我有一個透過 RADIUS/AD 進行身份驗證的 Cisco ASA。我需要為使用者提供 VPN 存取權限,但我想限制他們只能存取一台主機。做這個的最好方式是什麼?
答案1
這是我最終所做的:
建立一個新的群組原則,其中包含僅包含我希望 VPN 使用者存取的主機/網路的分割隧道。然後建立 ACL 以僅允許網路存取您想要的內容。使用下列指令將此 ACL 套用至 GP:vpn-filter value(當您處於 GP 屬性時必須套用此指令)。然後建立一個新的群組隧道並將其連接回新的 GP。現在您可以為該用戶提供新的 PCF,該用戶將被鎖定到您指定的主機/網路。
我希望找到一種解決方案,無需創建新的 GP、TP 和本地 ASA 用戶,但我想這可行。