IPsec网络拓扑技术讲解：

1、AR1、AR3两者互相构成IPsec的两端，它们之间的报文是加密的，用esp协议；

2、把AR2当成“公网的云”，还必须使得PC能够访问AR2的g0/0/0和g0/0/1接口，必须在AR1、AR3的、已经配置了IPsec的出接口上同时配置“NAT”，而且要注意NAT的优先级比IPsec高！

3、所以关联NAT的acl 3001的规则，必须把 deny 对方PC的规则写在“rule permit ip”前面；

4、本质上是，分别对【经过AR1、AR3，两个PC之间互相访问的IPsec流量】 和【PC访问中间“公网云(用AR2代替)”的正常流量】区别对待！