ASA и NetFlow

Начиная с версии ОС 8.2(1) добавлена проддержка NetFlow.
Включается так:
flow-export destination inside x.x.x.x yyyy
access-list flow_export_acl permit ip host x.x.x.x host x.x.x.x

class-map flow_export_class
match access-list flow_export_acl

policy-map flow_export_policy
class flow_export_class


flow-export event-type flow-creation destination x.x.x.x
service-policy flow_export_policy global

x.x.x.x - NetFlow коллектор
yyyy - порт, на котором слушает коллектор.

http://www.cisco.com/en/US/docs/security/asa/asa82/netflow/netflow.html

Нестандартные VPI/VCI

Заметка для себя:
Иногда бывает, что провайдер выдает нестандартные значения VPI/VCI. (VPI>31 или VCI > 1023). Решается очень просто:
atm vc-per-vp 512 (например).
Подробности здесь:
http://www.cisco.com/en/US/tech/tk39/tk48/technologies_tech_note09186a00801086c5.shtml

Juniper for Security Platforms

Сейчас изучаю Juniper for Security Platforms Student's Guide и вижу такой опус:
IPSec supports both unicasts and multicasts traffic.
Однако, ещё из курса Cisco ISCW известно, что "IPmc is not supported with IPsec Direct Encapsulation. IPsec was created to be a security protocol
between two and only two devices, so a service such as multicast is problematic.". Примерно то же говорит RFC 2401. Понятно, конечно, что в Juniper используется IPSec over GRE (точее, route-based ipsec vpn через интерфейс st), однако об этом прямо не сказано, зачем же людей путать?
Спустя несколько дней:
Выясняются ещё более интересные подробности:

A route-based VPN is required for which scenario?
A. when the remote VPN peer is behind a NAT device
B. when multiple networks need to be reached across the tunnel and GRE cannot be used
C. when the remote VPN peer is a dialup or remote access client
D. when a dynamic routing protocol is required across the VPN and GRE cannot be used
Answer: D

Т.е это не GRE. Тогда мне совсем не ясно как это работает.