ensp中ar2240路由器同一接口上ipsec与nat同时配置的共存问题以及两者的策略匹配顺序

首先是ipsec匹配策略的改变对数据转发的影响

测试三种不同规则下数据包的转发情况

可以看到，在配置permit any的时候，任何流量都通过ipsec进入隧道转发；而配置deny any时，没有任何数据包被转发出来；将规则删除，则nat正常转换。由此说明，ipsec策略一定是先于nat策略匹配的，至少是在这个版本的路由器上。

验证一下，我们通过改变nat的策略看看ipsec是否会受到影响

这里我直接在nat使用的acl2000里禁止了所有ip的转换请求，我这时ping外部内网ip看看ipsec是否依然有效？

可以看到依然有效！所以ipsec策略的优先级要比nat高，也就是当一个数据包需要从该接口转发出去时，路由器先检查是否符合ipsec的策略，如果ipsec中有符合的策略，如deny permit，那么直接按该策略执行，不再匹配nat策略，而当ipsec中没有满足限制的条款时，则匹配nat。