前面通过IKE已经协商出IPSec SA了，现在需要对分支间的数据进行保护，哪些流量需要进行加密保护呢？我们需要通过一些方式来进行定义。

IPsec是基于定义的感兴趣流触发对特定数据的保护，可以通过以下两种方式定义：

• ACL方式，由ACL来指定要保护的数据流范围，筛选出需要进入IPsec隧道的报文。
• 路由方式，通过IPsec虚拟隧道接口建立IPsec隧道，将所有路由到IPsec虚拟隧道接口的报文都进行IPsec保护。

ACL可以更加精细控制源目地址、源目端口等流量，路由方式比较便捷，但是需要创建tunnel隧道接口方式来实现，支持动态路由协议。

通过IKE协商出IPSec SA秘钥，通过ACL或者路由匹配到感兴趣流量，最后将IPSec策略应用到指定的接口就可以实现IPSec VPN了。

总结：通过IKE协商SA，IKE分v1和v2，一般情况下我用的应该是v1，v2可以快速协商出SA，然后通过ACL或者路由定义感兴趣流量，将IKE提议、IPSec提议、创建IPSec策略、应用到接口串联起来就可以实现IPSec VPN的应用了，其实就是理论比较复杂，实际配置不算太难。