¿Hay alguna diferencia entre un VTI y un proceso de túnel VPN regular?

3

¿Hay alguna diferencia entre una VTI (Interfaz de túnel virtual) y un proceso de tunelización VPN regular?

¿O me he equivocado de concepto?

    
pregunta Franko 09.01.2012 - 09:59
fuente

1 respuesta

5

Googling rápido indica ( 1 , < a href="http://www.alfredtong.com/cisco/ipsec-vpn-cisco-ios-site-to-site-virtual-tunnel-interface-vti/"> 2 ) que la idea de VTI es utilizar interfaces virtuales para quitar la conexión del enrutamiento desde el túnel VPN.

Específicamente, la configuración de IPsec normalmente requiere que especifique las redes IP que desea que el motor de IPsec maneje. Como resultado de ese manejo, los paquetes se encapsulan y, por lo tanto, la decisión de enrutamiento para esos paquetes cambia implícitamente. Por lo tanto, para comprender cómo se enrutan los paquetes, debe comprender la tabla de enrutamiento Y la política de seguridad IPsec (SPD).

Lo que Cisco propone en las páginas anteriores es utilizar otra capa de encapsulación, GRE ( 3 ), para separar el enrutamiento de los canales VPN. Configuran interfaces virtuales con GRE que proporcionan un túnel IP simple. Luego configuran IPsec para que funcione solo para aquellos túneles GRE configurados (según sus encabezados IP externos, que puede elegir como redes pequeñas (red de transferencia, / 2) con direcciones IP atípicas.

Como resultado, puede usar las herramientas de enrutamiento regulares (mucho más flexibles) en estas interfaces para determinar qué tráfico debe pasar por el túnel IPsec.

Esto puede tener sentido en el caso de que tengas muchas VPN con IP que cambian a veces, o en algunas configuraciones muy especiales. Por ejemplo, recientemente tuve el problema de conectar dos redes con IPsec y también permitir que la red A sea la puerta de enlace de Internet para la otra red B. Eso significa que la red B no tiene Internet dedicada pero debería tener una ruta predeterminada hacia la red A. También significa que la política de IPsec debe aplicarse a todo el tráfico (0.0.0.0/?), que aparentemente no funciona en la práctica en Linux. Así que usamos el túnel GRE y configuramos la ruta predeterminada hacia la interfaz virtual proporcionada por GRE.

No es una tecnología nueva, pero ciertamente tiene el potencial de facilitar el uso y la administración en algunos casos.

    
respondido por el pepe 10.01.2012 - 00:22
fuente

Lea otras preguntas en las etiquetas