Введение

  При использовании аппартных EoGRE в 1.4.1 на ESR1200/1700 требуется, что бы пакеты GRE попадали на роутер через физический интерфейс. Пакет GRE, распакованный из IPsec появится сразу в ядре, поэтому его надо выпустить и подать обратно на ESR через физичейский интерфейс. Для этого потребуется вынести терминацию IPsec в отдельный VRF, а затем, соединив петлёй интерфейсы, из которых GRE пакет  будет выходить из VRF IPsec, передавться его в дефолтный VRF ESR. Т.к. эта схема отличается от существующей - то потребуется перенастройка ESR1200/1700 OTT для возможности работы в схеме с аппартными тунелями EoGRE. В версии 1.4.0-OTT реализована работа IPsec в VRF, что позволит сразу выполнить настройку ESR с петлевым интерфейсом и произвести обновление на 1.4.1 без каких-либо изменений в кнфигурации.

  В приведённой ниже конфигурации предполагается, что аплинком служит интерфейс TE1te1/0/1, через который осуществляется взаимодействие с SoftWLC, подключение ТД OTT и выпуск клиентов в Интернет. Для разграничения IPsec трафика и подключения ТД OTT используется интерфейс TE1te1/0/1.40004092, PO2po2, которые находятся в VRF ipsec1ipsec. Затем интерфейс PO2 подкелючается po2 подключается петлевым соединением (TE1te1/0/2 в TE1te1/0/6, TE1te1/0/3 в TE1te1/0/7) в интерфейс PO6po1, который находится в дефолтном VRF. Важно, что бы подсеть терминации GRE пакетов находилась по отношению к VRF ipsec1 ipsec в таблице маршрутизации как  connected подсеть.

Описание адресации

Настройка ESR

Создаем необходимые группы объектов:

...