组网及说明
不涉及
问题描述
某局点M9000做SSL VPN网关,用户kkk拨号成功以后,创建一条安全策略对该用户放通某个ip的访问
rule 48 name VPNHub
description VPN全放行
action pass
counting enable
source-zone sslvpn
source-zone Local
user kkk
测试发现,添加上user kkk,访问不通,去掉以后,访问成功。
过程分析
在设备上debug发现,正常去掉用户以后,
*Jan 12 16:24:10:285 2021 FW FILTER/7/PACKET: -Chassis=1-Slot=2.1; The packet is permitted. Src-ZOne=sslvpn, Dst-ZOne=Trust;If-In=SSLVPN-AC1(7016), If-Out=Reth10(7015); Packet Info:Src-IP=192.168.100.2, Dst-IP=10.0.18.54, VPN-Instance=, Src-MacAddr=0000-0000-0000,Src-Port=40281, Dst-Port=3389, Protocol=TCP(6), Application=rdp(2973), SecurityPolicy=VPNHub, Rule-ID=48.
访问命中rule 48
加上用户以后:
*Jan 12 16:29:01:890 2021 FW FILTER/7/PACKET: -Chassis=1-Slot=2.1; The packet is denied. Src-ZOne=sslvpn, Dst-ZOne=Trust;If-In=SSLVPN-AC1(7016), If-Out=Reth10(7015); Packet Info:Src-IP=192.168.100.2, Dst-IP=10.0.18.54, VPN-Instance=, Src-MacAddr=0000-0000-0000,Src-Port=40837, Dst-Port=3389, Protocol=TCP(6), Application=rdp(2973), SecurityPolicy=Any→Any_0_IPv4, Rule-ID=0.
相当于没有识别对应的用户的规则,这个时候需要考虑是否可以进行用户识别。
解决方法
需要开启用户身份识别功能,否则不会匹配上rule 48
user-identity enable命令用来开启用户身份识别功能。
undo user-identity enable命令用来关闭用户身份识别功能。
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
debugging security-policy packet ip acl XXX