crypto map acl和接口acl为什么分开？

总的来说，cry map在接口acl之前先被检查，来撞击感兴趣流。对入站感兴趣流匹配并标记加密流，cry map来丢弃明文的入站感兴趣流，因为可能是被伪装的，之后对于入站流量来说，检查接口acl，来放行加密流和明文的其他被允许流量，同时，如果对于加密流，因为之前是加密的，所以并不知道加密的内容，解密后，或许可能对内容有限制，所以进行解密，然后去匹配cry map acl，12.3之前将两个acl由接口acl同时执行，这就会在远程接入vpn中出现问题：接入前，由于中心站点并不知道接入客户端的地址，因此在配置ipsec的时候使用的是动态的cry map，并没有指定感兴趣流，也无法知道感兴趣流，因此cry map即使应用在了接口，也不能执行丢弃明文感兴趣流的功能，同样是因为基于动态cry  map的cry map并不知道感兴趣流，但两个acl都由接口acl执行时，j接口acl里会放行解密后的感兴趣流条目，实际上就是感兴趣流的源目地址，但cry map正如刚才说的，没法检查并丢弃可能是伪装的明文感兴趣流，因此一定会放行这个明文的感兴趣流，造成安全漏洞，因此，12.4之后的版本将两个acl功能分开，使得明文感兴趣流匹配cry map时就被丢弃，完善了安全功能。cry map是对出站感兴趣流匹配并加密作用，同样，12.4 之后将感兴趣流的匹配过程和加密流以及其他明文放行流量也是分开执行的。

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_crypto_ac_clrtxt_ps6350_TSD_Products_Configuration_Guide_Chapter.html