首先是ipsec匹配策略的改變對數(shù)據(jù)轉發(fā)的影響

測試三種不同規(guī)則下數(shù)據(jù)包的轉發(fā)情況

可以看到，在配置permit any的時候，任何流量都通過ipsec進入隧道轉發(fā)；而配置deny any時，沒有任何數(shù)據(jù)包被轉發(fā)出來；將規(guī)則刪除，則nat正常轉換。由此說明，ipsec策略一定是先于nat策略匹配的，至少是在這個版本的路由器上。

驗證一下，我們通過改變nat的策略看看ipsec是否會受到影響

這里我直接在nat使用的acl2000里禁止了所有ip的轉換請求，我這時ping外部內網(wǎng)ip看看ipsec是否依然有效？

可以看到依然有效！所以ipsec策略的優(yōu)先級要比nat高，也就是當一個數(shù)據(jù)包需要從該接口轉發(fā)出去時，路由器先檢查是否符合ipsec的策略，如果ipsec中有符合的策略，如deny permit，那么直接按該策略執(zhí)行，不再匹配nat策略，而當ipsec中沒有滿足限制的條款時，則匹配nat。