C'è una differenza tra un VTI (Virtual Tunnel Interface) e un normale processo di tunneling VPN?
O ho sbagliato l'intero concetto?
Ricerca rapida su google indica ( 1 , < a href="http://www.alfredtong.com/cisco/ipsec-vpn-cisco-ios-site-to-site-virtual-tunnel-interface-vti/"> 2 ) che l'idea di VTI utilizza le interfacce virtuali per scollegare il routing dal tunnel VPN.
In particolare, la configurazione IPsec richiede in genere di specificare le reti IP che si desidera gestire con il motore IPsec. Come risultato di tale gestione, i pacchetti sono incapsulati e quindi la decisione di instradamento per quei pacchetti cambia implicitamente. Quindi per capire come vengono instradati i pacchetti devi capire la tabella di routing E la politica di sicurezza IPsec (SPD).
Quello che Cisco propone nelle pagine sopra è di usare un altro livello di encapulation, GRE ( 3 ), per staccare il routing dai canali VPN. Configurano interfacce virtuali con GRE che forniscono un semplice tunnel IP. Quindi configurano IPsec affinché funzioni solo per i tunnel GRE configurati (in base alle intestazioni IP esterne, che è possibile scegliere di essere piccole reti (rete di trasferimento, / 2) con indirizzi IP non tipografici.
Di conseguenza, è possibile utilizzare gli strumenti di routing regolari (molto più flessibili) su queste interfacce per determinare quale traffico deve attraversare il tunnel IPsec.
Questo può avere senso nel caso in cui si abbiano molte VPN con IP a volte variabile o in alcune configurazioni molto speciali. Ad esempio, di recente ho avuto il problema di connettere due reti con IPsec e anche di consentire alla rete A di essere il gateway Internet per l'altra rete B. Ciò significa che la rete B non ha Internet dedicata ma dovrebbe avere una route predefinita verso la rete A. Significa anche che la politica IPsec dovrebbe applicarsi a tutto il traffico (0.0.0.0/?), che apparentemente non funziona in pratica in Linux. Quindi abbiamo utilizzato GRE tunneling e impostato la route predefinita verso l'interfaccia virtuale fornita da GRE.
Non è una tecnologia nuova, ma ha certamente il potenziale per facilitare l'uso e la gestione in alcuni casi ..
Leggi altre domande sui tag vpn