Cisco GET VPN-Konfiguration - Best Practices / Kann der Loopback verwendet werden?

Ich bin dabei, eine große Anzahl von Remotestandorten erneut zu adressieren, die alle eine Cisco GET VPN / GDOI-Konfiguration zur Verschlüsselung des Datenverkehrs verwenden. Dabei wollte ich auch die Konfiguration überprüfen, um sicherzustellen, dass wir die Best Practices befolgen.

Ich habe das Cisco GET VPN-Konfigurationshandbuch und das Bereitstellungshandbuch durchgesehen , aber keine gute Antwort auf diese Frage gefunden:

Ist es empfehlenswert, einen Loopback oder eine physische Schnittstelle als Abschlussschnittstelle für den verschlüsselten Verkehr zu verwenden?

Derzeit verwendet die Konfiguration die physische Gig0 / 0-Schnittstelle, um den verschlüsselten Verkehr zu beenden. Um jedoch einige der anderen Änderungen zu vereinfachen, möchte ich zu diesem Zweck die Loopback0-Schnittstelle verwenden. In der Zukunft würden einige dieser Sites redundante Uplinks erhalten, und ich verstehe, dass ich die Loopback-Schnittstelle verwenden könnte, um beide verschlüsselten Verbindungen zu beenden.

Im Folgenden finden Sie zwei Beispiele, die vorhandene Konfiguration und wie ich verstehe, müsste ich den Router einrichten, um den Loopback zu verwenden. Ich glaube, ich müsste dem GM nur den folgenden Befehl hinzufügen:

crypto map %MAPNAME local-address Loopback0

Die GM-Adresse müsste dann auch auf dem Schlüsselserver geändert werden; Meines Wissens ist dies die einzige Änderung am KS.

Ein Beispiel für die vorhandene Konfiguration:

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.125 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.44.2 255.255.255.248
 ip virtual-reassembly
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!

Ein Beispiel, das den Loopback als Abschlussschnittstelle verwendet:

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP local-address Loopback0
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.101 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.24.2 255.255.255.248
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!

Wenn Sie planen, mehrere Links in derselben GDOI-Gruppe auf den GMs zu implementieren, empfiehlt es sich, eine Loopback-Schnittstelle als Kryptoquelle zu verwenden. Der Grund dafür ist, dass die Schlüsselserver ansonsten jede Schnittstelle als separaten Eintrag sehen und der Router mehrere Neuschlüssel erhält. Ihre zweite Beispielkonfiguration sieht gut aus.

Siehe Abschnitt 4.1.2.1.3 der GETVPN DIG: http://www.cisco.com/de/US/prod/collateral/vpndevc/ps6525/ps9370/ps7180/GETVPN_DIG_version_1_0_External.pdf

Hier ist ein Beispiel für eine GET VPN-Konfiguration:

http://www.certvideos.com/get-vpn-configuration-example/