Введение

  При использовании аппартных EoGRE в 1.4.1 на ESR1200/1700 требуется, что бы пакеты GRE попадали на роутер через физический интерфейс. Пакет GRE, распакованный из IPsec появится сразу в ядре, поэтому его надо выпустить и подать обратно на ESR через физичейский интерфейс. Для этого потребуется вынести терминацию IPsec в отдельный VRF, а затем, соединив петлёй интерфейсы, из которых GRE пакет  будет выходить из VRF IPsec, передавться его в дефолтный VRF ESR. Т.к. эта схема отличается от существующей - то потребуется перенастройка ESR1200/1700 OTT для возможности работы в схеме с аппартными тунелями EoGRE. В версии 1.4.0-OTT реализована работа IPsec в VRF, что позволит сразу выполнить настройку ESR с петлевым интерфейсом и произвести обновление на 1.4.1 без каких-либо изменений в кнфигурации.

  В приведённой ниже конфигурации предполагается, что аплинком служит интерфейс te1/0/1, через который осуществляется взаимодействие с SoftWLC, подключение ТД OTT и выпуск клиентов в Интернет. Для разграничения IPsec трафика и подключения ТД OTT используется интерфейс te1/0/1.4000, po2, которые находятся в VRF ipsec. Затем интерфейс po2 подключается петлевым соединением (te1/0/2 в te1/0/6, te1/0/3 в te1/0/7) в интерфейс po6, который находится в дефолтном VRF. Важно, что бы подсеть терминации GRE пакетов находилась по отношению к VRF ipsec в таблице маршрутизации как  connected подсеть.

Описание адресации

Настройка ESR

Создаем необходимые группы объектов:

...