В дополнение к вопросу сопряжения всякого зоопарка по IKEv2 IPSec:
Хорошая справочная дока с полным списком IKE и IPSec Ciphers, Hashs, D-H Groups, etc.
С IANA кодами.
IKEv2 Cipher Suites - StrongSwan
https://docs.strongswan.org/docs/5.9/co ... uites.htmlХороший пример перевода IOS IPSec Tunnel c Crypto-map на VTI (с одной стороны).
Configure a Multi-SA Virtual Tunnel Interface on a Cisco IOS XE Router
https://www.cisco.com/c/en/us/support/d ... nterf.htmlЕсли кому-то (вдруг) захочется почитать (на русском), как это все (IPSec) устроено,
и что собственно мы в config-е настраиваем и смотрим в show/debug-e.
SP/SA/SPI etc.
Потроха IPsec, меримся с TLS 1.3, ГОСТ и Go - Хабр
https://habr.com/ru/post/518116/И как это все выглядит ближе к config-у IOS.
IKEv2 и Flex VPN средствами Cisco IOS. Синтаксис и логика работы
_https://habr.com/ru/post/186126/
И не забываем про SPI Recovery.
Для этого нужно синхронизировать время и TZ на роутерах по NTP, включать DPD, и
crypto isakmp invalid-spi-recovery
Verify IPsec %RECVD_PKT_INV_SPI Errors and Invalid SPI Recovery Feature Information
_https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/115801-technote-iosvpn-00.html
То TS:
Кмк, вы путаетесь в терминологии.
Никаких " multiple network for one SA" не существует в стандарте IPSec.
Ну или существует, но нигде практически не используется.
И стандарт везде один, что в ISR, что в ISR G2, что в ASA, etc.
Никаких "более лучших" ISR не существует.
А несколько сетей в ACL прописать - это запросто.
Но это все "синтаксический сахар", т.е. просто удобство для пользователя.
В реальности потом создается отдельный IPSec Flow (пара SA/SPI) для каждой строчки permit в ACL.
Вам об этом так сразу и написали.
Смотрите исходный конфиг в примере с Multi-SA выше.
Да, и VTI никак не связан с IKEv2, его можно и с IKEv1 сделать.
Но зачем, если IKEv2 есть с обеих сторон?
Код:
ip access-list extended CACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
RouterA# show crypto session interface tunnel0
Crypto session current status
Interface: Tunnel0
Profile: PROF
Session status: UP-ACTIVE
Peer: 192.0.2.2 port 500
Session ID: 2
IKEv2 SA: local 192.0.2.1/500 remote 192.0.2.2/500 Active
IPSEC FLOW: permit ip 172.16.1.0/255.255.255.0 172.16.2.0/255.255.255.0
Active SAs: 2, origin: crypto map
IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 192.168.2.0/255.255.255.0
Active SAs: 2, origin: crypto map