Cisco GET VPN Configuration - Best practice / È possibile utilizzare il loopback?

Sono in procinto di re-ip indirizzare un gran numero di posizioni remote, che utilizzano tutte una configurazione Cisco GET VPN / GDOI per la crittografia del traffico. Nel processo, volevo anche rivedere la configurazione per assicurarci che stessimo seguendo le migliori pratiche.

Ho consultato la guida alla configurazione di Cisco GET VPN e la Guida alla distribuzione , ma non ho trovato una buona risposta a questa domanda:

È consigliabile utilizzare un loopback o un'interfaccia fisica come interfaccia di terminazione del traffico crittografato?

Attualmente la configurazione utilizza l'interfaccia fisica Gig0 / 0 per terminare il traffico crittografato. Tuttavia, per semplificare alcune delle altre modifiche in questione, vorrei utilizzare l'interfaccia Loopback0 a tale scopo. Lungo la strada, alcuni di questi siti otterrebbero uplink ridondanti e la mia comprensione è che potrei usare l'interfaccia Loopback per terminare entrambe le connessioni crittografate.

Di seguito sono riportati due esempi, la configurazione esistente e il modo in cui ho capito che avrei dovuto impostare il router per utilizzare il loopback. Credo che dovrei solo aggiungere il seguente comando al GM:

crypto map %MAPNAME local-address Loopback0

L'indirizzo GM dovrebbe quindi essere modificato anche sul Key Server; per quanto ne so, questo è l'unico cambiamento sul KS.

Un esempio della configurazione esistente:

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.125 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.44.2 255.255.255.248
 ip virtual-reassembly
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!

Un esempio che utilizza il loopback come interfaccia di terminazione:

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP local-address Loopback0
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.101 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.24.2 255.255.255.248
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!

Se stai pianificando di implementare più collegamenti nello stesso gruppo GDOI sui GM, la migliore pratica sarebbe usare un'interfaccia di loopback come sorgente crittografica. Il motivo è che altrimenti i server chiave vedranno ciascuna interfaccia come una voce separata e il router riceverà più chiavi. La tua seconda configurazione di esempio sembra buona.

Vedere la sezione 4.1.2.1.3 della GETVPN DIG: http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6525/ps9370/ps7180/GETVPN_DIG_version_1_0_External.pdf

Ecco un esempio di configurazione di GET VPN:

http://www.certvideos.com/get-vpn-configuration-example/