Возникла необходимость организовать резервный выход в инет с помощью операторов сотовой связи.
Решил я так же поднять и второй IPSec через резервного провайдера. Сначала думал - завернуть траффик IpSec через route-map и ip local policy в сторону 4G-роутера, запустить по туннелям ospf и дело с концом. Да не тут то было. Не поднимался туннель. Точнее, ISAKMP поднимается хорошо, но не работает 2я фаза.

Сэмулировал с ситуацию в GNS3. Вот такая схема получилась:

Головной роутер OFFICE-1, к нему подключен через fa1/0 4G-роутер, который натит весь траффик во внешний инет. Я завернул в него траффик следующим образом:

Где 172.16.255.2 - адрес на 4G-роутере, а 172.16.255.1 - собственный адрес головного роутера на fa1/0.
Анализ WireShark'ом показал, что ESP-пакеты (причем инкапсулированые в UDP) идут через fa0/1, а возвращаются через fa1/0.
Пошишившись в интернете, я наткнулся на информацию, что сначала отрабатывает route-map, а только потом происходит инкапсуляция в esp. Т.е. esp траффик отправляется в сеть только согласно стандартной таблице маршрутизации, и никакими route-map'ами на него не повлиять. Вот теперь и возникает вопрос - что делать. Есть решение в подобной ситуации??

IPSec, GRE и все прочие туннели не работают с local policy

Ну а чо ни как все нормальные люди vrf-lite + evn rr, а на них dmvpn с любой динамикой?

Я ж не знаю как все нормальные люди делают... Как тут любят на форуме отвечать: не обладаю экстрасенсорными способностями... Так что, извиняйте.

Вобщем так... Мануалы по vrf и репликации маршрутов между ними почитал, туннель DMVPN вроде бы взлетел. Connected сетки пробросил в обе стороны, отфильтровав нужные в route-map.

Получается следующее, интерфейс смотрящий в сторону RL01 в другом vrf, а на нем надо желательно бы ospf... Дабы не городить огород со множеством ospf процессов и редистрибьютами маршрутов между ними вопрос такой - можно ли пробросить туда траффик от существующего ospf-процесса, работающего в глобальной конфигурации? Куда копать?

Вобщем, я решил проблему:
все интерфейсы остались в глобальной конфе, соответственно, и ospf по ним работает нормально. Создан пустой vrf, в него проброшен connected маршрут в сторону 4G-роутера резервного канала и настроен дефолтный маршрут:

В резервном туннеле прописано:

Но нет команды ip vrf forwarding.
Далее, создан следующий acl:

По этому acl отбирается траффик и отправляется в vrf ISP2:

И наконец, на интерфейсе прописан фильтр для ISP2, по которому трафик будет отправлятся в vrf ISP2:

Оказалось, что без ip vrf receive ISP2 тоже нифика не заработает...
Так что вот.
Я теперь постиг дзен, как все нормальные люди?

В дзене не ip vrf, а vrf definition и без RD.
По поводу отсутствия ip vrf forwarding - вам второе плечо туннеля и не надо приземлять в vrf - оно должно быть в GRT.
Ну и зачем паясничать-то? =)