Cisco
使用 IPSEC 隧道將埠轉發添加到 ASA5505
我在現場有一個 8.2 的 ASA 5505 已經在工作。它有兩個介面,LAN/inside 和 WAN/outside。從本地 ASA 的外部介面到遠端 F/W 的外部介面(在本地內部主機 .1/32 和遠端內部主機 .1/32 之間)配置了 L2 站點到站點 IPSec 隧道。
我想為單個埠啟用埠轉發到本地 ASA 的外部 IP 以轉發到內部主機 .2
如果我在 CLI 中應用以下配置,這是否會在不中斷 IPSec 隧道的情況下允許所需的流量?我是 ASA 的新手,不想阻止所需的埠 (UDP 500/4500) 訪問外部介面和 IPSec 隧道的出現或類似情況。
access-list outside_access_in extended permit tcp any interface outside eq 555 static (inside,outside) tcp interface 555 192.168.0.2 555 netmask 255.255.255.255
目前沒有 outside_access_in 所以如果我添加它,它會在之後實現隱式拒絕並停止 IPSec 隧道嗎?
幾乎 - 您還需要一個
access-group
命令才能將其應用於介面的入站流量。和不; 您已經擁有的
crypto isakmp enable outside
應該是保持 VPN 正常執行所需的全部內容。考慮您目前的配置 - 假設您的外部介面是最低安全級別,那麼該介面上的策略已經設置為隱式deny any any
.不過,也許可以在下班時間關閉開關,以防萬一您的配置有一些我不認為會破壞它的東西。