Cisco SVTI技术（cisco路由器设置）

Cisco SVTI技术（cisco路由器设置）

技术背景

IPSEC数据流处理

为了学习SVTI技术需要回顾IPSEC数据流的处理过程

假设inside1一台PC源2.2.2.2要访问目的1.1.1.1，数据抵达了路由器，首先检查路由表发现1.1.1.0 via是7.7,3.254 要从2号标识口出去，由于部署了crypto-map数据流会撞击上然后进行重封装，数据流变成密文加上ESP头部和ESP尾部、ESP认证 再从2号口转发出去 通信点和解密点依据预选提议加解密，建立虚拟隧道放行流量到达目的点，没有虚拟隧道接口概念

思科主推主模式，华为主推野蛮模式

IPSEC数据流问题

这样的IPSEC数据流要面临的问题：

两者之间没有虚拟隧道接口，不能对站点之间的通信流量进行更好地控制（QOS）两者之间没有虚拟隧道接口，不能让站点的路由协议互通不支持组播传输（如OSPF、RIP等），不利于多种路由协议感兴趣流太多，配置管理麻烦，每个网段需要去匹配对方的网段（不规则的情况，规则的话VLSM技术一条覆盖）

解决办法

基于GRE OVER IPSEC技术

部署GRE隧道有了虚拟接口，可以运行路由协议并由GRE封装可以做流量控制感兴趣流只要对站点的隧道流量进行匹配，而不是感兴趣流之间互相匹配，简化了IPSEC步骤

基于VTI技术（分为SVTI和DVTI）

和GRE OVER IPSEC一样，解决标准IPSEC数据流三个问题。不同的是IPSEC无需依赖GRE，直接用IPSEC创建一个虚拟隧道接口

SVTI技术

技术比较

实验内容

1、需求：

前提1双出口公网链路前提前提2允许混合厂商部署实现IPSec链路级别高可用

2、预配置

outiside、primary、secondary默认到internet内部跑OSPF，宣告30.1.1.0/24和2.2.2.2

解题思路：

out-side1配置第一阶段配置cry isakmp policy 10authentication pre-sharecry isakmp key cisco address 10.1.1.10cry isakmp key cisco address 20.2.1.20第二阶段配置cry ipsec transform-set trans esp-3des esp-md5-hamccry ipsec profile vpnset transform-set Trans配置Tunnel隧道接口int Tunnel10 #10用于primary沟通ip add 172.16.1.1 255.255.255.0 #配置隧道接口IPtun source 202.200.200.1 #隧道源（物理接口）tun mode ipsec ipv4 #隧道类型，这里区分使用GRE还是VTItun des 10.1.1.10 #隧道目的（物理接口）tun pro ipsec profile vpn #调用IPSec来保护隧道配置Tunnel隧道接口（高可用部分，同上primary改为secdary，IP变更）最后配置primary和Secdary的VPN结合动态路由协议OSPF网络收敛实现感兴趣流和线路切换

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。