Você pode fazer uma criptografia oportunista (ou seja, apenas abrir o túnel quando necessário), com algumas ressalvas:
- Você precisará manter ativamente a lista de acesso para o tráfego considerado "interessante"
- Você necessariamente fará com que as rotas se movimentem, à medida que um caminho aparecer e desaparecer no seu RIB e, em seguida, for propagado em ambos os sites por meio do protocolo de roteamento usado para se comunicar entre roteadores; Umedecer será seu amigo, para evitar confundir lentamente e queimar seus roteadores
- Sua disciplina de monitoramento terá que amadurecer, já que você não pode mais apenas olhar para "a interface do túnel está acima?", você precisará olhar para "está a interface do túnel para cima, e eu esperava que fosse "
- Por fim, devido ao tempo de inicialização do túnel, você só desejará usar criptografia oportunista para serviços confiáveis, pois há uma probabilidade de o primeiro pacote de comunicação expirar ou ser perdido enquanto espera que o túnel entre em funcionamento. e uma rota para o lado distante para estar disponível
- Para atenuar a maioria deles, configure-o para ficar ativo por vários minutos após o último pacote "interessante", portanto, se outra conversa "interessante" começar logo depois, você já terá um caminho para isso.
Pode não ser difícil encontrar um livro-texto antigo do Cisco BCRAN e ler sobre as implicações do roteamento de discagem por demanda; isso é essencialmente a mesma coisa, usando apenas criptografia em vez de PSTN / ISDN.
Por curiosidade, qual é o driver para ter a interface do túnel para baixo e apenas estabelecê-lo quando é necessário? Como o tunnle é essencialmente livre (não roteado por minuto como o antigo PSTN / ISDN / PRI), tê-lo pregado e uma heartbeet periódica para mantê-lo é provavelmente mais barato em termos de manutenção e suporte.