2013年9月25日 星期三

VPN Public IP Address 連線限制

現在有一個需求要限制ASA 5510的VPN使用者連入連線
除了特定指定的Public IP address可以連線以外,其他的使用者一概不給連
用戶端使用anyconnect進行連線

我們需要下達以下指令範例
issue the following command:  

'no sysopt connection permit-vpn' (此行為關鍵性指令)

access-list webvpn-portal line 1 extended permit tcp 61.218.6.16 255.255.255.240 host 210.243.112.176 eq https
access-list webvpn-portal line 2 extended permit udp 61.218.6.16 255.255.255.240 host 210.243.112.176 eq 443
access-list webvpn-portal line 3 extended deny ip any host 210.243.112.176

如此一來就能同時限制TCP與UDP的連線在某一個特定網段的Public IP Address才給予連線。