- Este debate tiene 4 respuestas, 2 mensajes y ha sido actualizado por última vez el hace 1 año por
.
-
Entradas
-
Buenas, viendo tu explicación me surge una duda sobre el tráfico que pasa por el tunel. Usando el anterior método con crypto-map, utilizábamos las ACL para delimitiar el tráfico que se iba encriptar por el túnel pero usando el ipc profile, se aplica directamente a la interfaz del túnel GRE. Como usamos routing para definir todo el tráfico que queremos que pase por el túnel GRE. Entiendo encontes que se va a encriptar todo el tráfico que vaya exclusivamente por GRE, pudiendo no encriptar algo, si lo sacamos por la interfaz física, por ejemplo, a otra sucursal que no sea necesario la encriptación o tráfico a internet en la misma interfaz (usando BGP o rutas estáticas)
Saludos
Hola Anstor
Es correcta tu afirmación, el tráfico que NO lo metas por el túnel GRE no sería encriptado. Por ejemplo podrías utilizar una ruta estática por defecto para sacar a todos usuarios a Internet utilizando como siguiente salto la interface del router del ISP y no así la interface túnel del otro extremo, de esta manera ese tráfico no ingresaría al túnel y no sería encriptado por IPSEC; ese es un claro ejemplo de uso en la vida real cuando hacemos un túnel IPSec con una oficina remota y también utilizamos ese enlace para que nuestros usuarios accedan a Internet (acá dependiendo de la solución elegida hay que considerar el uso de una configuración extra denominada NAT exemption, dale una mirada! =) ). También hay que decir que los enlaces IPsec con una oficina remota a través de Internet no son tan populares ya que Internet no suele ser tan estable a comparación de una red MPLS WAN.
Estoy atento a cualquier otro comentario.
Saludos cordiales.
- Debes estar registrado para responder a este debate.