# Практика

Вернёмся к нашей старой схеме и реализуем на ней именно этот вариант.

![](http://img-fotki.yandex.ru/get/6437/83739833.23/0_abb6a_4785c65b_XL.jpg)

Разумеется, при этом у нас снова появляется туннельный интерфейс (настраивается, как обычный GRE):

```
interface Tunnel0
ip address 10.2.2.1 255.255.255.252
tunnel source 100.0.0.1
tunnel destination 200.0.0.1
```

И далее вы направляете в него нужный вам трафик статическим маршрутом.

```
ip route 10.1.1.0 255.255.255.255 10.2.2.2
```

Что при этом меняется в настройке IPSec?\
В принципе, даже если вы ничего не поменяете, всё уже будет работать, но это не наш путь.\
Во-первых, поскольку туннель уже существует (GRE), нет нужды делать его ещё и средствами IPSec – можно перевести его в транспортный режим, тем самым, сэкономив 20 байтов на лишнем IP-заголовке:

```
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode transport
```

*\*Заметьте, менять, это надо на обеих сторонах, иначе соседство IPSec не установится.*

Во-вторых, шифроваться должен весь трафик между филиалами, то есть тот, который идёт через туннель, соответственно, нет необходимости прописывать все сети в ACL, поступим хитрее:

```
access-list 101 permit gre host 100.0.0.1 host 200.0.0.1
```

Условие выполняется, если на порт пришёл трафик с заголовком GRE и соответствующими адресами.