Вопрос к чисто конкретно риальнэ цискарям, ежели здесь таковые обитают либо вдруг пробегут мимо.
Имеется нижеследующий конфиг для Cisco 851, Version 12.3(8r)YI4, прошивка c850-advsecurityk9-mz.124-15.T12. Сразу оговорюсь, конфиг писал не я. Но мне очень интересно проанализровать его на предмет соответствия Best Practice, для науки и опыта. Чтобы понять, как делать хорошо, а как - не очень. Всю инфу приватного характера затёр или подменил.
Что лично мне "с ходу" не понравилось.
- Diffie–Hellman group 5 (1536 бит) на сегодняшний день - это ни о чём. Надо как минимум 14-ую.
- Шифрование второй фазы по aes-256 выглядит несколько странно на фоне первой фазы в aes-128.
- Указание одновременно трёх директив "ip mtu", "ip tcp adjust mss" и "tunnel path-mtu-discovery" в одной и той же секции. Я бы оставил какую-нибудь одну из них.
- "crypto isakmp key" не привязан к какому-либо профилю, а болтается прямо внутри "isakmp policy".
- Внутри профиля "crypto ipsec profile SuperVPN" нет отсылки к конкретному isakmp-профилю либо ключу.