Практика

Вернёмся к нашей старой схеме и реализуем на ней именно этот вариант.
Разумеется, при этом у нас снова появляется туннельный интерфейс (настраивается, как обычный GRE):
interface Tunnel0
ip address 10.2.2.1 255.255.255.252
tunnel source 100.0.0.1
tunnel destination 200.0.0.1
И далее вы направляете в него нужный вам трафик статическим маршрутом.
ip route 10.1.1.0 255.255.255.255 10.2.2.2
Что при этом меняется в настройке IPSec? В принципе, даже если вы ничего не поменяете, всё уже будет работать, но это не наш путь. Во-первых, поскольку туннель уже существует (GRE), нет нужды делать его ещё и средствами IPSec – можно перевести его в транспортный режим, тем самым, сэкономив 20 байтов на лишнем IP-заголовке:
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode transport
*Заметьте, менять, это надо на обеих сторонах, иначе соседство IPSec не установится.
Во-вторых, шифроваться должен весь трафик между филиалами, то есть тот, который идёт через туннель, соответственно, нет необходимости прописывать все сети в ACL, поступим хитрее:
access-list 101 permit gre host 100.0.0.1 host 200.0.0.1
Условие выполняется, если на порт пришёл трафик с заголовком GRE и соответствующими адресами.