Cấu hình VPN Cisco GET - Thực tiễn tốt nhất / Có thể sử dụng loopback không?

Tôi đang trong quá trình gửi lại địa chỉ ip cho một số lượng lớn các địa điểm từ xa, tất cả đều đang sử dụng cấu hình Cisco GET VPN / GDOI để mã hóa lưu lượng. Trong quá trình này, tôi cũng muốn xem lại cấu hình để đảm bảo chúng tôi tuân theo các thực tiễn tốt nhất.

Tôi đã xem qua Hướng dẫn cấu hình và Hướng dẫn triển khai Cisco GET VPN , nhưng chưa tìm thấy câu trả lời hay cho câu hỏi này:

Có phải cách tốt nhất là sử dụng loopback hoặc giao diện vật lý làm giao diện kết thúc của lưu lượng được mã hóa?

Hiện tại cấu hình sử dụng giao diện Gig0 / 0 vật lý để chấm dứt lưu lượng được mã hóa. Tuy nhiên, để đơn giản hóa một số thay đổi khác có liên quan, tôi muốn sử dụng giao diện Loopback0 cho mục đích đó. Cuối cùng, một số trang web này sẽ nhận được các liên kết dự phòng và tôi hiểu rằng tôi có thể sử dụng giao diện Loopback để chấm dứt cả các kết nối được mã hóa.

Dưới đây là hai mẫu, cấu hình hiện có và cách tôi hiểu tôi sẽ phải thiết lập bộ định tuyến để sử dụng Loopback. Tôi tin rằng tôi sẽ chỉ phải thêm lệnh sau vào GM:

crypto map %MAPNAME local-address Loopback0

Địa chỉ GM sau đó cũng sẽ phải được thay đổi trên Máy chủ khóa; theo hiểu biết của tôi, đó là thay đổi duy nhất trên KS.

Một mẫu của cấu hình hiện có:

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.125 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.44.2 255.255.255.248
 ip virtual-reassembly
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!

Một mẫu sử dụng loopback làm giao diện kết thúc:

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP local-address Loopback0
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.101 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.24.2 255.255.255.248
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!

Nếu bạn đang dự định triển khai nhiều liên kết trong cùng một nhóm GDOI trên GM, cách tốt nhất là sử dụng giao diện loopback làm nguồn tiền điện tử. Lý do là nếu không các máy chủ quan trọng sẽ xem mỗi giao diện là một mục riêng biệt và bộ định tuyến sẽ nhận được nhiều khóa. Cấu hình mẫu thứ hai của bạn trông tốt.

Xem phần 4.1.2.1.3 của GETVPN DIG: http://www.cisco.com/en/US/prod/collonymous/vpndevc/ps6525/ps9370/ps7180/GETVPN_DIG_version_1_0_External.pdf

Dưới đây là ví dụ cấu hình GET VPN:

http://www.certideo.com/get-vpn-configuration-example/