...

Оглавление

Введение

  При использовании аппартных EoGRE в 1.4.1 на ESR1200/1700 требуется, что бы пакеты GRE попадали на роутер через физический интерфейс. Т.к. пакет GRE распакованный из IPsec появится сразу в ядре, то его надо будет передать на ESR через физичейский интерфейс. Для этого потребуется вынести терминацию IPsec в отдельный VRF, а затем, соединив петлёй интерфейсы из которых GRE пакет  будет выходить из VRF IPsec и передаваться в дефолтный VRF ESR. Т.к. эта схема отличается от существующей - то в дальнейшем потребуется перенастройка ESR1200/1700 OTT для возможности работы в схеме с аппартными тунелями. Что бы этого избежать, в версии 1.4.0-OTT реализована работа IPsec в VRF, что позволит сразу выполнить настройку ESR с петлевым интерфейсом и произвести обновление на 1.4.1 без каких-либо изменений в кнфигурации.

  В приведённой ниже конфигурации предполагается, что аплинком служитинтерфейс TE1/0/1, через который осуществляется взаимодействие с SoftWLC, подключение ТД OTT и выпуск клиентов в Интернет. Для разграничения IPsec трафика и подключения ТД OTT используется интерфейс TE1/0/1.4000, PO2, которые находятся в VRF ipsec1. Затем интерфейс PO2 подкелючается петлевым соединением (TE1/0/2 в TE1/0/6, TE1/0/3 в TE1/0/7) в интерфейс PO6, который находится в дефолтном VRF. Важно, что бы подсеть терминации GRE пакетов находилась по отношению к VRF ipsec1 в таблице маршрутизации как  connected подсеть.

Настройка ESR

Создаем необходимые группы объектов:

...