SVN5880访问控制策略组无法控制L2TP拨入用户

发布时间:  2017-03-07 浏览次数:  82 下载次数:  0
问题描述

SVN5880版本v200r003c10spc100,组网为典型案例中的单臂旁挂于核心交换机。

故障现象:虚拟网关下的访问控制策略组无法控制L2TP over IPsec拨入用户的流量。

告警信息

N/A

处理过程

1、首先查看访问控制策略组及相应用户下的配置:



2、相关配置仅允许L2TP用户访问特定内网地址,其它地址全部限制访问;实际L2TP使用过程中用户能访问所有内网网段(测试在手机上进行,其访问的地址为内部多台设备的管理地址,均可成功接入)。

3、经确定,目前SVN的访问控制策略只对SSL接入的用户生效,对L2TP接入的用户不生效。

根因

SVN的访问控制策略只对SSL接入的用户生效,对L2TP接入的用户不生效。

解决方案

1、因SVN5880还具有防火墙的功能,我们可以通过安全策略来控制L2TP用户的流量,配置如下:


因场景为单臂旁挂于交换机,业务口划分至trust域,同时L2TP的interface virtual-template默认也是自动加入到trust域,故策略源目安全域均为trust。首先创建一条放行策略,允许L2TP用户访问内网相关网段;然后在该策略之后创建一禁止L2TP用户访问其它网段的策略。配置完成后测试,L2TP仅能访问放行网段,成功控制其流量。

建议与总结

1、L2TP用户访问控制无法在虚拟网关下单独进行限制,希望对产品能进行改善。

2、日常使用限制L2TP用户流量时,需在全局写策略,要注意策略顺序,并保证存在禁止策略拒绝不希望出现的流量。

END