GRE Over IPSec – IPSec Profiles

NUESTROS CURSOS Foros CCNP 350-401 ENCOR GRE Over IPSec – IPSec Profiles

  • Este debate tiene 4 respuestas, 2 mensajes y ha sido actualizado por última vez el hace 9 meses por AlvaroM.
Viendo 5 entradas - de la 1 a la 5 (de un total de 5)
  • Autor
    Entradas
  • #26158
    AdminNG
    Superadministrador
    #30173
    Anstor
    Participante

    Buenas, viendo tu explicación me surge una duda sobre el tráfico que pasa por el tunel. Usando el anterior método con crypto-map, utilizábamos las ACL para delimitiar el tráfico que se iba encriptar por el túnel pero usando el ipc profile, se aplica directamente a la interfaz del túnel GRE. Como usamos routing para definir todo el tráfico que queremos que pase por el túnel GRE. Entiendo encontes que se va a encriptar todo el tráfico que vaya exclusivamente por GRE, pudiendo no encriptar algo, si lo sacamos por la interfaz física, por ejemplo, a otra sucursal que no sea necesario la encriptación o tráfico a internet en la misma interfaz (usando BGP o rutas estáticas)

    Saludos

    #30340
    AlvaroM
    Superadministrador

    Hola Anstor

    Es correcta tu afirmación, el tráfico que NO lo metas por el túnel GRE no sería encriptado. Por ejemplo podrías utilizar una ruta estática por defecto para sacar a todos usuarios a Internet utilizando como siguiente salto la interface del router del ISP y no así la interface túnel del otro extremo, de esta manera ese tráfico no ingresaría al túnel y no sería encriptado por IPSEC; ese es un claro ejemplo de uso en la vida real cuando hacemos un túnel IPSec con una oficina remota y también utilizamos ese enlace para que nuestros usuarios accedan a Internet (acá dependiendo de la solución elegida hay que considerar el uso de una configuración extra denominada NAT exemption, dale una mirada! =) ). También hay que decir que los enlaces IPsec con una oficina remota a través de Internet no son tan populares ya que Internet no suele ser tan estable a comparación de una red MPLS WAN.

    Estoy atento a cualquier otro comentario.

    Saludos cordiales.

    #30342
    Anstor
    Participante

    Una vez más, gracias por tu ayuda.

    #30379
    AlvaroM
    Superadministrador

    De nada Anstor. Saludos

Viendo 5 entradas - de la 1 a la 5 (de un total de 5)
  • Debes estar registrado para responder a este debate.