ipsec

实际使用的时候会出问题，如果全匹配，所有流量会走ipsec，会影响正常业务

可以的

接收侧可以全0；但发起侧不行，发起侧全0会过不了协商。

具体的保护机制如下：

·              只要接口发送的报文与该接口上应用的IPsec安全策略中的ACL的permit规则匹配，就会受到出方向IPsec SA的保护并进行封装处理。

·              接口接收到目的地址是本机的IPsec报文时，首先根据报文头里携带的SPI查找本地的入方向IPsec SA，由对应的入方向IPsec SA进行解封装处理。解封装后的IP报文若能与ACL的permit规则匹配上则采取后续处理，否则被丢弃。

目前，设备支持的数据流的保护方式包括以下三种：

·              标准方式：一条IPsec隧道保护一条数据流。ACL中的每一个规则对应的数据流分别由一条单独创建的IPsec隧道来保护。缺省采用该方式。

·              聚合方式：一条IPsec隧道保护ACL中定义的所有数据流。ACL中的所有规则对应的数据流只会由一条创建的IPsec隧道来保护。该方式仅用于和老版本的设备互通。

·              主机方式：一条IPsec隧道保护一条主机到主机的数据流。ACL中的每一个规则对应的不同主机之间的数据流分别由一条单独创建的IPsec隧道来保护。这种方式下，受保护的网段之间存在多条数据流的情况下，将会消耗更多的系统资源。