Tenemos dos tipos:
- VTI Estática (SVTI) -> Usado en VPN Site-to-Site
- VTI Dinámica (DVTI)-> Usado en Accesos Remotos por VPN. También es llamado como EZVPN o EasyVPN.
Otra diferencia que podemos encontrar con GRE+IPSEC es que las VTI no pueden transportar protocolos (OSPF, RIP, etc). Solo Ipv4 sobre Ipv4 o Ipv6 sobre Ipv6.
Las VTI siempre están en ON. No son como los GRE+IPSEC que se levantan bajo demanda de tráfico interesante.
Otra diferencia importante es que las VTI no se levantan (line protocol up) hasta que la Fase 2 de IKE no está completada. En la GRE+IPSEC, el túnel GRE puede estar levantado porque tiene ruta hasta el destino pero la negociación IPSEC no.
A la hora de configrar las VTI ,la fase 1 de IKE (crypto map) es igual que en IPSEC. Es en la Fase 2 de IKE donde cambia un poco.
Para la configuración de las SVTI en 2 sitios remotos:
 |
| Mismas direcciones que en laboratios VPN y DMVPN |
En R6
interface Ethernet0/0
ip address 10.0.0.1 255.255.255.252
full-duplex
no sh
!
interface Ethernet0/1
ip address 192.168.0.1 255.255.255.0
full-duplex
no sh
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
ip route 192.168.10.0 255.255.255.0 tunnel 0
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key IPSEC-SVTI address 0.0.0.0 0.0.0.0
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set IPSEC-SVTI-TRANSFORM esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile SVTI
set transform-set IPSEC-SVTI-TRANSFORM
interface Tunnel0
ip address 100.100.100.1 255.255.255.0
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source Ethernet0/0
tunnel destination 172.16.1.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile SVTI
En R8
interface Ethernet0/0
ip address 172.16.1.2 255.255.255.252
full-duplex
no sh
no sh
!
interface Ethernet0/1
ip address 192.168.10.1 255.255.255.0
full-duplex
no sh
no sh
!
interface Loopback0
ip address 3.3.3.3 255.255.255.255
!
ip address 3.3.3.3 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 172.16.1.1
ip route 192.168.0.0 255.255.255.0 tunnel 0
!
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key IPSEC-SVTI address 0.0.0.0 0.0.0.0
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set IPSEC-SVTI-TRANSFORM esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile SVTI
set transform-set IPSEC-SVTI-TRANSFORM
interface Tunnel0
ip address 100.100.100.2 255.255.255.0
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source Ethernet0/0
tunnel destination 10.0.0.1
tunnel mode ipsec ipv4
tunnel protection ipsec profile SVTI
En R2
ip routing
interface Ethernet0/0
ip address 10.0.0.2 255.255.255.252
full-duplex
no sh
no sh
!
interface Ethernet0/1
ip address 172.16.1.1 255.255.255.252
full-duplex
no sh
no sh
!
interface Ethernet0/2
ip address 172.16.2.1 255.255.255.252
full-duplex
no sh
no sh
!
interface Ethernet0/3
ip address 172.16.3.1 255.255.255.252
full-duplex
no sh
no sh
!
interface Loopback0
ip address 2.2.2.2 255.255.255.255
!
ip address 2.2.2.2 255.255.255.255
!
Vamos a uno de los equipos y comprobamos que es un túnel con IPSEC
 |
| show interface tunnel 0 |
 |
| show crypto session - show crypto ipsec sa |
Vemos la sesión IPSEC levantada y si nos fijamos en el SA del IPSEC, podemos ver que ahora el protocolo es 0, que se refiere a IP. En el túnel GRE veíamos que el protocolo era el 47.
SI hacemos un ping entre los PC deberían verse. Si no funciona, hacer un shutdown/no shutdown del túnel.
No hay comentarios:
Publicar un comentario