ASA共支持两种same-security-traffic,它们应用场景是

1:相同的security-level 不同的接口

2:相同的接口之间的流量:cisco称为IPSEC hairpinnig,主要定义为在IPSEC ×××中。

描述:在使用IPSEC ×××中没有使用隧道分割,或者不让使用隧道分割,要求所有的流量都要从ASA走。

2又包含两个场景:a:一个client (***)到另一个client(***)

b:一个client(***)到public Server,即client拨入到ASA是加密流量,ASA又从out interface 到public server此为非加密流量。

对于2:解决方案是 same-security-traffic permit intra-interface

ip local pool ippool 192.168.0.0 255.255.255.0 IPSEC ***定义的地址池:

nat (outside)1 192.168.0.0 255.255.255.0 ipsec ***拨进来又要从ASA outside接口出去

global (outside)1 interface

同时原ASA的内网要上网

nat (inside)1 10.1.1.0 255.255.255.0

 

 

 

ASA same-security-traffic_第1张图片