解决不同L2TP VPN用户拨入后访问不同的服务器问题.

发布时间:  2013-06-27 浏览次数:  236 下载次数:  0
问题描述

   某局点客户希望通过建立L2TP VPN 来实现从公网上拨入的客户访问内网的服务器.实施配置后,发现功能有纰漏,不能完全实现需求.
内网有两个服务器对外提供服务.客户希望从公网上通过L2TP vpn拨号上来分别访问这两台服务器.


   服务器A只允许L2TP VPN用户域名后缀为@huawei.com的访问.

   服务器B只允许L2TP  VPN用户域名后缀为@hw.com的访问.

客户做了配置后,发现用户拨上来后,是可以访问服务器了.但不能限制特定域名只能访问指定服务器的需求.

    域名为@huawei.com的用户改个domain后缀就可以访问服务器A.域名为@hw.com的用户改个后缀doman也可以访问服务器B.

这样没有实现隔离访问的效果.

 

告警信息
处理过程
客户L2TP VPN 配置不变,需要增加的配置如下:

1.分别在AAA中绑定用户和IP.

[USG5360-aaa]local-user test@huawei.com l2tp-ip 192.168.100.12
[USG5360-aaa]local-user test@hw.com l2tp-ip 192.168.110.12

2.在域间配置限制策略

[USG5360-policy-interzone-trust-untrust-inbound]policy 0

[USG5360-policy-interzone-trust-untrust-inbound]policy source 192.168.100.0 0.0.0.255 destination 1.1.1.1 //服务器A

[USG5360-policy-interzone-trust-untrust-inbound]action permit

[USG5360-policy-interzone-trust-untrust-inbound]policy 1

[USG5360-policy-interzone-trust-untrust-inbound]policy source 192.168.100.0 0.0.0.255

[USG5360-policy-interzone-trust-untrust-inbound]action  deny

[USG5360-policy-interzone-trust-untrust-inbound]policy 2

[USG5360-policy-interzone-trust-untrust-inbound]policy source 192.168.110.0 0.0.0.255 destination 2.2.2.2 //服务器B

[USG5360-policy-interzone-trust-untrust-inbound]action permit

[USG5360-policy-interzone-trust-untrust-inbound]policy 3

[USG5360-policy-interzone-trust-untrust-inbound]policy source 192.168.110.0 0.0.0.255

[USG5360-policy-interzone-trust-untrust-inbound]action deny


配置后就可以实现域名为@huawei.com的用户只能访问服务器A 域名为@hw.com的用户只能访问服务器B.

问题解决.


根因
没有配置详细的限制策略.
建议与总结

END