NAT+IPSec

1.这种需求能不能实现？

答：可以。

2.总部服务器的地址由防火墙NAT后，总部Router应该如何去匹配数据流，ACL的源地址写匹配NAT后的地址吗？对端Router的ACL的目的地址怎么匹配？匹配总部服务器地址段还是NAT后的地址段？

答：图上写了使用ipsec野蛮模式而非主模式，因此只要总部或分部其中之一匹配兴趣流即可，另一端使用模板配置无需acl，但另一端的ip地址需要固定，不能是动态地址。

总部Router的ACL的源地址写NAT后的地址。

对端Router的ACL的目的地址匹配总部服务器NAT后的地址段。如果总部Router和服务器间路由可达能不用nat就通信，那么写服务器NAT前的地址段也可以。

3.这算不算是一种NAT穿越呢？

答：不算。报文先被ipsec封装再被nat才算穿越，先nat再做ipsec则不算。一般是在ipsec隧道的路径上有其他nat设备。

PS：如果分部的私网网段是通过nat上网的，建议在nat的acl中写一条编号较小的rule将源是私网网段目的是总部服务器网段或总部服务器网段nat后网段的数据deny，防止数据在Router上先进行nat转换了地址，进而无法进行ipsec封装。