Leaflet
8-3
思科 ASA 系列命令参考,A 至 H 命令
第 8 章 client-access-rule 至 crl enforcenextupdate 命令
client-access-rule
根据以下附加说明构建规则:
• 如果不定义任何规则,ASA 将允许所有连接类型。
• 如果一个客户端与所有规则均不匹配,ASA 将拒绝此连接。这意味着如果定义一个拒绝规
则,还必须至少定义一个允许规则,否则 ASA 将拒绝所有连接。
• 对于软件和硬件客户端,类型和版本必须与 show vpn-sessiondb remote 命令输出中的类型与
版本完全匹配。
• * 字符是通配符,可以在每个规则中多次使用。例如,client-access-rule 3 deny type * version 3.*
创建一个优先级为 3 的客户端访问规则,该规则拒绝运行软件发布版本 3.x 的所有客户端类型。
• 您可以为每个组策略最多构建 25 个规则。
• 对整套规则的限制为 255 个字符。
• 可以为不发送客户端类型和 / 或版本的客户端使用 n/a(不适用)。
示例 以下示例展示如何为名为 FirstGroup 的组策略创建客户端访问规则。这些规则允许运行软件版本
4.1 的 VPN 客户端,同时拒绝所有 VPN 3002 硬件客户端:
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# client-access-rule 1 d t VPN3002 v *
ciscoasa(config-group-policy)# client-access-rule 2 p * v 4.1