先说故障现象：
可能存在的现象1，
环境：A和B使用ASA建立ipsec vpn。
问题：A站点内部的主机能通过VPN访问B站点内部的主机，但是无法访问B点ASA的inside接口IP
可能存在的现象2，
环境：C和D使用ASA建立ipsec vpn。且在D内部有多个security-level 100的区域inside1、inside2、inside3。
问题：C只能访问到其中其中一个inside1区域的主机；inside2、inside3区域不通。
原因：nat赦免没有加route-lookup

nat (inside,outside) source static INISIDE-NET INISIDE-NET destination static REMOTE-NET REMOTE-NET route-lookup

分析：
查了google发现，当数据包发送到目的地时，ASA会查找所需的出口接口，或者在我们的NAT规则中指定的“outside”接口，而不是查询路由表。
指定route-lookup命令会告诉ASA查看条目的路由表，然后相应地转发数据包。
在比较早的ASA版本是默认查询路由表的。新版需要手动指定。
有关现象2 是我之前在社区求助过。
详细可以看这个帖：http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=969113
欢迎交流