f1000-ak1150 l2tp over ipsec

在讨论F1000-AK1150配置L2TP over IPSec时，确实需要考虑NAT（网络地址转换）和ACL（访问控制列表）的设置。如果客户端使用iNode拨入方式进行连接，这里的关键是确保IPSec流量不被NAT处理，因为IPSec和NAT有时候会发生冲突，尤其是在IPSec封装的数据包需要保持原始IP地址以进行正确的解密和认证时。

在这种场景下，通常需要在防火墙上配置ACL来指定不对经过IPSec隧道的流量进行NAT操作。这是因为NAT更改了数据包的源或目的IP地址，而IPSec需要原始的IP地址来验证数据包的完整性。

1. 配置ACL：你需要在防火墙上创建一个ACL规则，明确指示不对通过L2TP over IPSec隧道的流量执行NAT。这通常通过定义一个规则来实现，该规则匹配L2TP over IPSec的兴趣流（即，识别出这些流量并对它们应用特定的处理规则）。

2. ACL deny兴趣流：具体来说，你可以设置一个ACL规则，用来拒绝（deny）经过IPSec隧道的流量进行NAT。这意味着当流量匹配到这条ACL规则时，不会对这部分流量执行NAT操作。

3. 配置顺序：确保这条ACL规则的优先级高于其他可能导致NAT执行的规则。防火墙会按照ACL规则的顺序来处理流量，因此正确的顺序是关键。

4. 测试和验证：配置完成后，重要的是进行测试，确保L2TP over IPSec隧道能够正确建立，客户端可以成功通过隧道进行通信，同时验证是否确实没有对这些流量进行NAT。

通过这种方式，你可以确保通过iNode拨入方式建立的L2TP over IPSec连接能够正常工作，同时避免NAT导致的潜在问题。

不需要

remote vpn这个场景是不需要的

deny兴趣流是ipsec vpn这个场景，也就是LAN2LAN场景