Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet
17-46
思科 ASA 系列命令参考,S 命令
第 17 章 subject-name 至 sysopt radius ignore-secret 命令
sysopt connection permit-vpn
sysopt connection permit-vpn
对于通过
VPN 隧道进入 ASA 然后被解密的流量,可在全局配置模式下使用 sysopt connection
permit-vpn
命令来允许这些流量绕过接口访问列表。组策略和每个用户的授权访问列表仍适用于
此类流量。要禁用此功能,请使用此命令的
no 形式。
sysopt connection permit-vpn
no sysopt connection permit-vpn
语法说明
此命令没有任何参数或关键字。
默认值
默认情况下启用此功能。
命令模式
下表展示可输入此命令的模式:
命令历史
使用指南
默认情况下,
ASA 允许 VPN 流量在 ASA 接口上中断;您无需在接口访问列表中允许 IKE 或 ESP
(或者其他
VPN 数据包类型)。默认情况下,您也不需要对解密 VPN 数据包的本地 IP 地址使用
接口访问列表。由于通过
VPN 安全机制成功中断了 VPN 隧道,因此,此功能可简化配置和最大
程度地提高
ASA 性能,而且不会带来任何安全风险。(组策略和每个用户的授权访问列表仍适
用于此类流量。)
通过输入
no sysopt connection permit-vpn 命令,可以要求将接口访问列表应用于本地 IP 地址。
要创建访问列表并将其应用于接口,请参阅
access-list 和 access-group 命令。访问列表适用于本
地
IP 地址,但不适用于在 VPN 数据包解密之前使用的原始客户端 IP 地址。
示例
以下示例要求解密
VPN 流量符合接口访问列表:
ciscoasa(config)# no sysopt connection permit-vpn
命令模式
防火墙模式
安全情景
路由
透明
单个
多个
情景
系统
全局配置
•
是
•
是
•
是
•
是
—
版本
修改
7.0(1)
现在,此命令在默认情况下已启用。此外,此命令现在仅允许绕过接口
访问列表;组策略或每个用户的访问列表仍保持有效。
访问列表;组策略或每个用户的访问列表仍保持有效。
7.1(1)
此命令从
sysopt connection permit-ipsec 更改为现在的形式。
9.0(1)
增加了多情景模式支持。