如上图,如果在ASA放行ESP流量,则无论是从inside,outside 都可以发起访问,如果要使只能从inside发起访问,则需要用MPF,监控ESP流量。并且使用传统的监控方式无效。 部署方式: 注: 隧道简历需要从内到外发起。隧道建立成功后访问也需要从内到外发起,从外到内的流量只能在ESP表项还生效期间进行。如果需要从外到内建立隧道需要放行UDP500/4500以及ESP流量通过ACL! **
