En los equipos PIX, por arquitectura, existía una restricción que no permitía redirigir el tráfico entrante en un interfaz para ser re-transmitido por esta misma interfaz. A partir de la versión 7.0 para PIX y ASA, se permite esta redirección de tráfico con lo cual podemos tener redes Hub & Spoke entre equipos ASA en VPN/IPSEC. Antes de esta versión en los firewalls de Cisco este tipo de escenarios solo era posible con routers. Para poder habilitar esta opción solo se necesita configurar el siguiente comando global:
same-security-traffic permit intra-interface
Cabe mencionar, que a pesar de esta modificación los equipos PIX y ASA deben ser considerados como equipos de seguridad y no como equipos de ruteo.