GRE接口应用ACL导致数据包异常

soul情歌

最近客户需要，需要做一个VPN。拓扑基本是每个分支公司访问总公司的这种分支机构。由于中间密码设备所以不适用于mpls。然而总公司的设备缺少ipsec板卡，所以暂时搁置ipsec。最后想到GRE。
但是考虑到和其他业务隔离，GRE做通之后我希望能做到类似ipsec一样，只有指定的流才能通过GRE隧道，所以我想到两个办法
1、在tunnel上应用包过滤
2、pbr

方法1使用后发现，到达TUNNEL接口上的数据包是先进行GRE封装，再进行包过滤，我用的模拟器，不知真机是否不同。这样基本是没戏了
方法2目测是可以，还未测试。

问题来了，我再做方法1测试的时候，抓了几个包

                               
登录/注册后可看大图

                               
登录/注册后可看大图

似乎IP包因为分片或是什么原因不完整了。这种问题只有在TUNNLE接口使能包过滤才会发生，正常情况下是能够通的。

                               
登录/注册后可看大图

大家帮忙看下，谢谢，顺便请教下  我这种“指定流才能进gre”的需求还有什么办法能实现，PBR没问题吗?谢谢！undefined