FlexVPN simple configuration

А почему, нет. Уже в 2012 году в Сан-Диего анонс был, пора начинать потихоньку.

Дано: Топология на рисунке. Задача сходна с DMVPN, нужно получить объединение в виртуальную LAN.

Решение:




1) Настройка R1

а) Прописываем дефолтный маршрут на ISP

ip route 0.0.0.0 0.0.0.0 5.10.30.1

б) Конфигурируем ключницу IKEv2:

crypto ikev2 keyring stimkeys
peer R2
address 50.10.30.2
pre-shared-key 123cisco123

в) Перенастраиваем дефолтный профиль IKEv2:

crypto ikev2 profile default
match identity remote address 50.10.30.2 255.255.255.252 
authentication local pre-share
authentication remote pre-share
keyring local stimkeys
dpd 60 2 on-demand

г) Перенастраиваем дефолтный профиль IPsec под IKEv2 профиль:

crypto ipsec profile default
set ikev2-profile default

д) Настраиваем туннель

interface Tunnel0
ip address 172.16.77.1 255.255.255.252
tunnel source fa1/0
tunnel destination 50.10.30.2
tunnel protection ipsec profile default

2) Настройка R2

а) Прописываем дефолтный маршрут на ISP

ip route 0.0.0.0 0.0.0.0 50.10.30.1

б) Конфигурируем ключницу IKEv2:

crypto ikev2 keyring stimkeys
peer R1
address 5.10.30.2
pre-shared-key 123cisco123

в) Перенастраиваем дефолтный профиль IKEv2:

crypto ikev2 profile default
match identity remote address 5.10.30.2 255.255.255.255
authentication local pre-share
authentication remote pre-share
keyring local stimkeys
dpd 60 2 on-demand

г) Перенастраиваем дефолтный профиль IPsec под IKEv2 профиль:

crypto ipsec profile default
set ikev2-profile default

д) Настраиваем туннель

interface Tunnel0
ip address 172.16.77.2 255.255.255.252
tunnel source Ethernet0/0
tunnel destination 5.10.30.2
tunnel protection ipsec profile default

3) Просмотр ключеобразных :)

show crypto ikev2 sa detailed

4)  Динамика
Конечно после этого никто не помешает вам как обычно поднять роутинг на eigrp
И добавляется новая фишка, нужно передёргивать интерфейсы, чтобы получить применение  политик Security Associations