У меня есть Cisco ASA, который аутентифицируется вне RADIUS / AD. Мне нужно предоставить пользователю доступ к VPN, но я хочу ограничить его доступ только одним хостом. Как лучше всего это сделать?
Вот что я в итоге сделал:
Создайте новую групповую политику с разделенным туннелем только с хостом / сетью, к которой должен получить доступ пользователь VPN. Затем создайте ACL, чтобы разрешить сетевой доступ только к тому, что вы хотите. Примените этот ACL к GP с помощью следующей команды: vpn-filter value (вы должны применить это, когда вы находитесь в атрибутах GP). Затем создайте новый групповой туннель и привяжите его к новому GP. Теперь вы можете предоставить этому пользователю новый PCF, и он будет привязан к указанному вами хосту / сети.
Я надеялся найти решение, в котором мне не пришлось бы создавать нового пользователя GP, TP и локального ASA, но я думаю, это работает.