看到这个：当同时存在 VPN 和路由时，ASA 数据包处理顺序是什么？

文件资料：

• 未加密的数据包通过本答案底部部分引用的数据包过程。它们必须是现有连接的一部分，或者具有允许它们进入的接口 ACL，否则它们将被丢弃（它们也可能因其他原因被丢弃）。
• 加密数据包绕过接口 ACL，但仍受与其隧道关联的 ACL 约束。加密数据包的隧道（以及哪些 ACL 相关）由数据包匹配的密码映射确定。

基于上面链接的答案的结论：

• 加密的数据包经过两次数据包过程，第一次绕过接口 ACL，然后第二次匹配隧道 ACL，因此不会被丢弃。在第二次传递时，它通过作为 VPN 配置一部分的“nat 0”命令传递过程中的 NAT 步骤。
• 据我所知，安全级别在 ASA 中实际做的唯一事情是导致为从高安全性到低安全性接口的流量创建默认的“允许任何到任何”ACL。在数据包处理期间，不会根据安全级别检查数据包，而是根据 ACL 检查数据包。似乎安全级别只是帮助管理员了解 ASA 开箱即用的工作原理的一种结构。

见下文，所有重点都是我的：

对于入站加密数据包，安全设备使用源地址和 ESP SPI 来确定解密参数。安全设备解密数据包后，会将解密数据包的内部标头与与数据包 SA 关联的ACL 中的 permit ACE 进行比较。如果内部标头无法与代理匹配，则安全设备会丢弃数据包。如果内部标头与代理匹配，则安全设备会路由数据包。

...

默认情况下，ASA 允许 IPsec 数据包绕过接口 ACL。[...] IPsec 验证和解密从 IPsec 隧道到达的数据包，并根据与隧道关联的ACL对它们进行评估。

来源

1. 数据包在入口接口处到达 [原文如此]。
2. 一旦数据包到达接口的内部缓冲区，接口的输入计数器就会加一。
3. Cisco ASA 首先查看其内部连接表详细信息，以验证这是否是当前连接。如果数据包流与当前连接匹配，则绕过访问控制列表 (ACL) 检查并向前移动数据包。
4. 如果数据包流与当前连接不匹配，则验证 TCP 状态。如果它是 SYN 数据包或 UDP（用户数据报协议）数据包，则连接计数器加一并发送数据包进行 ACL 检查。如果它不是 SYN 数据包，则丢弃该数据包并记录该事件。
5. 数据包按照接口 ACL 进行处理...

来源

VPN 绕过 ASA 的安全级别功能/组件，因此安全级别规则不适用于它。