如果有一条静态路由告诉数据包到达routerA,但是还有一个encryption映射,告诉数据包通过VPN,会发生什么? 它会首先到达路由表还是经过VPN隧道?
首先使用路由表。 ASA需要它来确定数据包将要发送到哪个接口。 几乎所有东西都取决于这个接口(NAT规则,encryption映射,使用时的出站ACL),因此必须先查找。
一旦知道出站接口,ASA就会按顺序(按此顺序)访问ACL,检查,NAT免除,NAT,VPN。
以下是关于路由表和VPN之间关系的棘手部分。 任何通过隧道设置的数据包实际上都会与路由表进行两次交互:首先是未encryption的防火墙进行接口确定,然后在防火墙将其发送给VPN对等体时以encryption的forms进行。 显然,根据VPN对等体的路由查找第二条路由,而不是原始数据包的IP头,所以实际上可能是不同的。
顺便说一句,如果在ASDM中运行Packet Tracer,则可以更好地理解这一切。