我们已将 Cisco ASA 5512-X 从 9.12(4)7 更新到 9.12(4)37，我们将其用作通过 Cisco AnyConnect 客户端使用 SSL VPN 的 VPN 网关。例行软件更新后，用户无法再连接到 VPN。

对此进行调试，在 ASA 日志中，我们发现通过 RADIUS 成功进行用户身份验证后，VPN 会话创建被超过vpn-simultaneous-logins组策略中的限制（0）阻止。

始终首先应用的组策略是我们的NoAccessGrpPolicy，在ClassRADIUS 的变量解析之后，然后应用匹配的用户策略。这是我们多年来一直使用的配置并且运行良好。

现在它不再起作用了，除非我们vpn-simultaneous-logins像这样从 0 更改为 1（或更多）：

  group-policy NoAccessGrpPolicy attributes
    vpn-simultaneous-logins 1

有没有人知道为什么在软件更新后这种行为会有所不同，并且NoAccessGrpPolicy具有非零值是否存在任何安全问题？