如果有一个静态路由告诉数据包前往路由器 A,但还有一个加密映射告诉数据包通过 VPN,会发生什么情况?它会先到达路由表还是通过 VPN 隧道?
答案1
首先使用路由表。ASA 需要它来确定数据包将从哪个接口发出。几乎所有内容都取决于此接口(NAT 规则、加密映射、出站 ACL(如果使用的话)),因此绝对必须先查找它。
一旦知道出站接口,ASA 就会按此顺序执行 ACL、检查、NAT 豁免、NAT、VPN。
这是路由表和 VPN 之间关系的棘手部分。任何通过隧道设置的数据包实际上都会与路由表交互两次:第一次是在数据包未加密时,防火墙会进行接口确定;第二次是在防火墙将其发送到 VPN 对等体时以加密形式进行交互。显然,第二次路由是根据 VPN 对等体的路由而不是原始数据包的 IP 标头来查找的,因此它实际上可能有所不同。
顺便说一句,如果您在 ASDM 中运行 Packet Tracer,您可以更好地理解这一切。