre-share  group 2 crypto isakmp key XXXXXXX address 200.200.200.1 crypto isakmp keepalive 10 ! ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto ipsec profile VTI  set transform-set myset ! interface Tunnel3  ip unnumbered GigabitEthernet0/1  tunnel source 100.100.100.1  tunnel destination 200.200.200.1  tunnel mode ipsec ipv4  tunnel protection ipsec profile VTI ! ip route  BRANCH_LAN Tunnel3 - непосредственно завернем интересующий трафик в туннель

На Branch зеркальная конфигурация.

Проверочные команды:

HQ#show interfaces Tunnel 3 Tunnel3 is up, line protocol is up   Hardware is Tunnel   Interface is unnumbered. Using address of GigabitEthernet0/1   MTU 17883 bytes, BW 100 Kbit/sec, DLY 50000 usec,      reliability 255/255, txload 1/255, rxload 1/255   Encapsulation TUNNEL, loopback not set   Keepalive not set   Tunnel source 100.100.100.1, destination 200.200.200.1   Tunnel protocol/transport IPSEC/IP   Tunnel TTL 255   Tunnel transport MTU 1443 bytes   Tunnel transmit bandwidth 8000 (kbps)   Tunnel receive bandwidth 8000 (kbps)   Tunnel protection via IPSec (profile "VTI")   Last input 3d16h, output never, output hang never   Last clearing of "show interface" counters never   Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 12   Queueing strategy: fifo   Output queue: 0/0 (size/max)   5 minute input rate 0 bits/sec, 0 packets/sec   5 minute output rate 0 bits/sec, 0 packets/sec      504424 packets input, 51915418 bytes, 0 no buffer      Received 0 broadcasts, 0 runts, 0 giants, 0 throttles      0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort      508805 packets output, 83660684 bytes, 0 underruns      0 output errors, 0 collisions, 0 interface resets      0 unknown protocol drops      0 output buffer failures, 0 output buffers swapped out

HQ#show crypto session detail Crypto session current status Code: C - IKE Configuration mode, D - Dead Peer Detection K - Keepalives, N - NAT-traversal, T - cTCP encapsulation X - IKE Extended Authentication, F - IKE Fragmentation Interface: Tunnel3 Uptime: 23:23:40 Session status: UP-ACTIVE Peer: 200.200.200.1 port 500 fvrf: (none) ivrf: (none)       Phase1_id: 200.200.200.1       Desc: (none)   IKE SA: local 100.100.100.1/500 remote 200.200.200.1/500 Active           Capabilities:D connid:1021 lifetime:00:36:19   IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0         Active SAs: 2, origin: crypto map         Inbound:  #pkts dec'ed 159012 drop 0 life (KB/Sec) 4537137/2078         Outbound: #pkts enc'ed 160783 drop 0 life (KB/Sec) 4537107/2078