Cisco SVTI技术

技术背景

IPSEC数据流处理

为了学习SVTI技术需要回顾IPSEC数据流的处理过程

 假设inside1一台PC源2.2.2.2要访问目的1.1.1.1，数据抵达了路由器，首先检查路由表发现1.1.1.0 via是7.7,3.254
 要从2号标识口出去，由于部署了crypto-map数据流会撞击上然后进行重封装，数据流变成密文加上ESP头部和ESP尾部、ESP认证
 再从2号口转发出去
 
 通信点和解密点依据预选提议加解密，建立虚拟隧道放行流量到达目的点，没有虚拟隧道接口概念

思科主推主模式，华为主推野蛮模式

IPSEC数据流问题

这样的IPSEC数据流要面临的问题：

1. 两者之间没有虚拟隧道接口，不能对站点之间的通信流量进行更好地控制（QOS）
2. 两者之间没有虚拟隧道接口，不能让站点的路由协议互通不支持组播传输（如OSPF、RIP等），不利于多种路由协议
3. 感兴趣流太多，配置管理麻烦，每个网段需要去匹配对方的网段（不规则的情况，规则的话VLSM技术一条覆盖）

解决办法

基于GRE OVER IPSEC技术

1. 部署GRE隧道有了虚拟接口，可以运行路由协议并由GRE封装
2. 可以做流量控制
3. 感兴趣流只要对站点的隧道流量进行匹配，而不是感兴趣流之间互相匹配，简化了IPSEC步骤

基于VTI技术（分为SVTI和DVTI）

和GRE OVER IPSEC一样，解决标准IPSEC数据流三个问题。不同的是IPSEC无需依赖GRE，直接用IPSEC创建一个虚拟隧道接口

SVTI技术

技术比较