网络管理维护技巧:如何限制拨入VPN用户的访问权限
测试环境:ASA 5520 asa723-18-k8.bin: 使用如下配置完全满足需求,当用户拨入VPN后只能访问内部资源,不能访问外部资源
但用这个配置模板,到正式环境,就死活限制不了拨入的VPN用户访问互联网!
====================================================================================================
测试环境: ASA 5520 asa723-18-k8.bin
tunnel-group testzt type ipsec-ra
tunnel-group testzt ipsec-attributes
pre-shared-key *
group-policy zttest internal
group-policy zttest attributes
vpn-simultaneous-logins 100
vpn-idle-timeout none
vpn-session-timeout none
vpn-filter value deny-access-internet
split-tunnel-network-list value Deny-access-internet
access-list deny-access-internet extended permit ip 192.168.1.0 255.255.255.0 200.1.0.0 255.255.0.0
access-list deny-access-internet extended permit ip 192.168.1.0 255.255.255.0 172.25.90.0 255.255.255.0
access-list deny-access-internet extended permit ip 192.168.1.0 255.255.255.0 100.1.0.0 255.255.0.0
access-list deny-access-internet extended deny ip 192.168.1.0 255.255.255.0 any
access-list Deny-access-internet extended permit ip 172.25.90.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list Deny-access-internet extended permit ip 100.1.0.0 255.255.0.0 192.168.1.0 255.255.255.0
access-list Deny-access-internet extended permit ip 200.1.0.0 255.255.0.0 192.168.1.0 255.255.255.0
access-list Deny-access-internet extended deny ip any 192.168.1.0 255.255.255.0
username kakaka password 69eXZQeiMSKhVvOt encrypted
username kakaka attributes
vpn-group-policy zttest
vpn-tunnel-protocol IPSec
vpn-framed-ip-address 192.168.1.100 255.255.255.0
测试成功:用户kakaka 只能访问内网,不能访问互联网
=================================================================================[netxpage]
正式环境: ASA 5540 asa723-18-k8.bin
tunnel-group testzt type ipsec-ra
tunnel-group testzt ipsec-attributes
pre-shared-key *
group-policy zttest internal
group-policy zttest attributes
vpn-simultaneous-logins 100
vpn-idle-timeout none
vpn-session-timeout none
vpn-filter value deny-access-internet
split-tunnel-network-list value Deny-access-internet
access-list deny-access-internet extended permit ip host 172.25.230.188 172.0.0.0 255.0.0.0
access-list deny-access-internet extended permit ip host 172.25.230.188 10.0.0.0 255.0.0.0
access-list deny-access-internet extended deny ip host 172.25.230.188 any
access-list Deny-access-internet extended permit ip 172.0.0.0 255.0.0.0 host 172.25.230.188
access-list Deny-access-internet extended permit ip 10.0.0.0 255.0.0.0 host 172.25.230.188
access-list Deny-access-internet extended deny ip any host 172.25.230.188
username kakaka password 69eXZQeiMSKhVvOt encrypted
username kakaka attributes
vpn-group-policy zttest
vpn-tunnel-protocol IPSec
vpn-framed-ip-address 172.25.230.188 255.255.255.0
测试失败:用户kakaka 既能访问内网,又能访问互联网,晕,没有限制住!
解决方法:我在5540设备上的group-policy zttest attributes 中添加了
split-tunnel-policy excludespecified ,就OK了,限制了用户访问互联网,只能访问内网
此命令的意思:Exclude only networks specified by split-tunnel-network-list(排除上公网的用户)
【推荐阅读】
◆网管软件专区
◆网络管理维护技巧:实现VLAN环境下DHCP服务
◆网管员技巧:学会限制路由器多台电脑上网
◆网络管理维护技巧:路由器故障排除技巧
◆上网行为运维管理专区
本文来自互联网,仅供参考- 1两招解决IT运维日志管理难题
- 2IT运维管理的规划与决策分析如何进行?
- 3企业如何保证IT运维安全
- 4TCP通信中服务器处理客户端意外断开的处理
- 5IT运维管理、ITSM与ITIL三者的四大差异
- 6IT运维管理者如何在DT时代玩转数据分析
- 72013年网络技术趋势:网络管理如何应对云资源
- 8怎样才算是一个合格的IT运维工程师
- 9节能交换机和服务器真的是趋势吗?
- 10上网行为管理系统:超六类网线的四种阻燃等级
- 11大数据中心日常维护工作总结
- 12 网络管理员必懂的路由器基础知识
- 13网络管理员知识:服务器机房维护与管理详谈
- 14高级网管的网络管理经验
- 15IP网络安全管理的主要问题总结
- 16新以太网技术趋势:50G以上以太网还有多远?
- 17如何确保IT系统管理员在五年后有饭碗
- 18运维自动化和SDN将引领2014年运维浪潮
- 19网络管理维护经验之:WLAN密码忘记怎么办?
- 20路由器是如何工作的?
- 21IT运维管理的发展趋势之自动化运维
- 22IT主管须谨记的19条军规
- 23虚拟网络管理面临多种挑战
- 24测量上网行为管理系统性能的三种方法
- 25大数据:IT行业大数据分析人才奇缺
- 26超五类双绞线与六类双绞线区别在哪里?
- 27网络安全管理体系与功能模型
- 28工资核算提升现代经济的运行效率和价值
- 292013年最火和最挣钱的IT职位
- 30新兴数据中心用什么样的网络结构?