如果第 2 阶段未完成,asa 是否会通过与加密映射条目匹配的流量?

网络工程 思科-ASA IPv6 ipsec
2022-02-22 13:15:19

我有两个具有可公开路由的 ipv6 地址的 ASA,每个站点都有一个 /56。由于我们将在某个时候在内部为所有用户推出 ipv6,我真的很想防止数据包在未加密的情况下从 ASA 中流出,如果流量与密码映射匹配。

我还没有实际测试过这种情况,但是如果 IPSec SA 没有确定,数据包会在没有加密的情况下路由到外部接口吗?

我知道在 ScreenOS 上,有一种方法可以通过在出站接口上对对方子网进行空路由来确保不会发生这种情况,但我还没有在 ASA 上尝试过这个,我很好奇是否有其他人有输入。在 ScreenOS 中,vpn 成为一个接口,因此更容易说“空路由外部子网”,但我想知道这样做是否会导致 ASA 在数据包到达 ipsec 引擎之前将其路由到 Null0。

注意:我无法对此进行测试的原因是我需要升级我们的 ASA 版本才能解决的错误 (CSCuj23318)

1个回答

如果流量与加密 ACL 匹配,则 ASA 将尝试启动第 2 阶段(如果尚未启动,则尝试启动第 1 阶段)。如果构建尝试失败,则不会有流量到达外部接口。

其它你可能感兴趣的问题
上一篇POE+ 设备是否在 POE 交换机上运行? 下一篇两个路由器可以在同一个IP范围内吗?