业务需要，需要对接业务方IPsec。

本地网络环境：ROS+华为S5700三层交换机+傻瓜交换机

ros内网地址192.168.26.1/24，与S5700连接的vlanif26地址是192.168.26.2，s5700上的其他vlanif（本例用192.168.23.0/24）通过vlanif26上网，这些基本的东西就不多说了~

ros配置IPsec，本地子网为192.168.26.0/24，对端子网为172.16.207.0/24，具体配置如下：

policy

proposal

peer

identity

profile

以上根据对端的实际情况设置相应的参数即可~

接下来，在ip-firewall-nat中增加一条：

即让本地26网段到对方网段的流量不通过nat上网~

截止到现在，ros的26网段是可以正常访问对端子网了，但是如果想要三层交换机后面的192.168.23.0/24网段能够通过IPsec隧道访问对方网络，需要增加一个src-nat，

下面这行是关键：

该配置意思就是让本地23段的请求先通过ros的192.168.26.1伪装下，这样IPsec中的策略就可以起作用，让23段正常访问对端网络了~