Cisco ××× 完全配置指南-连载-PIX和ASA站点到站点的连接
20054月,思科为PIX安全设备介绍了一个新版本的精密操作系统(FOS),称为7.0,当前这个版本只在515/515E PIX和更高端的设备上支持,同样的,在20055月,思科介绍了新的适配器安全设备(ASA),它支持在一台设备中所有的PIX×××集中器、路由器和IDS的特性。501506/506EPIX只支持FOS6.3的软件。
一、ISAKMP/IKE阶段1管理连接
1、允许IPSec的流量
ASA/PIX设备上,不同于路由器上,在这里配置的第一个任务是允许IPSec会话的流量进行到ASA/PIX。因为在安全设备上,接口被分配安全级别,并基于安全级别的配置,默认情况下,流量是不允许从低安全级别向高安全级别流动的,在许多情况下,IPSec会话的流量将终止在设备的外部接口上,从FOS的角度来看,是最不安全的接口。
可以使用两种方法允许×××流量从一个不安全的接口进入或穿越ASA/PIX的更安全的接口。
Ø  访问控制列表
Ø  ACL旁路
1)使用ACL允许IPSec的流量
 
详细内容见附件