Что произойдет, если существует статический маршрут, сообщающий пакету о переходе на routerA, но есть также криптокарта, указывающая пакету пройти через VPN? Будет ли он сначала попадать в таблицу маршрутизации или проходить через VPN-туннель?
Таблица маршрутизации используется первой. Он нужен ASA, чтобы определить, через какой интерфейс будет выходить пакет. Практически все зависит от этого интерфейса (правила NAT, криптокарты, исходящие ACL-списки, когда они используются), поэтому его необходимо сначала найти.
Как только исходящий интерфейс известен, ASA проходит (в этом порядке) ACL, проверяет, исключения NAT, NAT, VPN.
Вот сложная часть взаимосвязи между таблицей маршрутизации и VPN. Любой пакет, который будет установлен через туннель, фактически дважды взаимодействует с таблицей маршрутизации: сначала, когда он не зашифрован и межсетевой экран определяет интерфейс, а затем в зашифрованном виде, когда межсетевой экран отправляет его своему партнеру VPN. Очевидно, что второй маршрут ищется на основе маршрутизации VPN-партнера, а не на основе IP-заголовков исходного пакета, поэтому на самом деле он может быть другим.
Кстати, вы сможете лучше понять все это, если запустите Packet Tracer в ASDM.