我正在尝试测试从远程对等站点(使用数据包跟踪器)(IPSec 站点到站点 VPN)传入的 ACL,我想知道在这种情况下检查了哪些接口 ACL 以及我使用哪个接口进行数据包跟踪器命令?
如果传入 IP 是通过站点到站点隧道传入的,它们是否会访问内部接口的 ACL?提前致谢!
ASA 如何查看来自远程站点到站点对等方的数据包?作为内部还是外部?
网络工程
思科
虚拟专用网
2021-07-07 08:11:07
1个回答
它们源自外部接口。这是我通过 L2L 连接的国际站点的 NAT 条目之一:
nat (inside-office,ISPA) source static Corporate Corporate destination static France France no-proxy-arp route-lookup
ISPA -> 对大多数人来说翻译为外部,0 安全接口
公司 -> 包含本地/MPLS 子网的对象组网络
法国 -> 包含远程站点子网的对象组网络
这也适用于 ACL。但是,您将需要使用:
no sysopt connection permit-vpn
否则 VPN 流量将绕过 ACL。
但是,您可以使用 VPN 过滤器而不是在接口上放置 ACL 并避免关闭该sys opt connection permit-vpn选项。
示例可以在这里找到:http : //www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00808c9a87.shtml#configs