1  # IPSec VTI
 2  
 3  Последний пример Site-to-Site VPN с использованием IPSec, который, собственно, и рекомендован циской – VTI \(Virtual Tunnel Interface\)
 4  
 5  Настройка IPSec отличается тем, что нам уже не нужно создавать вручную crypto-map \(а соответственно и ACL\), вместо него мы создаём IPSec-профиль
 6  
 7  ```text
 8  crypto isakmp policy 1
 9  authentication pre-share
10  crypto isakmp key CISCO address 100.0.0.1
11  !
12  !
13  crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac 
14  mode transport
15  
16  crypto ipsec profile VTI-P
17  set transform-set AES128-SHA
18  ```
19  
20  А его в свою очередь обязательно нужно привязать к туннельному интерфейсу.
21  
22  ```text
23  interface Tunnel0
24  tunnel protection ipsec profile VTI-P
25  ```
26  
27  Отличие от использованных ранее Crypto map в том, что сейчас нет нужды создавать ACL – весь трафик, попадающий в туннель, шифруется \(карты шифрования тем не менее по-прежнему создаются, но уже автоматически\).
28  
29  Это получился обычный Tunnel Protection без VTI. Так же широко используется.  
30  Команда **tunnel mode ipsec ipv4** указывает на использование VTI.  
31  Отличие от обычного GRE в методах инкапсуляции – в VTI экономится 4 байта путём исключения GRE-заголовка.
32  
33  [Небольшое описание](http://henrydu.com/blog/networks/vpn/ipsec-over-gre-and-ipsec-vti-368.html)  
34  [Полная конфигурация маршрутизаторов для IPSec VTI](https://docs.google.com/document/d/1Ss_bo0WDZzM_5CI24jokEDks5Y0deUGFs6n-RmedcgA/pub).
35