设有AB两端IPsec设备,设A端的设备创建ACL为:X-->Y,B端的设备创建ACL为Y-->X,那么此时设备之间的acl是互为镜像的,则AB端可以正常地进行隧道流地封装。
若此时A端的设备创建的ACL为:Z--->P,B端设备创建的ACL为:P-->Z,Z-->M,那么此时因为AB设备两端的Z-->P和P-->Z是互为镜像的,所以当有此类流量的时候将会进行IPsec隧道转发,而当B设备遇到Z-->M的流量的时候将会导致虽然通过了路由表查找,会话建立,但是最终IPsec模块不会离会从而导致出现虽然有会话表出现而网络上却没有加密报文的出现。