如果第二阶段未完成，asa会通过与加密映射条目匹配的通信量吗？

Question

我有两个具有可公开路由的ipv6地址的ASA，每个站点都有一个/56。由于我们将在某个时候为所有用户在内部推出ipv6，所以如果通信量与加密图匹配，我非常希望防止数据包从ASA未加密的位置退出。

我还没有真正测试过这个场景，但是如果IPSec SA没有被钉牢，数据包会不会在没有加密的情况下从外部接口路由出去呢？

我知道在ScreenOS上有一种方法可以确保这种情况不会通过空路由实现--在出站接口上路由对方的子网，但是我还没有在ASA上尝试过这一点，我很好奇是否还有其他人有输入。在ScreenOS中，vpn成为一个接口，因此更容易说“从外部路由子网”，但我想知道这样做是否会导致ASA在到达ipsec引擎之前将数据包路由到Null0。

注意:我之所以不能测试这一点，是因为我需要升级ASA版本以解决这个问题(CSCuj23318)。

Answer 1

如果通信量与Crypto ACL匹配，ASA将尝试调出第2阶段(如果第1阶段尚未启动)。如果构建尝试失败，则不会有任何通信量到达外部接口。