ASA共支持兩種same-security-traffic,它們應用場景是
1:相同的security-level 不同的接口
2:相同的接口之間的流量:cisco稱爲IPSEC hairpinnig,主要定義爲在IPSEC ***中。
描述:在使用IPSEC ***中沒有使用隧道分割,或者不讓使用隧道分割,要求所有的流量都要從ASA走。
2又包含兩個場景:a:一個client (***)到另一個client(***)
b:一個client(***)到public Server,即client撥入到ASA是加密流量,ASA又從out interface 到public server此爲非加密流量。
對於2:解決方案是 same-security-traffic permit intra-interface
ip local pool ippool 192.168.0.0 255.255.255.0 IPSEC ***定義的地址池:
nat (outside)1 192.168.0.0 255.255.255.0 ipsec ***撥進來又要從ASA outside接口出去
global (outside)1 interface
同時原ASA的內網要上網
nat (inside)1 10.1.1.0 255.255.255.0