В устройствах cisco есть интересная особенность, которая позволяет упростить настройку IPSec для защиты GRE-туннелей. Называется она IPSec profile. Используется она следующим образом. Часть настроек остается без изменений. Определение политики isakmp для фазы 1: crypto isakmp policy 10 encr 3des authentication rsa-sig group 2 Далее, нам нужет transform-set: crypto ipsec transform-set SET1 esp-3des esp-sha-hmac mode transport [...]

В заголовке IP пакета имеется один интересный флаг —«don't fragment» или сокращенно DF. Назначение сего флага — запретить разбивку пакета на фрагменты. Честно говоря, ситуации, когда встречаются пакеты с этим флагом довольно редки, но они таки бывают и могут надолго испортить настроение администратору/пользователю вот по какой причине. Различные технологии канального уровня предусматривают различный размер MTU. [...]