Vergeef me, ik ben nieuw met VTI / FlexVPN en ik ben al een tijd bezig met het configureren van VPN’s met behulp van legacy crypto maps.
Ik heb besloten om mijn aandacht te richten en het proces van leren over VTI en FlexVPN’s te starten.
Echter, wanneer ik naar een configuratievoorbeeld kijk, lijkt het me niet mogelijk om de encryptiegrens te definiëren met een ACL, zoals ik dat kan doen met cryptomaps. - Bijvoorbeeld, als ik een tunnel naar een DMZ in het datacenter wil vanuit de lokale router, waar ik openbare toegangsklanten kan dumpen - ik wil de encryptiegrens aangeven dat alleen x.x.x.x/24 via deze VTI gaat - alle andere verkeer blijft onversleuteld.
Heeft iemand ideeën? - Heb ik gewoon niet genoeg naar VTI gekeken?
IPSec vereist de wederkerige vergelijking van “interessant verkeer ACLs” waarmee je bekend bent. Zelfs in dit geval.
De truc met VTI (route-gebaseerde) IPSec SAs is dat het interessante verkeer altijd match ip any any zal zijn. Aan beide zijden. Altijd. Je krijgt het niet in getypt.
Omdat de ACLs aan beide zijden aangeven “alles”, matchen ze altijd en dat potentieel voor configuratiefouten verdwijnt. Verkeer dat hier wordt versleuteld, is elk verkeer dat wordt gerouteerd naar de virtuele interface, in plaats van een selectie van verkeer dat via een fysieke interface gaat.
Dus, welk verkeer wordt gerouteerd naar de virtuele interface? Het is afhankelijk van je systeemrouteringstabel, op basis van de bestemming. Je kunt statische routes gebruiken, bijvoorbeeld.
De echte magie van VTI is dat het de mogelijkheid biedt om een dynamisch routingsprotocol te gebruiken met je VPN-peer. Het selecteren van verkeer voor de tunnel kan nu afhankelijk zijn van BGP (bijvoorbeeld) in plaats van een handgemaakte ACL.
Je zet een route naar x.x.x.x/x aan de andere kant van de tunnel om te bepalen welk verkeer er doorheen komt richting de zijde die naar jou toe gericht is.
Je kunt statische routes gebruiken, maar OSPF is zo makkelijk om op kleine schaal op te zetten dat het dom zou zijn om het niet te gebruiken. Door een dynamisch routingsprotocol te gebruiken, kun je het routingtabel op de andere kant van de tunnel beheren vanuit de zijde die naar jou toe gericht is. Daardoor is het vrij eenvoudig om het verkeer in en uit de tunnel te sturen met één configuratie.
Houd er rekening mee dat ASAs geen ondersteuning bieden voor iets dat op een VTI lijkt, dus je zou nog steeds een soort IPAM moeten hebben, zelfs als het maar een spreadsheet is, zodat je configuraties kunt genereren voor IOS en ASA voor het geval je interoperabiliteit moet doen.
Het gebruik van ACL’s met cryptomaps is de policy-based methode voor het maken van een VPN. VTI is de route-gebaseerde methode voor het maken van VPN’s, waarbij je het benodigde verkeer gewoon over de tunnel routeert. Elk verkeer dat naar de tunnel wordt gerouteerd, wordt versleuteld en verzonden, en het encryptiedomein is in feite ‘any any’.
Weet iemand hoe ik OSPF aan de praat krijg? Elke keer dat ik probeer te peeren via de VTI, mislukt het, en als ik probeer de interface point-to-point in te schakelen, wordt er geklaagd.
Dat is mijn veronderstelling. Ik had de taal niet opgemerkt totdat jij dat aangewezen hebt.
Ik heb nog geen route-gebaseerde VPN (met VTI-interface) op een ASA geconfigureerd, hoewel ik wel een route-gebaseerde VPN heb gedaan op een ASA met een tweede fysieke interface. Dat is een enorme workaround, maar het heeft echt versterkt wat de VTI toevoegt aan anders gestandaardiseerde IPSec.
Ik heb het zelf nog niet gedaan. Ik heb alleen BGP gebruikt via een VTI-interface (en niet op een ASA). In het BGP-geval wees ik gewoon een /32 aan voor de peer op de VTI-interface. Alle routes geleerd van BGP werden via de VTI naar de peer doorgestuurd.
Heb nog nooit OSPF op een ASA gedaan. Ondersteunt het het instellen van een link als niet-broadcast, of iets dergelijks waarmee je statische buren kunt definiëren?
