>1. почему выбрана такая конструкция, а не
> tunnel mode ipsec ipv4
> tunnel protection ipsec profile ИМЯ Потому что на одной из сторон иос версии 12.2, и он не умеет делать туннели ipsec ipv4.
>2. Что хотите натить тунельнолье окончание или трафик внутри тунеля (может это
>и ответ ;))?
Натить надо именно тот трафик, который шифруется внутри туннеля. Расширю немного схему:
subnet1--Router1(int tunnel0)---ipsec---(int tunnel0)Router2--ROUTERX(firewall)--subnetx
Клиенты из subnet1 должны обращаться к неким ресурсам из subnetx. Но т.к. на ROUTERX стоит файрвол, он разрешает только те адреса, в которые должны натится адреса из subnet1 на ROUTER2. На ROUTER2 создан пул адресов, которые разрешены на ROUTERX.
Вот меня и мучает вопрос, почему трафик не натится, если на interface tunnel вешать крипто мап?