cisco asa +动作删除问题

Question

已经在10.x.y.z网络和122.a.b.c之间创建了一个隧道，..the隧道已经启动并处于活动状态，但是当我尝试数据包跟踪器输出时，..I得到了作为drop的ACTION。我还启用了same-security-traffic permit intra-interface。有人能帮我一下这滴水是什么意思吗？

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

包跟踪器输出

@Shane Madden:请在数据包跟踪器输出下面找到。

CASA5K-A#
CASA5K-A# config t
CASA5K-A(config)# packet-tracer input inside tcp 10.x.y.112 0 122.a.b.c 0

Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   0.0.0.0         0.0.0.0         outside

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

CASA5K-A(config)#

========================================================================

访问组如下：

访问-组acl-入站在接口外部访问-组acl-出站在接口内部和

访问列表是

访问列表acl-入站扩展许可证tcp任何gt 1023访问列表acl-出站扩展许可ip对象-组网络源对象

+===================================================================================

@SHANEMADDEN :我看到acl上的hitcount是increased..but，我仍然看到要丢弃的数据包跟踪操作:(

Answer 1

思科L2L VPN的典型问题往往与为您的“有趣”流量设置NAT豁免规则有关。你确认隧道是通过sh ipsec sa和sh isakmp sa开通的吗？您是只使用CLI，还是通过ASDM设置隧道？