ACL方式

1、建立IPsec隧道

2、创建tunnel接口，且指定封装协议是GRE

3、创建静态路由进行tunnel接口的引流，也就是指定哪些流量想要进行gre的封装

4、在ipsec策略中指定感兴趣流为进行gre封装后的源目IP，也就是指定只要流量是gre隧道的两端那么就进行ipsec的隧道封装

路由方式

在gretunnel口上绑定一个ipsec profile即可

原理

流量进入防火墙的时候会先进行路由表查表，而只有流量到达接口上准备发送的时候才会进行ipsec的隧道封装，于是相关流量如果被静态路由引入tunnel接口后，先做的操作其实是gre的封装，然后该流量到达与ipsec绑定的相关物理接口并进行相关的ipsec的隧道封装。其实无论有没有gre的封装，ipsec的对原生报文的改造都是一样的，如果是传输模式，那么它就会在原生报文的IP首部后面加入esp首部或者ah首部，如果是隧道模式那就直接在gre封装后的报文前面再封装新的ip首部和esp首部或者ah首部。

安全策略

经过这样一个十分骚气的操作之后，安全策略该如何设置？首先为了建立ipsec隧道，我们必须放行端口为500，untrust<--->local之间的流量。同时在流量查找路由表后发现，目的接口时tunnel接口时，会确定流量的源目区域，此时我们必须放行流量源区域到tunnel接口所在区域的流量， 一般是放行内部主机的trust区域到tunnel接口的untrust区域的流量。然后为了使得加密后的流量可以被防火墙接收处理，我们必须放行untrust<--->local,且协议是esp或者ah的流量，这样就可以满足整个数据交互。如果你将tunnel接口放在dmz区域，那么其报文的互相传递将会变得异常复杂，因为涉及的区域又trust，untrust，以及dmz，为了细化策略而且你还需要考虑到其中使用到的协议，总的来说就是很麻烦啦。

如果你不想全部的流量都变为gre over ipsec，那么你就不把全部的流量都引入tunnel接口中就可以了，因为在这种网络场景下，只要流量进入了tunnel接口就意味着流量会经过gre协议的封装然后再经过ipsec的封装。所以只要流量不进入tunnel口，就不会被封装为gre over ipsec，那么剩下的流量自然就直接从物理接口出去了，如果匹配了ipsec的感兴趣流，那么就会被ipsec隧道封装，如果没有匹配上，那就直接正常转发了。