SVTI的一些理解

很多地方看見對(duì)SVTI的說(shuō)明是gre over ipsec，因?yàn)檫@個(gè)東西都加密了，看不見內(nèi)容，也說(shuō)不了什么。

偶然看見思科社區(qū)http://www.cisco-club.com.cn/space-113351-do-blog-id-8866.html關(guān)于juniper SRX和思科對(duì)聯(lián)SVTI，具體看了一下juniper配置，完全是ipsec的接口模式，沒有g(shù)re參與，想來(lái)是一些人看見配置是tunnel就以為還是gre的東西，能喝SRX對(duì)接成功的肯定使用的是相同的技術(shù)，不會(huì)用gre。想驗(yàn)證一下，但是加密內(nèi)容不可視，想來(lái)想去，可以看包大小是否一致，就能看出是不是一樣。

試驗(yàn)，在R1上配SVTI，R2上配傳統(tǒng)的crypto map，R4兩個(gè)都配。

R1

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco address 40.1.1.2
!
!
crypto ipsec transform-set ESP-des-md5 esp-des esp-md5-hmac
!
crypto ipsec profile ipsec-profile
 set transform-set ESP-des-md5
!
!
!
!
!
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
!
interface Tunnel0
 ip address 172.16.1.1 255.255.255.0
 tunnel source 61.1.1.1
 tunnel destination 40.1.1.2
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ipsec-profile
!
interface FastEthernet0/0
 ip address 61.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 61.1.1.3
ip route 1.1.1.4 255.255.255.255 Tunnel0

R2

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco address 40.1.1.2
!
!
crypto ipsec transform-set ESP-des-md5 esp-des esp-md5-hmac
!
crypto map mm 10 ipsec-isakmp
 set peer 40.1.1.2
 set transform-set ESP-des-md5
 match address 100
!
!
!
!
interface Loopback0
 ip address 1.1.1.2 255.255.255.255
!
interface FastEthernet0/0
 ip address 61.1.1.2 255.255.255.0
 duplex auto
 speed auto
 crypto map mm
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 61.1.1.3
!
!
!
access-list 100 permit ip host 1.1.1.2 host 1.1.1.4

R4

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco address 61.1.1.1
crypto isakmp key cisco address 61.1.1.2
!
!
crypto ipsec transform-set ESP-des-md5 esp-des esp-md5-hmac
!
crypto ipsec profile ipsec-profile
 set transform-set ESP-des-md5
!
!
crypto map mm 10 ipsec-isakmp
 set peer 61.1.1.2
 set transform-set ESP-des-md5
 match address 100
!
!
!
!
interface Loopback0
 ip address 1.1.1.4 255.255.255.255
!
interface Tunnel0
 ip address 172.16.1.4 255.255.255.0
 tunnel source 40.1.1.2
 tunnel destination 61.1.1.1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ipsec-profile
!
interface FastEthernet0/0
 ip address 40.1.1.2 255.255.255.0
 duplex auto
 speed auto
 crypto map mm
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 40.1.1.1
ip route 1.1.1.1 255.255.255.255 Tunnel0
!
!
!
access-list 100 permit ip host 1.1.1.4 host 1.1.1.2

從R1和R2分別ping R4，通過抓包，比較ESP包大小，完全一樣，其后又用telnet試驗(yàn)，發(fā)現(xiàn)包的大小仍然一致，SVTI的包和原來(lái)的IPsec沒有不同，不是所謂的gre over ipsec。

參看思科網(wǎng)站http://www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_***ips/configuration/15-s/sec-ipsec-virt-tunnl.html

SVTI configurations can be used for site-to-site connectivity in which a tunnel provides always-on access between two sites. The advantage of using SVTIs as opposed to crypto map configurations is that users can enable dynamic routing protocols on the tunnel interface without the extra 24 bytes required for GRE headers, thus reducing the bandwidth for sending encrypted data. 

人家沒說(shuō)過封裝gre，只是進(jìn)行對(duì)比，可以過動(dòng)態(tài)路由并且沒有g(shù)re的24字節(jié)的包頭。

下面的圖是抓包內(nèi)容。

這個(gè)是原始ipsec站點(diǎn)的ping包封裝成ESP

這個(gè)是SVTI的，和上面的比，size都是166

這個(gè)是 gre over ipsec的，size大了24，和思科網(wǎng)站上說(shuō)非常吻合。

這個(gè)是一般的icmp包，ipsec之后增加52字節(jié)。可見加密還是很消耗有效載荷的。