Questione : Cisco VPN e traforo spaccato

Ciao tutto, il
ho un'edizione con una nuova messa a punto di Cisco VPN di accesso del remtoe. Deve essere un collegamento abbastanza sicuro in modo da voglio soltanto la gente su questo gruppo di VPN avere accesso a determinati orificii. Sotto è una dichiarazione per il mio traforo acl di spaccatura ed esso non funziona benissimo ospite 192.168.100.2 del IP del permesso di problems.

extended il

but che di 10.254.254.0 255.255.255.0 voglio chiuderlo a chiave giù in modo da gli utenti di VPN su 10.254.254.0 possono soltanto avere accesso per port 80 su 192.168.100.2 così quando rimuovo la regola qui sopra e la sostituisco con la seguente regola posso soltanto eq più lungo 80

Can di 192.168.100.2 10.254.254.0 255.255.255.0 ospite di tcp del permesso dell'orificio di accesso 80

extended qualcuno spiegare che cosa posso fare male in questo caso? Sono usisng un 515 Pix sulla versione 7.2 class= del

Risposta : Cisco VPN e traforo spaccato

Un'altra soluzione può utilizzare il vpn-filtro:

eq 80 di 192.168.100.2 ospite di tcp 10.254.254.0 255.255.255.0 del permesso del filtro dalla accesso-lista
il filtro dalla accesso-lista nega l'ospite 192.168.100.2 di tcp 10.254.254.0 255.255.255.0
IP qualsiasi c'è ne del permesso del filtro dalla accesso-lista

Ammettere quella u r using DfltGrpPolicy come gruppo-politica per a distanza-accesso:

attributi di DfltGrpPolicy di gruppo-politica
 filtro dal vpn-filtro

Il vantaggio di per mezzo del vpn-filtro è che neppure non concederà ha negato il traffico per andare alla rete locale. Considerando che, nell'altro metodo, soltanto la risposta dalla locale-rete è negata. La rete locale ancora otterrà le richieste che è destinata per essere negata.