Tunnel Mode vs Transport Mode
- Transport Mode 不对Origin IP Header 加密,适用于point 同point,没有必要隐藏背后的IP
- Tunnel Mode 对Origin IP Header 加密,同时新增IPsec IP Header,多用于Site to Site
+ IPsec Tunnel Mode vs Transport Mode
- Transport Mode 不对GRE Header加密
- Tunnel Mode 对GRE Header加密,同时新增IPsec IP Header
- 再没有GRE的时候,选择使用Tunnel Mode,但是只要使用GRE(DMVPN本身就利用了GRE技术),LAN信息已经是被隐藏了。所以在GRE基础上再使用Tunnel Mode,其实没有必要,而且还增加了20Bytes 的包长度
- DMVPN 默认使用 Tunnel Mode,但最佳实践是手动改为使用 Transport Mode,可以节省20Bytes 的开销
Crypto Map & Tunnel Protection
- Ipsec 中学习过将Crypto map 加载到 Interface(物理或者Tunnel),但是在IOS 15 之后不支持这种配置
- 新版本中引入了1个概念 Tunnel Protection,基于Protection Profile 定义的一些基础配置
Config Sample 1
- 和标准IPsec 的区别就是没有了 crypto IPSec map,需要改为 crypto Ipsec profile
Config Sample 2
- 将 pre-share key 放到了 key ring 中
若有收获,就点个赞吧
0 人点赞
