>1. у меня четкое подозрение, что вам нужно прописать policy based routing.
>
>2. немноко больше деталей о существующей маршрутизации можно? У меня такое же подозрение что нужно что-то с PBRом,
Задача сводится, маршрутизация сетей региональных через роутер Центрального офиса ес-но GRE over IPSec.
сейчас дам конфиги.
Центральный маршрутизатор (Маршрутизатор в Центральном офисе):
interface Tunnel0
ip address 172.29.200.1 255.255.255.252
tunnel source Ethernet0
tunnel destination 172.29.112.251
!
interface Tunnel1
ip address 172.29.201.1 255.255.255.252
tunnel source Ethernet0
tunnel destination 172.29.96.1
!
interface Ethernet0
ip address 172.29.31.254 255.255.224.0
ip route 172.29.96.0 255.255.240.0 172.29.201.2
ip route 172.29.112.0 255.255.240.0 172.29.200.2
ip route 172.29.112.251 255.255.255.255 172.29.1.254 (где, .1.254 - это inside interface АСА, на которой терминируются IPsec региональных цисок, а .112.251 IP addr. внутренней карты регионального маршрутизатора)
ip route 172.29.96.1 255.255.255.255 172.29.1.254 и тоже самое для второго роутера.
С центрального роутера прекрасно видно внутренние интерфейсы региональных маршрутизаторов через IPSec.
Далее сообственно конфигурации региональных роутеров.
interface Tunnel0
ip address 172.29.200.2 255.255.255.252
tunnel source FastEthernet0/1 --- В этом сильное сомнение, так как IPsec устанавливается с Cisco явно не с этого интерфейса.
tunnel destination 172.29.31.254
!
interface FastEthernet0/0
description Connected to WAN
ip address 62.168.XXX.YYY 255.255.255.252
ip access-group 120 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect srt in
ip inspect srt out
ip ips ips_rule in
no ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
crypto map SRT
interface FastEthernet0/1
description Connected to E-burg filial LAN
ip address 172.29.112.251 255.255.240.0
ip access-group 130 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
no ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
ip route 0.0.0.0 0.0.0.0 62.168.ZZZ.141 - Дефолтный шлюз
ip route 172.29.96.0 255.255.240.0 Tunnel0 - Маршрут на сеть другого региона, через Центральный офис (пробовал заместо Tunnel0 подставлять IP addr. туннеля циски в ЦО)
!
На втором роутере такая же картина, только соответственно IP адреса иные для туннеля и маршрут на данную циску и LAN этого филиала.
Боюсь, что надо что-то "городить" на цисках в регионах, так как на них одновременно терминируется IPSec и появляется туннель к ЦО..
ПОМОГИТЕ всю Циску и Гугл перекопал, но данная схема не тривиальна и подобного описания не нашел.
Может так вообще не получиться?
Спасибо
СУВЖ Антон.
