关于 Virtual Tunnel Interface
ASA 支持称为虚拟隧道接口 (VTI) 的逻辑接口。作为策略型 VPN 的替代方案,您可以在 VTI 的对等体之间创建 VPN 隧道。VTI 可通过将 IPSec 配置文件连接到每个隧道的端部,为基于 VPN 的路由提供支持。您可以使用动态或静态路由。VTI 的出口流量经加密发送至对等体,而关联的 SA 会解密 VTI 的进口流量。
使用 VTI 将不再需要配置静态加密映射访问列表并将其映射到接口。您不再需要跟踪所有远程子网并将其包含在加密映射访问列表中。这可以简化部署,而且静态 VTI 通过动态路由协议支持基于路由的 VPN,还能满足虚拟私有云的诸多要求。
静态 VTI
您可以使用静态 VTI 配置进行站点间连接,其中两个站点之间的隧道会始终在线。对于静态 VTI 接口,您必须将物理接口定义为隧道源。每个设备最多可以关联 1024 个 VTI。要创建静态 VTI 接口,请参阅添加 VTI 接口。
动态 VTI
动态 VTI 为站点间 VPN 提供高度安全且可扩展的连接。动态 VTI 简化了大型企业中心辐射型部署的对等体配置。单个动态 VTI 可以替换中心上的多个静态 VTI 配置。您可以将新的分支添加到中心,而无需更改中心配置。动态 VTI 取代动态加密映射和用于建立隧道的动态中心辐射型方法。在管理中心,动态 VTI 仅支持中心辐射型拓扑。
动态 VTI 会使用虚拟模板来进行 IPsec 接口的动态实例化和管理。虚拟模板会为每个 VPN 会话动态生成独一无二的虚拟访问接口。动态 VTI 支持多个 IPsec 安全关联,并接受分支提议的多个 IPsec 选择器。动态 VTI 也支持动态 (DHCP) 分支。要创建动态 VTI 接口,请参阅添加动态 VTI 接口。
ASA 如何为 VPN 会话创建动态 VTI 隧道
-
在 ASA 上创建虚拟模板 (interface virtual-Template template_number type tunnel)。
您可以将此模板用于多个 VPN 会话。
-
将此模板附加到隧道组。您可以将虚拟模板连接到多个隧道组。
-
分支会向中心发起隧道请求。
-
中心对分支进行身份验证。
-
ASA 使用虚拟模板来为与分支的 VPN 会话动态创建虚拟访问接口。
-
中心会使用虚拟接入接口与分支建立动态 VTI 隧道。
-
配置 IKEv2 路由集接口命令 ,以通告 VTI 接口 IP over IKEv2 交换。此选项可在 VTI 接口之间启用单播可访问性,以便 BGP 或路径监控通过隧道运行。
-
在 VPN 会话结束后,隧道将断开连接,中心将删除相应的虚拟接入接口。