ER5200G2 ipsec隧道建立但是不通故障经验案例

拓扑：

ER5200G2 WAN2（117.158.45.108）-------（116.228.72.155）对端设备

私网数据流：

10.202.22.0/24（以及10.202.23.0/24）--------192.168.100.0/24

隧道已经建立，但是私网ping不通。而且本端终端tracert 192.168.100.0测试发现，10.202.22.0网段终端的数据流到ER设备上后，没有匹配ipsec隧道接口出去，而是跑到公网上了，截图可以看到有很多公网地址。 

  Tracert发现没有匹配ipsec隧道，而是上到公网了：

查看配置没有发现问题：

看ipsec配置以及路由配置都没有问题。继续看设备上别的部分配置，发现现场除了路由外还添加了策略路由的配置，而策略路由中将内网网段10.202.22.0/24以及10.202.23.0/24的流量重定向到了WAN2口，由于策略路由优先级比静态路由高，因此内网终端访问对端私网地址的时候流量没有走ipsec隧道而是从公网出去，导致不通。

将策略路由删掉。