VTI là một interface định tuyến (routable interface)
Không như policy-based VPN truyền thống (cần define "interesting traffic"), VTI hoạt động như một cổng mạng ảo có thể gán địa chỉ IP và tham gia định tuyến giống như bất kỳ interface vật lý nào. Bạn có thể chạy OSPF, EIGRP, BGP… trực tiếp qua tunnel này.
Ví dụ thực tế: Bạn có thể thiết lập dynamic routing giữa các site hoặc cloud provider (như AWS/GCP) thông qua IPsec VTI mà không cần define từng ACL cụ thể cho traffic cần mã hóa.
Dễ cấu hình, dễ quản lý
Cấu hình IPsec VTI đơn giản hơn so với policy-based. Không cần cấu hình các crypto map phức tạp. Các kỹ sư chỉ cần định nghĩa tunnel interface, gán IP, và áp profile IPsec.
Dễ triển khai ở quy mô lớn, nhất là khi tự động hóa bằng Ansible, Terraform hoặc dùng trong SD-WAN overlay.
Tunnel luôn hoạt động (always-up)
Không cần “interesting traffic” để kích hoạt tunnel. Điều này đặc biệt hữu ích trong các môi trường cần duy trì kết nối liên tục, kể cả khi không có gói tin đi qua trong một thời gian.
Tốt cho môi trường giám sát, định tuyến dự phòng, hoặc nơi cần phản ứng nhanh khi failover xảy ra.
Hạn chế: Không hỗ trợ multicast trên ASA/FTD khi dùng VTI
Điểm này đáng lưu ý nếu bạn định chạy routing multicast hoặc các ứng dụng như mDNS, Auto-RP qua tunnel VTI trên ASA hoặc Firepower Threat Defense (FTD).
Kết luận nhanh:
IPsec VTI là lựa chọn hiện đại cho kết nối site-to-site, đặc biệt hữu dụng khi bạn cần định tuyến động, tính linh hoạt cao, và cấu hình đơn giản. Nhưng đừng quên xem xét khả năng hỗ trợ multicast nếu dùng ASA/FTD.
Bạn đã triển khai IPsec VTI ở môi trường nào chưa? Gặp vấn đề gì hay tips nào hay? Cùng chia sẻ để anh em cộng đồng học hỏi nhé!
