防火墙sslvpn客户端拨号绑定mac地址
- 0关注
- 0收藏,716浏览
问题描述:
在资源组的acl里可以限定下mac地址,请问具体如何配置,可以实现限定指定的mac地址的客户端才能拨号,相当于有用户名和密码的情况下,网卡的mac地址正确才能拨号进入
(1) 进入系统视图。
system-view
(2) 进入SSL VPN访问实例视图。
sslvpn context context-name
(3) 创建SSL VPN策略组,并进入SSL VPN策略组视图。
policy-group group-name
(4) 配置下发给客户端的路由表项。
ip-tunnel access-route { ip-address { mask-length | mask } | force-all | ip-route-list list-name }
缺省情况下,未指定下发给客户端的路由表项。
(5) (可选)配置对IP接入进行过滤。
¡ 通过高级ACL方式进行过滤。
filter ip-tunnel [ ipv6 ] acl advanced-acl-number
¡ 通过URI ACL方式进行过滤。
filter ip-tunnel uri-acl uri-acl-name
缺省情况下,SSL VPN网关禁止所有客户端访问IP接入资源。
如果引用的ACL不存在,则SSL VPN网关拒绝所有IP接入方式的访问。
(6) (可选)配置策略组引用的地址池。
ip-tunnel address-pool pool-name mask { mask-length | mask }
缺省情况下,策略组下未引用地址池。
若引用的地址池不存在或无可用地址,分配失败,用户无法通过IP接入。若策略组未引用地址池,则SSL VPN网关将使用SSL VPN访问实例中引用的地址池为客户端分配IP地址。
- 2025-03-20提问
- 举报
-
(0)
这个可以尝试在ppp类型的账号上做限制
1.2.2 authorization-attribute(Local user view/user group view)
authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。
undo authorization-attribute命令用来删除配置的授权属性,恢复用户具有的缺省访问权限。
【命令】
authorization-attribute { acl acl-number | idle-cut minute | user-role role-name | vlan vlan-id | work-directory directory-name } *
undo authorization-attribute { acl | idle-cut | user-role role-name | vlan | work-directory } *
【缺省情况】
授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。在缺省MDC中由用户角色为network-admin或者level-15的用户创建的本地用户被授权用户角色network-operator;在非缺省MDC中由用户角色为mdc-admin或者level-15的用户创建的本地用户被授权用户角色mdc-operator。
【视图】
本地用户视图/用户组视图
【缺省用户角色】
network-admin
network-admin
【参数】
acl acl-number:指定本地用户的授权ACL。其中,acl-number为授权ACL的编号,取值范围为2000~5999。本地用户认证成功后,将被授权仅可以访问符合指定ACL规则的网络资源。
idle-cut minute:设置本地用户的闲置切断时间。其中,minute为设定的闲置切断时间,取值范围为1~120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。
user-role role-name:指定本地用户的授权用户角色。其中,role-name为1~63个字符的字符串,区分大小写。可以为每个用户最多指定64个用户角色。本地用户角色的相关命令请参见“基础命令参考”中的“RBAC”。该授权属性只能在本地用户视图下配置,不能在本地用户组视图下配置。
vlan vlan-id:指定本地用户的授权VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。本地用户认证成功后,将被授权仅可以访问指定VLAN内的网络资源。
work-directory directory-name:授权FTP/SFTP/SCP用户可以访问的目录。其中,directory-name表示FTP/SFTP/SCP用户可以访问的目录,为1~255个字符的字符串,不区分大小写,且该目录必须已经存在。
【使用指导】
可配置的授权属性都有其明确的使用环境和用途,请针对用户的服务类型配置对应的授权属性:
· 对于telnet、terminal用户,仅授权属性idle-cut和user-role有效;
· 对于ssh用户,仅授权属性idle-cut、user-role和work-directory有效;
· 对于ftp用户,仅授权属性user-role和work-directory有效;
· 对于其它类型的本地用户,所有授权属性均无效。
需要注意的是:
· 用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。
· 本地用户视图下未配置的授权属性继承所属用户组的授权属性配置,但是如果本地用户视图与所属的用户组视图下都配置了某授权属性,则本地用户视图下的授权属性生效。
· 为了避免设备上进行主备倒换后FTP/SFTP/SCP用户无法正常登录,建议用户在指定工作目录时不要携带槽位信息。
· 如果希望本地用户仅使用本命令授权的用户角色,建议使用undo authorization-attribute user-role命令删除该用户已有的缺省用户角色。
【举例】
# 配置设备管理类本地用户abc的授权角色为network-admin。
<Sysname> system-view
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] authorization-attribute user-role network-admin
- 2025-03-20回答
- 评论(1)
- 举报
-
(1)
本地用户的,我是AD 用户绑定模式,如何配置绑定mac呢?
本地用户的,我是AD 用户绑定模式,如何配置绑定mac呢?
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
这种三层vpn应该校验不了mac