网络工程 - Cisco GET VPN 配置 - 最佳实践/是否可以使用环回？ - 吾爱随笔录

我正在对大量远程位置进行 re-ip 寻址，所有这些位置都使用 Cisco GET VPN/GDOI 配置来加密流量。在此过程中，我还想检查配置以确保我们遵循最佳实践。

我已经阅读了 Cisco GET VPN config guide and Deployment Guide，但没有找到这个问题的好答案：

使用环回或物理接口作为加密流量的终止接口是最佳做法吗？

当前配置使用物理 Gig0/0 接口来终止加密流量。但是，为了简化所涉及的一些其他更改，我想为此目的使用 Loopback0 接口。在未来，其中一些站点将获得冗余上行链路，我的理解是我可以使用 Loopback 接口来终止两个加密连接。

下面是两个示例，现有配置以及我如何理解我必须设置路由器才能使用环回。我相信我只需要向 GM 添加以下命令：

crypto map %MAPNAME local-address Loopback0

然后还必须在密钥服务器上更改 GM 地址；据我所知，这是 KS 上唯一的变化。

现有配置的示例：

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.125 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.44.2 255.255.255.248
 ip virtual-reassembly
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!

使用环回作为终止接口的示例：

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP local-address Loopback0
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.101 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.24.2 255.255.255.248
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!