首页 操作手册 管理咨询 软件技术 互动问答 视频教程 软件下载 关于名易

     当前位置:首页>管理咨询>网络管理维护技巧:如何限制拨入VPN用户的访问权限 查询:
     
网络管理维护技巧:如何限制拨入VPN用户的访问权限

        测试环境:ASA5520asa723-18-k8.bin:使用如下配置完全满足需求,当用户拨入VPN后只能访问内部资源,不能访问外部资源

        但用这个配置模板,到正式环境,就死活限制不了拨入的VPN用户访问互联网!

        ====================================================================================================

        测试环境:ASA5520asa723-18-k8.bin

        tunnel-grouptestzttypeipsec-ra

        tunnel-grouptestztipsec-attributes

        pre-shared-key*

        group-policyzttestinternal

        group-policyzttestattributes

        vpn-simultaneous-logins100

        vpn-idle-timeoutnone

        vpn-session-timeoutnone

        vpn-filtervaluedeny-access-internet

        split-tunnel-network-listvalueDeny-access-internet

        access-listdeny-access-internetextendedpermitip192.168.1.0255.255.255.0200.1.0.0255.255.0.0

        access-listdeny-access-internetextendedpermitip192.168.1.0255.255.255.0172.25.90.0255.255.255.0

        access-listdeny-access-internetextendedpermitip192.168.1.0255.255.255.0100.1.0.0255.255.0.0

        access-listdeny-access-internetextendeddenyip192.168.1.0255.255.255.0any

        access-listDeny-access-internetextendedpermitip172.25.90.0255.255.255.0192.168.1.0255.255.255.0

        access-listDeny-access-internetextendedpermitip100.1.0.0255.255.0.0192.168.1.0255.255.255.0

        access-listDeny-access-internetextendedpermitip200.1.0.0255.255.0.0192.168.1.0255.255.255.0

        access-listDeny-access-internetextendeddenyipany192.168.1.0255.255.255.0

        usernamekakakapassword69eXZQeiMSKhVvOtencrypted

        usernamekakakaattributes

        vpn-group-policyzttest

        vpn-tunnel-protocolIPSec

        vpn-framed-ip-address192.168.1.100255.255.255.0

        测试成功:用户kakaka只能访问内网,不能访问互联网

        =================================================================================[netxpage]

        正式环境:ASA5540asa723-18-k8.bin

        tunnel-grouptestzttypeipsec-ra

        tunnel-grouptestztipsec-attributes

        pre-shared-key*

        group-policyzttestinternal

        group-policyzttestattributes

        vpn-simultaneous-logins100

        vpn-idle-timeoutnone

        vpn-session-timeoutnone

        vpn-filtervaluedeny-access-internet

        split-tunnel-network-listvalueDeny-access-internet

        access-listdeny-access-internetextendedpermitiphost172.25.230.188172.0.0.0255.0.0.0

        access-listdeny-access-internetextendedpermitiphost172.25.230.18810.0.0.0255.0.0.0

        access-listdeny-access-internetextendeddenyiphost172.25.230.188any

        access-listDeny-access-internetextendedpermitip172.0.0.0255.0.0.0host172.25.230.188

        access-listDeny-access-internetextendedpermitip10.0.0.0255.0.0.0host172.25.230.188

        access-listDeny-access-internetextendeddenyipanyhost172.25.230.188

        usernamekakakapassword69eXZQeiMSKhVvOtencrypted

        usernamekakakaattributes

        vpn-group-policyzttest

        vpn-tunnel-protocolIPSec

        vpn-framed-ip-address172.25.230.188255.255.255.0

        测试失败:用户kakaka既能访问内网,又能访问互联网,晕,没有限制住!

        解决方法:我在5540设备上的group-policyzttestattributes中添加了

        split-tunnel-policyexcludespecified,就OK了,限制了用户访问互联网,只能访问内网

        此命令的意思:Excludeonlynetworksspecifiedbysplit-tunnel-network-list(排除上公网的用户)

         

IT主管须谨记的19条军规IT运维管理为何陷入人力成本困境?
HR必知的三种薪酬设计理念网管经验实例:交换机频繁掉线的分析与解决
提升虚拟化网络性能管理的三个技巧十个云计算的常见疑惑问题
透明化是IT运维管理的关键网络管理员经验之谈:如何布控修企业监控
如何制定新员工培训计划方案IT运维管理经验之路由器都限速如何设置
两招解决IT运维日志管理难题网络运维管理技巧之:小处着眼 降低企业网络运维工作负担
山东电力开启IT运维管理“智能模式”专家剖析:网络虚拟化的本质与泡沫
综合布线如何防护电磁干扰数据中心管理者必备的交换机高级功能
信息发布:广州名易软件有限公司 http://www.myidp.net
更多
版权所有:广州名易软件有限公司(www.myidp.net)    销售热线:19927081598    技术支持:13332852796    粤ICP备16028553号
  • 名易软件销售服务
  • 名易软件销售服务
  • 名易软件技术服务

  • 网络管理维护技巧:如何限制拨入VPN用户的访问权限,网络管理维护技巧:如何限制拨入VPN用户的访问权限