Fråga : Cisco VPN och kluvet gräva

Hi alla,
som jag har en utfärda med en ny remtoe att ta fram Cisco VPN, ställer in. Det behöver att vara en nätt säker anslutning, så jag önskar endast att folket på denna VPN-grupp ska ha att ta fram till bestämda portar. Nedanfört är ett meddelande för min kluvna tunnel acl, och det fungerar fint ingen tillståndip för problems.

extended varar värd 192.168.100.2 10.254.254.0 255.255.255.0

but som jag önskar att låsa den besegrar, så VPN-användarena på 10.254.254.0 kan endast ha att ta fram för att port 80 på 192.168.100.2 så, när jag tar bort härska över och byter ut den med efter härska jag kan endast longer ta fram det port tillstånd tcp för 80

extended varar värd 192.168.100.2 10.254.254.0 255.255.255.0 eq 80

Can, någon förklarar vad jag kan göra orätt i detta fall? Usisng för förmiddag I 515 Pix på versionen 7.2 " klar "

Svar : Cisco VPN och kluvet gräva

En annan lösning kan använda vpn-filtrerar:

ta fram-lista filtrerar tillstånd tcp 10.254.254.0 255.255.255.0 varar värd 192.168.100.2 eq 80
ta fram-lista filtrerar förnekar tcp 10.254.254.0 255.255.255.0 varar värd 192.168.100.2
ta fram-lista filtrerar någon tillståndip any

Anta den u r using DfltGrpPolicy som gruppera-politiken för fjärrkontroll-ta fram:

gruppera-politik DfltGrpPolicy attribut
 vpn-filtrera filtrerar

Fördelen av att använda vpn-filtrerar är att den ska låter inte ens förnekat trafikerar för att gå till lokalen knyter kontakt. Eftersom i den annan metoden, endast svaret från lokal-knyta kontakt förnekas. Lokalen knyter kontakt ska fortfarande får förfrågan som betyds för att förnekas.