请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 398|回复: 2

【原创】如何设置anyconnect账户,使指定账户只访问指定服务器

[复制链接]
发表于 2018-12-1 23:10:40 | 显示全部楼层 |阅读模式
一、需求:

如何利用anyconnet 指定账户只访问指定服务器,例如user1只可访问server1;user2只可访问server2。

二、两种解决方案:

1/ Group-policy general attribute下添加vpn-filter+DAP
2/ Username attribute下添加vpn-filter

三、两种方案预设配置:

---------------------
1. webvpn config
---------------------
webvpn
enable inside
anyconnect image disk0:/anyconnect-win-4.6.01103-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable

---------------------
2. ip local pool
---------------------
ip local pool VPN-POOL 192.168.1.1-192.168.1.254 mask 255.255.255.0

---------------------
3. SSL-ACL config:
---------------------
access-list SSL-ACL1 extended permit ip any host 10.1.1.1        //for user1 visit server1
access-list SSL-ACL2 extended permit ip any host 10.1.1.2        //for user2 visit server2

---------------------
4. group-policy
---------------------
group-policy SSL-POLICY1 internal
group-policy SSL-POLICY1 attributes
vpn-tunnel-protocol ssl-client ssl-clientless
address-pools value VPN-POOL
-----------------------------------------------------
group-policy SSL-POLICY2 internal
group-policy SSL-POLICY2 attributes
vpn-tunnel-protocol ssl-client ssl-clientless
address-pools value VPN-POOL

---------------------
5. tunnel-group
---------------------
tunnel-group SSL-TUNNEL1 type remote-access
tunnel-group SSL-TUNNEL1 general-attributes
default-group-policy SSL-POLICY1
tunnel-group SSL-TUNNEL1 webvpn-attributes
group-alias SSLVPN1 enable
-----------------------------------------------------
tunnel-group SSL-TUNNEL2 type remote-access
tunnel-group SSL-TUNNEL2 general-attributes
default-group-policy SSL-POLICY2
tunnel-group SSL-TUNNEL2 webvpn-attributes
group-alias SSLVPN2 enable

---------------------
6. user attributes
---------------------
username user1 password cisco
username user1 attributes
service-type remote-access
-----------------------------------------------------
username user2 password cisco
username user2 attributes
service-type remote-access

四、具体方案

方案1:

1/ 在group-policy下添加vpn-filter

group-policy SSL-POLICY1 attributes
vpn-filter value SSL-ACL1

group-policy SSL-POLICY2 attributes
vpn-filter value SSL-ACL2

2/ 在DAP中分别添加aaa attribute,如下图:

1. 添加DAP策略(参考图1-1)


2. 配置DAP策略,主要添加“Group Policy”和“Username”两个过滤条件(参考图1-2)




方案2:

1/ 在username attribute下添加vpn-filter
username user1 attributes
vpn-filter value SSL-ACL1

username user2 attributes
vpn-filter value SSL-ACL2

五、需要注意的问题:

1/ 第二种方案,不管group-alias下拉列表选什么,user都可以登录(因为 username attribute 下没有tunnel-group  webvpn-attributes/group-alias选项),但具体访问策略依然还是要看user下的vpn-filter value;

2/ 第二种方案,如果对group-alias下拉列表严格要求(即group-alias1只有使用user1来登录),请采用第一种方案。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
发表于 2018-12-3 22:25:56 | 显示全部楼层
感觉还是通过acs/ise实现方便一点=_=
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-12-4 08:16:44 来自手机 | 显示全部楼层
gengchunlin 发表于 2018-12-3 22:25
感觉还是通过acs/ise实现方便一点=_=

确实,像这种需求,通常使用AAA server实现。不过当时客户咨询ASA是否可以实现此需求。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-12-12 19:05 , Processed in 0.083007 second(s), 34 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表