ASA一般用来VPN建立的终端设备，好多情况是，用户的vpn终端设备放在ASA后面，这样ASA作为VPN中间设备，所有VPN流量需要穿越ASA。当ASA不放行这些流量时，VPN无法正常建立， 如果ASA 在中间， 加密点在两端；必须放行两个加密点间的upd-500和esp-50协议号的流量。
1. 实验场景：
site-1 --- outside --- ASA --- inside --- site-2
站点1和站点2之间建立IPSec VPN连接，此时的VPN需要经过ASA
2. 如果希望 outside 的 site-2 可以发起 IPSec VPN，那么需要放行
* site-1 的加密点 到 site-2 加密点的 isakmp UDP 500 流量
* site-1 的加密点 到 site-2 加密点的 ESP 流量
3. ASA配制 ACL 放行流量
* 配制 ACL：
access-list out extended permit udp host 202.100.1.1 eq isakmp host 202.100.2.1 eq isakmp
access-list out extended permit esp host 202.100.1.1 host 202.100.2.1
* 将ACl应用在outside接口：
access-group out in interface Outside
4. 配置完成后，site-1 外部也可以 发起 访问 site-2 的IPSec VPN流量了