Cisco ASA VTI + BGP туннели
В более менее свежем ПО Cisco ASA появилась возможность строить туннели с динамической маршрутизацией, примерно как на маршрутизаторах, но протокол маршрутизации нужен BGP Плюсы такой схемы перед Crypto map очевидны - анонсы маршрутов через различные туннели и легкое резервирование. Итак что нам понадобится, сначала займемся шифрованием, сразу современным то есть aes-gcm с обоих сторон одинаково добавляем: crypto ikev2 policy 5 encryption aes-gcm integrity null group 14 prf sha lifetime seconds 86400 crypto ipsec ikev2 ipsec-proposal TSET protocol esp encryption aes-gcm protocol esp integrity null crypto ipsec profile IPSEC_PROFILE set ikev2 ipsec-proposal TSET set pfs group14 Конечно же нужна туннельная группа, ну и как мы будем аутентифицировать друг друга tunnel-group yy.yy.yy.yy type ipsec-l2l tunnel-group yy.yy.yy.yy ipsec-attributes ikev2 remote-authentication pre-shared-key <например общим ключом> ik...