仅更改IPSEC数据包的默认路由

Question

我对这种情况有些困难。我有一个“互联网边缘”，我所有的正常流量是防火墙，NATed和发送的方式。我也有一个“万聚合”层，路由器通过各种广域网技术连接到其他分支机构。

这些分支之一恰好是一个浮动分支，其公共ip地址定期变化，并通过IPSEC VTI连接。问题在于，当隧道出现时，wan聚合路由器实际上正在发送它的ISAKMP和ESP数据包--它是默认路由，而不是out --它配置了公共ip地址。我不能更改默认路由，因为这样所有的分支通信都会退出该ip地址(并且不会被过滤/防火墙/等等)。

默认(和所有其他)路由通过OSPF传播。

我考虑使用VRF做一些事情，但我想添加测试-MDF的网络OSPF，这看起来是一个巨大的痛苦泄漏路由到全球路由表。

我还利用基于策略的路由，创建了一个访问列表，允许esp、isakmp和非500-isakmp从any到any，并将其应用于几乎每个接口。

下面是相关的配置：

TEST-MDF:
    crypto isakmp policy 1
     encr aes
     authentication pre-share
     group 2
    crypto isakmp key cisco address 0.0.0.0 0.0.0.0
    !
    crypto ipsec transform-set TSET esp-aes esp-sha-hmac 
    !
    crypto ipsec profile VTI
     set transform-set TSET 
    !
    interface Loopback0
     ip address 10.9.8.1 255.255.255.0
     ip ospf network point-to-point
     ip ospf 1 area 9
    !
    interface Tunnel0
     ip unnumbered Loopback0
     ip ospf 1 area 9
     tunnel source FastEthernet0/0
     tunnel destination 1.1.1.5
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile VTI
    !
    interface FastEthernet0/0
     ip address 1.2.1.2 255.255.255.0
    !
    router ospf 1
     log-adjacency-changes
    !
    ip route 0.0.0.0 0.0.0.0 1.2.1.1

CNT-MDF-WANAGG#
    crypto isakmp policy 1
     encr aes
     authentication pre-share
     group 2
    crypto isakmp key cisco address 0.0.0.0 0.0.0.0
    crypto isakmp profile IKE-DEFAULT
       keyring default
       match identity address 0.0.0.0 
       virtual-template 1
    !
    !
    crypto ipsec transform-set TSET esp-aes esp-sha-hmac 
    !
    crypto ipsec profile VTI
     set transform-set TSET 
     set isakmp-profile IKE-DEFAULT
    !
    interface Loopback0
     ip address 10.0.0.5 255.255.255.255
     ip policy route-map RM-VPN
     ip ospf network point-to-point
     ip ospf 1 area 0
    !
    interface Loopback100
     ip address 10.4.8.1 255.255.255.0
     ip ospf network point-to-point
     ip ospf 1 area 4
    !
    interface FastEthernet0/0
     ip address 10.255.0.1 255.255.255.254
     ip policy route-map RM-VPN
     ip ospf 1 area 0
    !
    interface FastEthernet0/1
     ip address 1.1.1.5 255.255.255.0
     ip policy route-map RM-VPN
    !         
    interface Virtual-Template1 type tunnel
     ip unnumbered Loopback0
     ip virtual-reassembly
     ip policy route-map RM-VPN
     ip ospf 1 area 9
     tunnel source FastEthernet0/1
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile VTI
    !
    router ospf 1
     log-adjacency-changes
    !
    ip local policy route-map RM-VPN
    !
    ip access-list extended VPN
     permit esp any any
     permit gre any any
     permit udp any any eq isakmp
     permit udp any any eq non500-isakmp
    !
    route-map RM-VPN permit 1
     match ip address VPN
     set ip default next-hop 1.1.1.1

Answer 1

你对VRF的假设是对的。用它们。F-VRF，I-VRF由Cisco发明

https://supportforums.cisco.com/document/51931/vrf-aware-ipsec-cheat-sheet#Tunnel-protection_使用_Vrfcust1-VRF_和_fvrfinternet-vrf_

Answer 2

你可以制作一个路由器地图，首先过滤出你所知道的ip分支，然后在你想要的不同路径上设置接口/下一跳。

还是让浮动分支机构连接到第二个wan ip？