我可以想到一些可能的策略来实现允许 5 个用户访问 Internet 并阻止所有其他用户的预期结果：

1. 在这 5 个用户的 PC 上配置静态 IP 地址或为这 5 个用户配置具有 IP 地址保留的 DHCP 服务器（根据他们的 MAC 地址，始终为他们分配相同的 IP 地址）。然后在 ASA 上，您可以简单地将 ACL 放在内部接口上，只允许来自这 5 个 IP 地址的流量。请注意，这是最基本的解决方案，但是：

   • 这允许 5台 PC访问，而不是 5 个用户。所以user6 仍然可以从user5 的PC 访问Internet。
   • 它受到IP 欺骗，即当user6 看到user5 的PC 关机时，user6 可以在他的PC 上配置user5 的IP 地址，从而访问Internet。

2. 在 2 个不同的 (V)LAN 中物理分离用户的 PC。例如，如果您当前的设置将所有用户连接到连接到 Eth0/1 的交换机（或一组交换机），则拔下这 5 个用户并将它们插入端口 Eth0/2-6 并将它们配置为 vlan 3，配置interface vlan3等。 ，在 vlan1 中放置一个阻塞 ACL，在 vlan3 中放置一个许可 ACL。注意

   • 这仍然是基于设备的，而不是基于用户的，即这仍然允许用户 6 使用用户 5 的 PC 访问 Internet
   • 有一些物理限制
   • user6 可能会拔下 user5 的电缆并将其插入他的 PC 以访问 Internet
   • 您将需要一个新的 IP 子网和 DHCP 范围（ASA 可以是 DHCP 服务器，也可以是 DHCP 中继到您当前的 DHCP 服务器）。

3. 与 #2 几乎相同，但不是物理上的分离，而是在现有 LAN 交换机上进行逻辑分离，即在 LAN 交换机上创建一个新的 vlan3，将 5 个允许用户的端口分配给该 vlan，配置ASA 和交换机之间的链路作为中继（然后与 #2 相同，配置 vlan3 接口和 ACL）。与#2 相同的警告。

4. 配置直通身份验证，要求用户在访问 Internet 之前输入用户名和密码，因此在您的情况下，您只需为 5 个允许的用户创建帐户。请注意，这现在是基于用户的，而不是基于 PC 的。因此，允许的用户可以从网络中的任何 PC 登录或连接到任何交换机端口，被禁止的用户无论身在何处都无法访问 Internet（只要 5 个用户将其凭据保密）。

5. 配置与 Active Directory 集成的身份防火墙，因此用户不再需要像 #4 中那样明确地向防火墙进行身份验证，但这会透明地发生，并且您可以根据 AD 用户名创建 ACL。

6. 在您的 LAN 交换机上配置802.1x，如果他们支持它，那么您将获得一系列附加选项，例如，您可以让交换机动态更改用户连接到的端口上的 vlan（然后将其与#3 以上）或在交换机上动态创建 ACL 。

我要么使用：

A. Dot1X MAC 认证允许他们出到特定的资源。湾。在 ASA 上创建的网络对象，其中包括通过 dhcp 池静态分配或给予预留的 IP 地址以及所需的端口号以及行进方向。C。一种 NAT 规则，从多个 (PAT) 中生成一个 IP，将动态或静态 IP 地址插入一个 NAT 池，然后使用此 IP 地址允许端口 80 和 443 访问互联网。最后指定规则的方向，里面到从我正在阅读的内容来看，外部是您在这种情况下所要寻找的。

这是 Cisco 网站上一篇非常好的描述性文章的链接，其中涉及 PAT（端口地址转换和 NAT）。这仅取决于您希望如何设置，但您有很多选择。

http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/118996-config-asa-00.html

最好的，