распределенной сети предприятия через интернет с использованием статических IP на хабе и споках.
Это отвратительно.
На бранчах стоят Cisco 851/857/881 (IPSEC VTI с RIPом в качестве динамической маршрутизации).
Переходите на DMVPN+EIGRP/OSPF.
У Жунипера есть нечто похожее.
1) Негативно относиться к идее в бранчах использовать интернет со статическим адресом (мол это увеличивает вероятность взлома)
ACL, разрешающий пакеты только от ЦО. Еще можно тупо не делать маршрут на 0/0 в интернет, сделав лишь хостовые маршруты на центральные роутерц.
Есть желание все оставить на старых кошках (мол жалко «выкидывать» уже имеющееся оборудование).
DMVPN.
хотел бы услышать комментарии чем грозит наличие динамического IP в бранчах.
На хабах нельзя указать в ACL список адресов бранчей. Терпимый воркараунд — узнать у операторов диапазоны возможных адресов. Но на самом деле светить узлы в интернет не так опасно, как кажется, если не наделать глупостей.
Ну а DMVPN даже сквозь NAT пробивает — я тестировал.