#原创分享#通过VPN实现域名资源权限划分
客户需求:
客户内网多个域名指向同一个IP,例如a.data.com和b.data.com都指向1.1.1.1,只能接入VPN后才能访问该资源。希望通过VPN实现用户A只能通过访问a.data.com访问资源,用户B只能通过访问b.data.com去访问资源,同时A不能通过访问b.data.com去访问资源,用户B不能通过a.data.com去访问资源。
原理分析:
这里说明下VPN的两个原理
1、想必大家都知道我们VPN是不能像AD设备一样去区分或改写请求头部的,但是我们可以通过资源关联来实现客户需求,原理如下:当配置的资源是域名时,若未将该域名写入内网域名解析模块,解析是由公网DNS和VPN实现的,敲重点!!!解析是由公网DNS和VPN实现的,VPN也会去解析这个域名!!!解析遵循先到先得,就是公网和VPN解析谁返回快就用谁。
2、域名资源情况下,设备是通过给客户端的路由里面加一条解析出的地址指向VPN虚拟网卡来实现引流的。
3、对于域名资源,若域名没写到内网域名解析模块,而是直接以资源地址里面,设备也会去解析,利用这个特性就可以实现A用户只能访问a.data.com,B用户只能访问b.data.com。A没有关联b.data.com这个资源,设备是不会代理去解析的。
实现步骤
1、资源配置,每个域名都单独配置一个L3资源
2、用户关联对应的角色
3、域名解析关闭公网解析,只能内网解析
|