本特性的支持情况与设备型号有关,请以设备的实际情况为准。
型号
说明
MSR610
不支持
MSR810、MSR810-W、MSR810-W-DB、MSR810-LM、MSR810-W-LM、MSR810-10-PoE、MSR810-LM-HK、MSR810-W-LM-HK、MSR810-LM-CNDE-SJK、MSR810-CNDE-SJK、MSR810-EI、MSR810-LM-EA、MSR810-LM-EI
支持
MSR810-LMS、MSR810-LUS
MSR810-SI、MSR810-LM-SI
MSR810-LMS-EA、MSR810-LME
MSR1004S-5G
MSR2600-6-X1、MSR2600-15-X1、MSR2600-15-X1-T
MSR2600-10-X1
MSR2630
MSR3600-28、MSR3600-51
MSR3600-28-SI、MSR3600-51-SI
MSR3600-28-X1、MSR3600-28-X1-DP、MSR3600-51-X1、MSR3600-51-X1-DP
MSR3600-28-G-DP、MSR3600-51-G-DP
MSR3610-I-DP、MSR3610-IE-DP、MSR3610-IE-ES、MSR3610-IE-EAD、MSR-EAD-AK770、MSR3610-I-IG、MSR3610-IE-IG
MSR3610-X1、MSR3610-X1-DP、MSR3610-X1-DC、MSR3610-X1-DP-DC、MSR3620-X1、MSR3640-X1
MSR3610、MSR3620、MSR3620-DP、MSR3640、MSR3660
MSR3610-G、MSR3620-G
MSR3640-X1-HI
MSR810-W-WiNet、MSR810-LM-WiNet
MSR830-4LM-WiNet
MSR830-5BEI-WiNet、MSR830-6EI-WiNet、MSR830-10BEI-WiNet
MSR830-6BHI-WiNet、MSR830-10BHI-WiNet
MSR2600-6-WiNet
MSR2600-10-X1-WiNet
MSR2630-WiNet
MSR3600-28-WiNet
MSR3610-X1-WiNet
MSR3610-WiNet、MSR3620-10-WiNet、MSR3620-DP-WiNet、MSR3620-WiNet、MSR3660-WiNet
MSR860-6EI-XS
MSR860-6HI-XS
MSR2630-XS
MSR3600-28-XS
MSR3610-XS
MSR3620-XS
MSR3610-I-XS
MSR3610-IE-XS
MSR3620-X1-XS
MSR3640-XS
MSR3660-XS
MSR810-LM-GL
MSR810-W-LM-GL
MSR830-6EI-GL
MSR830-10EI-GL
MSR830-6HI-GL
MSR830-10HI-GL
MSR1004S-5G-GL
MSR2600-6-X1-GL
MSR3600-28-SI-GL
aaadomain命令用来配置SSLVPN访问实例使用指定的ISP域进行AAA认证。
undoaaadomain命令用来恢复缺省情况。
【命令】
aaadomaindomain-name
undoaaadomain
【缺省情况】
SSLVPN访问实例使用缺省的ISP域进行认证。
【视图】
SSLVPN访问实例视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指导】
【举例】
#配置SSLVPN访问实例使用ISP域myserver进行AAA认证。
[Sysname]sslvpncontextctx1
[Sysname-sslvpn-context-ctx1]aaadomainmyserver
access-deny-client命令用来配置禁用的SSLVPN接入客户端软件类型。
undoaccess-deny-client命令用来恢复禁用的SSLVPN接入客户端软件类型。
access-deny-client{browser|mobile-inode|pc-inode}*
undoaccess-deny-client{browser|mobile-inode|pc-inode}*
在同一个SSLVPN访问实例下,多次执行本命令配置的多个接入客户端软件类型均会生效。
#在SSLVPN访问实例ctx下,配置禁用的SSLVPN接入客户端软件类型为浏览器客户端。
[Sysname]sslvpncontextctx
[Sysname-sslvpn-context-ctx]access-deny-clientbrowser
authenticationserver-type命令用来配置SSLVPN认证服务器类型。
undoauthenticationserver-type命令用来恢复缺省情况。
authenticationserver-type{aaa|custom}
undoauthenticationserver-type
SSLVPN认证服务器类型为AAA认证服务器。
aaa:表示SSLVPN认证服务器类型为AAA认证服务器。
custom:表示SSLVPN认证服务器类型为自定义认证服务器。
若选择自定义认证服务器,则用户需要在SSLVPN访问实例视图下配置自定义认证的服务器URL地址、HTTP请求方式、HTTP应答报文的应答字段等参数。
#在SSLVPN访问实例ctx1下配置SSLVPN认证服务器类型为自定义认证服务器。
[Sysname-sslvpn-context-ctx1]authenticationserver-typecustom
·custom-authenticationrequest-header-field
·custom-authenticationrequest-method
·custom-authenticationrequest-template
·custom-authenticationresponse-custom-template
·custom-authenticationresponse-field
·custom-authenticationresponse-format
·custom-authenticationresponse-success-value
·custom-authenticationtimeout
·custom-authenticationurl
undoauthenticationuse命令用来恢复缺省情况。
authenticationuse{all|any-one}
undoauthenticationuse
[Sysname-sslvpn-context-ctx]authenticationuseany-one
·certificate-authenticationenable
·displaysslvpncontext
·password-authenticationenable
bandwidth命令用来配置接口的期望带宽。
undobandwidth命令用来恢复缺省情况。
bandwidthbandwidth-value
undobandwidth
接口的期望带宽为64kbps。
SSLVPNAC接口视图
bandwidth-value:接口的期望带宽,取值范围为1~400000000,单位为kbps。
接口的期望带宽会对下列内容有影响:
·CBQ队列带宽。具体介绍请参见“ACL和QoS配置指导”中的“QoS”。
·链路开销值。具体介绍请参见“三层技术-IP路由配置指导”中的“OSPF”、“OSPFv3”和“IS-IS”。
#配置接口SSLVPNAC1000的期望带宽为10000kbps。
[Sysname]interfacesslvpn-ac1000
[Sysname-SSLVPN-AC1000]bandwidth10000
certificateusername-attribute命令用来配置SSLVPN用户证书中的指定字段取值作为SSLVPN用户名。
undocertificateusername-attribute命令用来恢复缺省情况。
certificateusername-attribute{cn|email-prefix|oidextern-id}
undocertificateusername-attribute
使用SSLVPN用户证书中主题部分内的CN字段取值作为SSLVPN用户名。
cn:将用户证书中主题部分内的CN字段的值作为SSLVPN用户名。
email-prefix:将用户证书中主题部分内的邮件地址前缀,即邮件地址中“@”字符前的字符串,作为SSLVPN用户名。
oidextern-id:将用户证书中OID为extern-id的字段的值作为SSLVPN用户名,其中OID为对象标识符,以点分十进制的形式表示。
只有执行certificate-authenticationenable命令开启证书认证功能后,本命令指定的SSLVPN用户名才会生效。
#配置SSLVPN用户证书中OID为1.1.1.1的字段的值作为SSLVPN用户名。
[Sysname-sslvpn-context-ctx]certificateusername-attributeoid1.1.1.1
certificate-authenticationenable命令用来开启证书认证功能。
undocertificate-authenticationenable命令用来关闭证书认证功能。
certificate-authenticationenable
undocertificate-authenticationenable
证书认证功能处于关闭状态。
#开启SSLVPN访问实例的证书认证功能。
[Sysname-sslvpn-context-ctx]certificate-authenticationenable
·client-verifyenable(安全命令参考/SSL)
·client-verifyoptional(安全命令参考/SSL)
content-type命令用来配置改写的文件类型。
undocontent-type命令用来恢复缺省情况。
content-type{css|html|javascript|other}
undocontent-type
未配置文件改写类型,设备根据解析HTTP响应报文获得的文件类型对网页文件进行改写。
文件策略视图
css:表示按照css文件类型进行改写。
html:表示按照html文件类型进行改写。
javascript:表示按照JavaScript文件类型进行改写。
other:表示文件类型为css、html、JavaScript之外的其他文件类型,不对网页文件进行改写。
在对网页文件改写的过程中,设备会按照配置的文件类型对网页文件进行改写。如果配置的改写类型与报文中的文件类型不一致,则文件改写将会不准确。
多次执行本命令,最后一次执行的命令生效。
#配置按照html文件类型进行改写。
[Sysname-sslvpn-context-ctx]file-policyfp
[Sysname-sslvpn-context-ctx-file-policy-fp]content-typehtml
custom-authenticationrequest-header-field命令用来配置自定义认证的HTTP请求报文首部字段。
undocustom-authenticationrequest-header-field命令用来取消配置自定义认证的HTTP请求报文首部字段。
custom-authenticationrequest-header-fieldfield-namevaluevalue
undocustom-authenticationrequest-header-fieldfield-name
自定义认证的HTTP请求报文首部字段内包含如下内容:Content-type:application/x-www-form-urlencoded
User-Agent:nodejs4.1
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q
field-name:自定义认证的HTTP请求报文首部字段属性名,为1~63个字符的字符串,不区分大小写,不包括如下字符:
·()<>@,;:\"/[]={}
·空格符
·水平制表符
·ASCII码中小于等于31、大于等于127的字符
valuevalue:自定义认证的HTTP请求报文首部字段属性值,为1~255个字符的字符串,不支持正则元字符。
当采用自定义类型的SSLVPN认证服务器时(通过authenticationserver-typecustom命令),可通过本命令配置设备发送给自定义认证服务器的HTTP请求报文首部字段参数,该参数需要与自定义认证的HTTP请求方式、认证服务器的URL地址和认证信息请求模板等参数配合使用才能生效。
在同一个SSLVPN访问实例视图下,多次执行本命令,如果field-name的值不同,则可以配置多个不同属性的值;如果field-name的值相同,则最后一次配置生效。
#在SSLVPN访问实例ctx1下配置自定义认证的HTTP请求首部的Host字段为192.168.56.2:8080。
[Sysname-sslvpn-context-ctx1]custom-authenticationrequest-header-fieldhostvalue192.168.56.2:8080
·authenticationserver-type
custom-authenticationrequest-method命令用来配置自定义认证的HTTP请求方式。
undocustom-authenticationrequest-method命令用来恢复缺省情况。
custom-authenticationrequest-method{get|post}
undocustom-authenticationrequest-method
自定义认证的HTTP请求方式为GET。
get:表示HTTP请求方式为GET。
post:表示HTTP请求方式为POST。
当采用自定义类型的SSLVPN认证服务器时(通过authenticationserver-typecustom命令),可通过本命令配置设备发送给自定义认证服务器的HTTP请求的方式,该设置需要与自定义认证的请求报文首部字段、认证服务器的URL地址和认证信息请求模板等参数配合使用才能生效。
在同一个SSLVPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
#在SSLVPN访问实例ctx1下配置自定义认证的HTTP请求方式为POST。
[Sysname-sslvpn-context-ctx1]custom-authenticationrequest-methodpost
custom-authenticationrequest-template命令用来配置自定义认证的认证信息请求模板。
undocustom-authenticationrequest-template命令用来恢复缺省情况。
custom-authenticationrequest-templatetemplate
undocustom-authenticationrequest-template
未配置自定义认证的认证信息请求模板。
template:SSLVPN网关向自定义认证服务器发送用户名、密码等信息的认证信息请求模板,为1~255个字符的字符串,不区分大小写。
当采用自定义类型的SSLVPN认证服务器时(通过authenticationserver-typecustom命令),可通过本命令配置设备发送给自定义认证服务器的认证信息请求模板,该设置需要与自定义认证的请求报文首部字段、认证服务器的URL地址和HTTP请求的方式等参数配合使用才能生效。
本命令支持的三种预定义请求模板格式如下:
·form表单格式:(请求方式为POST/GET)
username=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1234
·json格式:(请求方式为POST)
{“name”:”$$USERNAME$$”,“password”:”,$$PASSWORD$$”,“resid”:”1234”}
·xml格式:(请求方式为POST)
以上模板格式中,两个$$符号之间的变量目前包括以下几种:
·USERNAME:用户名
·PASSWORD:密码
·PASSWORD_MD5:经过MD5加密的密码
#在SSLVPN访问实例ctx1下配置自定义认证的认证信息请求模板为:username=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1952252223973828。
[Sysname-sslvpn-context-ctx1]custom-authenticationrequest-templateusername=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1952252223973828
custom-authenticationresponse-custom-template命令用来配置自定义认证的自定义应答模板。
undocustom-authenticationresponse-custom-template命令用来恢复缺省情况。
custom-authenticationresponse-custom-template{group|message|result}template
undocustom-authenticationresponse-custom-template{group|message|result}
未配置自定义认证的自定义应答模板。
message:表示message字段后面为认证结果提示信息的自定义应答模板。
result:表示result字段后面为认证结果的自定义应答模板。
template:自定义应答模板,为1~63个字符的字符串,不区分大小写。
当采用自定义类型的SSLVPN认证服务器时(通过authenticationserver-typecustom命令),可通过本命令配置设备解析自定义认证服务器应答的认证结果模板,该模板需要与HTTP应答报文格式等参数配合使用才能生效。例如,配置了认证结果字段result的模板为“result=$$value$$”,那么在解析custom格式的应答报文时就用“result=$$value$$”的格式去解析认证结果字段。
自定义应答模板中value前后的内容需要与认证服务器应答报文中的value值前后的内容保持一致。例如服务器应答的报文为“auth-result=true,”,则应答模板应该配置为“auth-result=$$value$$,”($$value$$前后的开始和结束标识符“auth-result=”和“,”应与true前后的内容保持一致)。
模板中的$$符用于程序检测开始和结束标识符,当程序检测到第一个$$时,则认为其前面的内容为解析报文时用到的开始标识符,当检测到第二个$$时,则将其后面的内容作为解析报文时用到的结束标识符。
#在SSLVPN访问实例ctx1下配置自定义认证的自定义应答模板为result=$$value$$,company=$$value$$,message=$$value$$。
[Sysname-sslvpn-context-ctx1]custom-authenticationresponse-custom-templateresultresult=$$value$$,
[Sysname-sslvpn-context-ctx1]custom-authenticationresponse-custom-templategroupcompany=$$value$$,
[Sysname-sslvpn-context-ctx1]custom-authenticationresponse-custom-templatemessagemessage=$$value$$
custom-authenticationresponse-field命令用来配置自定义认证的HTTP应答报文的应答字段名。
undocustom-authenticationresponse-field命令用来恢复缺省情况。
custom-authenticationresponse-field{groupgroup|messagemessage|resultresult}
undocustom-authenticationresponse-field{group|message|result}
未配置HTTP应答报文的应答字段名。
messagemessage:HTTP应答报文中的提示信息字段名,表示应答报文中message字段后面的值为认证结果提示信息,为1~31个字符的字符串,不区分大小写。
resultresult:HTTP应答报文中的结果字段名,表示应答报文中result字段后面的值为认证结果,为1~31个字符的字符串,不区分大小写。
当采用自定义类型的SSLVPN认证服务器时(通过authenticationserver-typecustom命令),可通过本命令配置设备解析自定义认证服务器应答的指定字段:
·若指定了HTTP应答报文中的结果提示信息字段名,则SSLVPN会利用此字段提取认证结果提示信息,包括认证成功、认证失败等提示信息。
·若指定了HTTP应答报文中的结果字段名,则SSLVPN会利用此字段提取应答值,并根据配置的应答值,判断用户认证是否成功。
#在SSLVPN访问实例ctx1下配置自定义认证的应答字段名为group:company,message:resultDescription。
[Sysname-sslvpn-context-ctx1]custom-authenticationresponse-fieldgroupcompany
[Sysname-sslvpn-context-ctx1]custom-authenticationresponse-fieldmessageresultDescription
custom-authenticationresponse-format命令用来配置自定义认证的HTTP应答报文格式。
undocustom-authenticationresponse-format命令用来恢复缺省情况。
custom-authenticationresponse-format{custom|json|xml}
undocustom-authenticationresponse-format
自定义认证的HTTP应答报文格式为JSON。
custom:表示应答报文格式为用户自定义应答报文格式。
json:表示应答报文格式为JSON。
xml:表示应答报文格式为XML。
当采用自定义类型的SSLVPN认证服务器时(通过authenticationserver-typecustom命令),可通过本命令配置设备解析自定义认证服务器应答的应答报文格式,该应答报文格式需要与HTTP应答报文的应答字段名等参数配合使用才能生效。
#在SSLVPN访问实例ctx1下配置自定义认证的HTTP应答报文格式为JSON。
[Sysname-sslvpn-context-ctx1]custom-authenticationresponse-formatjson
custom-authenticationresponse-success-value命令用来配置自定义认证的HTTP应答报文中标识认证成功的应答值。
undocustom-authenticationresponse-success-value命令用来恢复缺省情况。
custom-authenticationresponse-success-valuesuccess-value
undocustom-authenticationresponse-success-value
未配置HTTP应答报文中标识认证成功的应答值。
success-value:HTTP应答报文中标识认证成功的应答值,为1~31个字符的字符串,不区分大小写。
当采用自定义类型的SSLVPN认证服务器时(通过authenticationserver-typecustom命令),可通过本命令配置设备解析自定义认证服务器应答的标识认证成功的应答值,该设置需要与自定义认证的请求报文首部字段、HTTP请求方式和认证信息请求模板等参数配合使用才能生效。
只有当自定义认证服务器返回的HTTP应答报文的应答结果为本命令指定的值时,SSLVPN网关才会认为用户认证成功。
#在SSLVPN访问实例ctx1下配置HTTP应答报文中标识认证成功的应答值为true。
[Sysname-sslvpn-context-ctx1]custom-authenticationresponse-success-valuetrue
undocustom-authenticationtimeout命令用来恢复缺省情况。
custom-authenticationtimeoutseconds
undocustom-authenticationtimeout
[Sysname-sslvpn-context-ctx1]custom-authenticationtimeout20
custom-authenticationurl命令用来配置自定义认证服务器的URL地址。
undocustom-authenticationurl命令用来恢复缺省情况。
custom-authenticationurlurl
undocustom-authenticationurl
未配置自定义认证服务器的URL地址。
url:SSLVPN网关向自定义认证服务器发送的HTTP请求报文中的认证服务器的URL地址,为1~255个字符的字符串,不区分大小写,不支持正则元字符。
当采用自定义类型的SSLVPN认证服务器时(通过authenticationserver-typecustom命令),可通过本命令配置自定义认证服务器的URL地址,该设置需要与自定义认证的请求报文首部字段、HTTP请求方式和认证信息请求模板等参数配合使用才能生效。
一个URL由协议类型、主机名或地址、端口号、资源路径四部分组成,完整格式为“协议类型://主机名称或地址:端口号/资源路径”。协议类型目前仅支持HTTP和HTTPS,如果没有指定,协议类型缺省为HTTP。
default命令用来恢复接口的缺省配置。
default
接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行本配置前,完全了解其对网络产生的影响。
#将接口SSLVPNAC1000恢复为缺省配置。
[Sysname-SSLVPN-AC1000]default
Thiscommandwillrestorethedefaultsettings.Continue[Y/N]:y
default-policy-group命令用来指定缺省策略组。
undodefault-policy-group命令用来恢复缺省情况。
default-policy-groupgroup-name
undodefault-policy-group
未指定缺省策略组。
group-name:策略组名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。指定的策略组必须在设备上已经存在。
#指定名为pg1的策略组为缺省策略组。
[Sysname-sslvpn-context-ctx1]policy-grouppg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1]quit
[Sysname-sslvpn-context-ctx1]default-policy-grouppg1
·policy-group
description命令用来配置接口的描述信息。
undodescription命令用来恢复缺省情况。
descriptiontext
undodescription
接口的描述信息为“接口名Interface”,例如:SSLVPN-AC1000Interface。
text:接口的描述信息,为1~255个字符的字符串,区分大小写。
当设备上存在多个接口时,可以根据接口的连接信息或用途来配置接口的描述信息,以便区别和管理各接口。
本命令仅用于标识某接口,并无特别的功能。使用displayinterface等命令可以看到设置的描述信息。
#配置接口SSLVPNAC1000的描述信息为“SSLVPNA”。
[Sysname-SSLVPN-AC1000]descriptionSSLVPNA
displayinterface[sslvpn-ac[interface-number]][brief[description|down]]
任意视图
network-operator
brief:显示接口的概要信息。如果不指定该参数,则显示接口的详细信息。
description:用来显示用户配置的接口的全部描述信息。如果某接口的描述信息超过27个字符,不指定该参数时,只显示描述信息中的前27个字符,超出部分不显示;指定该参数时,可以显示全部描述信息。
down:显示当前物理状态为down的接口的信息以及down的原因。如果不指定该参数,则不会根据接口物理状态来过滤显示信息。
SSLVPN-AC1000
Currentstate:UP
Lineprotocolstate:DOWN
Description:SSLVPN-AC1000Interface
Bandwidth:64kbps
Maximumtransmissionunit:1500
Internetprotocolprocessing:Disabled
LinklayerprotocolisSSLVPN
Lastclearingofcounters:Never
Last300secondsinputrate:0bytes/sec,0bits/sec,0packets/sec
Last300secondsoutputrate:0bytes/sec,0bits/sec,0packets/sec
Input:0packets,0bytes,0drops
Output:0packets,0bytes,0drops
表1-1displayinterfacesslvpn-ac命令显示信息描述表
字段
描述
Currentstate
接口的物理状态和管理状态,取值包括:
·AdministrativelyDOWN:表示该接口已经通过shutdown命令被关闭,即管理状态为关闭
·DOWN:该接口的管理状态为开启,但物理状态为关闭
·UP:该接口的管理状态和物理状态均为开启
Lineprotocolstate
接口的链路层协议状态,取值包括:
·UP:表示该接口的链路层协议状态为开启
·UP(spoofing):表示该接口的链路层协议状态为开启,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立。通常NULL、LoopBack等接口会具有该属性
·DOWN:表示该接口的链路层协议状态为关闭
Description
接口的描述信息
Bandwidth
接口的期望带宽,单位为kbps
Maximumtransmissionunit
接口的最大传输单元
Internetprotocolprocessing
接口的IP地址。如果没有为接口配置IP地址,则该字段显示为Internetprotocolprocessing:Disabled,表示不能处理IP报文
Internetaddress:ip-address/mask-length(Type)
接口IP地址。Type表示地址获取方式,取值如下:
·Primary:手动配置的主地址
Linklayerprotocol
链路层协议类型
Lastclearingofcounters
Last300secondsinputrate
最近300秒钟的平均输入速率:bytes/sec表示平均每秒输入的字节数,bits/sec表示平均每秒输入的比特数,packets/sec表示平均每秒输入的包数
Last300secondsoutputrate
最近300秒钟的平均输出速率:bytes/sec表示平均每秒输出的字节数,bits/sec表示平均每秒输出的比特数,packets/sec表示平均每秒输出的包数
总计输入的报文数,总计输入的字节,总计丢弃的输入报文数
总计输出的报文数,总计输出的字节,总计丢弃的输出报文数
#显示所有SSLVPNAC类型接口的概要信息。
Briefinformationofinterfacesinroutemode:
Link:ADM-administrativelydown;Stby-standby
Protocol:(s)-spoofing
InterfaceLinkProtocolPrimaryIPDescription
SSLVPN-AC1000UPDOWN--
#显示接口SSLVPNAC1000的概要信息,包括用户配置的全部描述信息。
SSLVPN-AC1000UPUP1.1.1.1SSLVPN-AC1000Interface
#显示当前状态为down的接口的信息以及DOWN的原因。
Link:ADM-administrativelydown
InterfaceLinkCause
SSLVPN-AC1000ADM
SSLVPN-AC1001ADM
表1-2displayinterfacesslvpn-acbrief命令显示信息描述表
三层模式下(route)的接口的概要信息,即三层接口的概要信息
·如果某接口的Link属性值为“ADM”,则表示该接口被管理员通过shutdown命令关闭,需要在该接口下执行undoshutdown命令才能恢复接口本身的物理状态
如果某接口的Protocol属性值中带有“(s)”字符串,则表示该接口的网络层协议状态显示是UP的,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立
Interface
接口名称缩写
Link
接口物理连接状态,取值包括:
·UP:表示本链路物理上是连通的
·DOWN:表示本链路物理上是不通的
·ADM:表示本链路被管理员通过shutdown命令关闭,需要执行undoshutdown命令才能恢复接口真实的物理状态
·Stby:表示该接口是一个处于Standby状态的备份接口
Protocol
·UP(s):表示该接口的链路层协议状态为开启,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立。通常NULL、LoopBack等接口会具有该属性
PrimaryIP
接口主IP地址
Cause
接口物理连接状态为down的原因,取值为:
·Administratively:表示本链路被手工关闭了(配置了shutdown命令),需要执行undoshutdown命令才能恢复真实的物理状态
·Notconnected:表示物理层不通
·resetcountersinterface
displaysslvpncontext命令用来显示SSLVPN访问实例的信息。
displaysslvpncontext[brief|namecontext-name]
brief:显示所有SSLVPN访问实例的简要信息。如果不指定本参数,则显示SSLVPN访问实例的详细信息。
namecontext-name:显示指定SSLVPN访问实例的详细信息。context-name表示SSLVPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSLVPN访问实例的信息。
#显示所有SSLVPN访问实例的详细信息。
Contextname:ctx1
Operationstate:Up
AAAdomain:domain1
Certificateauthentication:Enabled
Certificateusername-attribute:CN
Passwordauthentication:Enabled
Authenticationuse:All
Authenticationserver-type:aaa
SMSauthtype:iMC
Codeverification:Disabled
Defaultpolicygroup:Notconfigured
AssociatedSSLVPNgateway:gw1
Domainname:1
AssociatedSSLVPNgateway:gw2
Virtualhost:abc.com
AssociatedSSLVPNgateway:gw3
SSLclientpolicyconfigured:ssl1
SSLclientpolicyinuse:ssl
Maximumusersallowed:200
VPNinstance:vpn1
Idletimeout:30min
Idle-cuttrafficthreshold:100Kilobytes
Passwordchanging:Disabled
Contextname:ctx2
Operationstate:Down
Downreason:Administrativelydown
AAAdomainnotspecified
Certificateusername-attribute:OID(2.5.4.10)
Passwordauthentication:Disabled
Authenticationuse:Any-one
Authenticationserver-type:custom
Defaultgrouppolicy:gp
AssociatedSSLVPNgateway:-
VPNinstancenotconfigured
Idletimeout:50min
Addresspool:ConflictedwithanIPaddressonthedevice
Passwordchanging:Enabled
Deniedclienttypes:Browsers
表1-3displaysslvpncontext命令显示信息描述表
Contextname
SSLVPN访问实例的名称
Operationstate
SSLVPN访问实例的操作状态,取值包括:
·Up:SSLVPN访问实例处于运行状态
·Down:SSLVPN访问实例未处于运行状态
Downreason
SSLVPN访问实例处于down状态的原因,取值包括:
·Administrativelydown:管理down,即未通过serviceenable命令开启SSLVPN访问实例
·Nogatewayassociated:SSLVPN访问实例未引用SSLVPN网关
·ApplyingSSLclient-policyfailed:为SSLVPN访问实例应用SSL客户端策略失败
AAAdomain
SSLVPN访问实例使用的ISP域
Certificateauthentication
SSLVPN访问实例是否开启证书认证功能,取值包括:
·Enabled:证书认证功能开启
·Disabled:证书认证功能未开启
Certificateusername-attribute
采用SSLVPN用户证书中的指定字段作为SSLVPN用户名,取值包括:
·CN:用户证书中的CN字段
·Email-prefix:用户证书中的邮件地址前缀
·OID(x.x.x.x):用户证书中指定OID值标识的字段,OID为对象标识符,以点分十进制的形式表示
本字段仅在开启证书认证时显示
Passwordauthentication
SSLVPN访问实例是否开启用户名/密码认证功能,取值包括:
·Enabled:用户名/密码认证功能开启
·Disabled:用户名/密码认证功能未开启
Authenticationuse
·All:通过所有的认证方式
·Any-one:通过任意一种认证方式
Authenticationserver-type
·aaa:AAA认证服务器
·custom:自定义认证服务器
SMSauthtype
SSLVPN用户配置短信认证类型,取值包括:
·iMC:iMC短信认证
Codeverification
SSLVPN访问实例是否开启验证码验证功能
Defaultpolicygroup
SSLVPN访问实例使用的缺省策略组
AssociatedSSLVPNgateway
SSLVPN访问实例引用的SSLVPN网关
Domainname
SSLVPN访问实例的域名
Virtualhost
SSLVPN访问实例的虚拟主机名称
SSLclientpolicyconfigured
配置的SSL客户端策略名称。配置的SSL客户端策略在重启SSLVPN访问实例后才能生效
SSLclientpolicyinuse
生效的SSL客户端策略名称
Maximumusersallowed
SSLVPN访问实例的最大用户会话数
VPNinstance
SSLVPN访问实例关联的VPN实例
Idletimeout
Idle-cuttrafficthreshold
SSLVPN会话保持空闲状态的流量阈值
检测到SSLVPN访问实例IP地址冲突
Passwordchanging
·Enabled:修改密码功能开启
·Disabled:修改密码功能关闭
Deniedclienttypes
禁用的SSLVPN客户端,取值包括:
·Browsers:浏览器客户端
·PC-iNode:PC版iNode客户端
·Mobile-iNode:移动版iNode客户端
·Notconfigured:未配置禁用的SSLVPN客户端
#显示所有SSLVPN访问实例的简要信息。
ContextnameAdminOperationVPNinstanceGatewayDomain/VHost
ctx1UpUp-gw1-/1
gw2abc.com/-
gw3-/-
ctx2DownDown---/-
表1-4displaysslvpncontextbrief命令显示信息描述表
Admin
SSLVPN访问实例的管理状态,取值包括:
·up:已通过serviceenable命令开启SSLVPN访问实例
·down:未通过serviceenable命令开启SSLVPN访问实例
Operation
·up:SSLVPN访问实例处于运行状态
·down:SSLVPN访问实例未处于运行状态
Gateway
Domain/VHost
SSLVPN访问实例的域名或虚拟主机名称
displaysslvpngateway命令用来显示SSLVPN网关的信息。
displaysslvpngateway[brief|namegateway-name]
brief:显示所有SSLVPN网关的简要信息。如果不指定本参数,则显示SSLVPN网关的详细信息。
namegateway-name:显示指定SSLVPN网关的详细信息。gateway-name表示SSLVPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSLVPN网关的信息。
#显示所有SSLVPN网关的详细信息。
Gatewayname:gw1
IP:192.168.10.75Port:443
HTTPredirectport:80
SSLserverpolicyconfigured:ssl1
SSLserverpolicyinuse:ssl
FrontVPNinstance:vpn1
Gatewayname:gw2
IP:0.0.0.0Port:443
FrontVPNinstance:Notconfigured
表1-5displaysslvpngateway命令显示信息描述表
Gatewayname
SSLVPN网关的名称
SSLVPN网关的操作状态,取值包括:
·Up:SSLVPN网关处于运行状态
·Down:SSLVPN网关未处于运行状态
SSLVPN网关处于down状态的原因,取值包括:
·Administrativelydown:管理down,即没有通过serviceenable命令开启SSLVPN网关
·VPNinstancenotexist:SSLVPN网关所属的VPN实例不存在
·ApplyingSSLserver-policyfailed:为SSLVPN网关应用SSL服务器端策略失败
IP
SSLVPN网关的IPv4地址
Port
SSLVPN网关的端口号
HTTPredirectport
HTTP重定向端口号
SSLserverpolicyconfigured
配置的SSL服务器端策略名称。配置的SSL服务器端策略在重启SSLVPN网关后才能生效
SSLserverpolicyinuse
生效的SSL服务器端策略名称
FrontVPNinstance
前端VPN实例名称,即SSLVPN网关所属的VPN实例名称
#显示所有SSLVPN网关的简要信息。
GatewaynameAdminOperation
gw1UpUp
gw2DownDown(Administrativelydown)
gw3UpUp
表1-6displaysslvpngatewaybrief命令显示信息描述表
SSLVPN网关的管理状态,取值包括:
·Up:已通过serviceenable命令开启SSLVPN网关
·Down:未通过serviceenable命令开启SSLVPN网关
·Down(Administrativelydown):管理down,即没有通过serviceenable命令开启SSLVPN网关
·Down(VPNinstancenotexist):SSLVPN网关所属的VPN实例不存在
·Down(ApplyingSSLserver-policyfailed):为SSLVPN网关应用SSL服务器端策略失败
displaysslvpnip-tunnelstatistics命令用来显示通过IP接入的SSLVPN用户的报文统计信息。
displaysslvpnip-tunnelstatistics[contextcontext-name][useruser-name]
contextcontext-name:显示指定SSLVPN访问实例下通过IP接入的SSLVPN用户的报文统计信息。context-name表示SSLVPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSLVPN访问实例下通过IP方式接入的SSLVPN用户的报文统计信息。
useruser-name:显示指定或所有SSLVPN访问实例下指定SSLVPN用户对应的报文统计信息。user-name表示SSLVPN用户名称,为1~63个字符的字符串,不区分大小写。如果不指定本参数,则显示指定或所有SSLVPN访问实例下所有通过IP接入的SSLVPN用户的报文统计信息。
如果未指定任何参数,则显示所有SSLVPN访问实例下的通过IP接入的报文统计信息。
#显示所有SSLVPN访问实例下通过IP接入的SSLVPN用户的报文统计信息。
IP-tunnelstatisticsinSSLVPNcontextctx1:
Client:
Inbytes:125574Outbytes:1717349
Server:
Inbytes:1717349Outbytes:116186
IP-tunnelstatisticsinSSLVPNcontextctx2:
Inbytes:521Outbytes:1011
Inbytes:1011Outbytes:498
SSLVPNsessionIP-tunnelstatistics:
Context:ctx1
User:user1
SessionID:1
UserIPv4address:192.168.56.1
Receivedrequests:81
Sentrequests:0
Droppedrequests:81
Receivedreplies:0
Sentreplies:0
Droppedreplies:0
Receivedkeepalives:1
Sentkeepalivereplies:1
Receivedconfigurationupdates:0
Sentconfigurationupdates:0
User:user2
SessionID:2
#显示SSLVPN用户user1通过IP接入的报文统计信息。
#显示SSLVPN访问实例ctx1下SSLVPN用户user1通过IP接入的报文统计信息。
表1-7displaysslvpnip-tunnelstatistics命令显示信息描述表
Context
SSLVPN用户所属的SSLVPN访问实例
User
SessionID
SSLVPN会话的标识
UserIPv4address
SSLVPN用户的IPv4地址
Receivedrequests
SSLVPN网关设备接收自SSLVPN用户的IP接入业务请求报文数
Sentrequests
SSLVPN网关设备转发给资源服务器的IP接入业务请求报文数
Droppedrequests
SSLVPN网关设备丢弃SSLVPN用户的IP接入业务请求报文数
Receivedreplies
SSLVPN网关设备接收资源服务器的IP接入业务应答报文数
Sentreplies
SSLVPN网关设备转发给SSLVPN用户的IP接入业务应答报文数
Droppedreplies
SSLVPN网关设备丢弃的IP接入业务应答报文数
Receivedkeepalives
SSLVPN网关设备接收自SSLVPN用户的保活报文数
Sentkeepalivesreplies
SSLVPN网关设备发送给SSLVPN用户的保活应答报文数
Receivedconfigurationupdates
SSLVPN网关设备接收自SSLVPN用户主动请求发送配置更新的报文数
Sentconfigurationupdates
SSLVPN网关设备发送给SSLVPN用户的配置更新报文数
Client
SSLVPN网关设备与客户端之间的报文字节数统计,取值如下:
·Inbytes:SSLVPN网关设备接收自SSLVPN用户的IP接入业务请求报文字节数
·Outbytes:SSLVPN网关设备转发给SSLVPN用户的IP接入业务应答报文字节数
Server
SSLVPN网关设备与服务器之间的统计信息,取值如下:
·Inbytes:SSLVPN网关设备接收资源服务器的IP接入业务应答报文字节数
·Outbytes:SSLVPN网关设备转发给资源服务器的IP接入业务请求报文字节数
displaysslvpnpolicy-group命令用来显示指定策略组的信息。
displaysslvpnpolicy-groupgroup-name[contextcontext-name]
group-name:策略组名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
contextcontext-name:显示指定SSLVPN访问实例下的指定策略组的信息。context-name表示SSLVPN访问实例的名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSLVPN访问实例下的指定名称的策略组信息。
#显示所有SSLVPN访问实例下名称为pg1的策略组的信息。
Grouppolicy:pg1
Context:context1
Idletimeout:35min
Redirectresourcetype:url-item
Redirectresourcename:url1
Context:context2
Idletimeout:40min
Redirectresource:Notconfigured
表1-8displaysslvpnpolicy-group命令显示信息描述表
Grouppolicy
策略组名称
SSLVPN访问实例名称
Redirectresource
Redirectresourcetype
Redirectresourcename
displaysslvpnport-forwardconnection命令用来显示TCP端口转发的连接信息。
(独立运行模式)
displaysslvpnport-forwardconnection[contextcontext-name]
(IRF模式)
displaysslvpnport-forwardconnection[contextcontext-name][slotslot-number]
contextcontext-name:显示指定SSLVPN访问实例下的TCP端口转发连接信息。context-name表示SSLVPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSLVPN访问实例下的TCP端口转发连接信息。
slotslot-number:显示指定成员设备的SSLVPN访问实例下的TCP端口转发连接信息。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示所有成员设备上的SSLVPN访问实例下的TCP端口转发连接信息。(IRF模式)
#显示所有SSLVPN访问实例下TCP端口转发的连接信息。(独立运行模式)
SSLVPNcontext:ctx1
Clientaddress:192.0.2.1
Clientport:1025
Serveraddress:192.168.0.39
Serverport:80
Status:Connected
SSLVPNcontext:ctx2
Clientaddress:3000::983F:7A36:BD06:342D
Clientport:56190
Serveraddress:300::1
Serverport:23
Status:Connecting
#显示所有SSLVPN访问实例下TCP端口转发的连接信息。(IRF模式)
Slot:1
表1-9displaysslvpnport-forwardconnection命令显示信息描述表
Clientaddress
SSLVPN客户端的IP地址
Clientport
SSLVPN客户端的本地端口号
Serveraddress
企业网内服务器的IP地址
Serverport
企业网内服务器的端口号
Slot
设备在IRF中的成员编号(IRF模式)
Status
连接状态,取值包括:
·Connected:连接成功
·Connecting:正在连接
displaysslvpnprevent-crackingfrozen-ip命令用来显示被防暴力破解功能冻结的IP地址信息。
displaysslvpnprevent-crackingfrozen-ip{statistics|table}[contextcontext-name]
table:表示被冻结的IP地址表项信息。
contextcontext-name:表示SSLVPN访问实例的名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSLVPN访问实例下被冻结的IP地址信息。
#显示所有SSLVPN访问实例下被冻结的IP地址统计信息。
TotalnumberoffrozenIPaddresses:1
Totalnumberofusername/passwordauthenticationfailures:1
Totalnumberofcodeverificationfailures:1
TotalnumberofSMSauthenticationfailures:1
Totalnumberofcustomauthenticationfailures:1
#显示所有SSLVPN访问实例下被冻结的IP地址表项信息。
IPaddressAuthenticationmethodFrozenatUnfrozenat
8.1.1.80codeverification2019-10-0808:30:012019-10-0808:35:04
3.3.3.30Username/passwordauthentication2019-10-0808:35:012019-10-0808:39:04
121.5.5.32Username/passwordauthentication2019-10-0808:31:012019-10-0808:45:04
123.3.3.3codeverification2019-10-0808:35:012019-10-0808:55:04
表1-10displaysslvpnprevent-crackingfrozen-ip命令显示信息描述表
SSLVPNcontext
TotalnumberoffrozenIPaddresses
访问实例下所有被冻结的IP地址总数目
Totalnumberofusername/passwordauthenticationfailures
访问实例下用户名密码认证失败总数目
Totalnumberofcodeverificationfailures
访问实例下验证码验证失败总数目
TotalnumberofSMSauthenticationfailures
访问实例下短信认证失败总数目
Totalnumberofcustomauthenticationfailures
访问实例下自定义认证失败总数目
IPaddress
被冻结的IP地址
Authenticationmethod
·Username/passwordauthentication:用户名密码认证
·Codeverification:验证码验证
·SMSauthentication:短信认证
·Customauthentication:自定义认证
以上认证方式可以组合使用,每一种组合认证方式下必须包含用户名密码认证方式,且自定义认证和短信认证不可以同时使用。除了验证码验证,其他认证方式均可以单独使用
Frozenat
Unfrozenat
displaysslvpnsession命令用来显示SSLVPN会话信息。
displaysslvpnsession[contextcontext-name][useruser-name|verbose]
contextcontext-name:显示指定SSLVPN访问实例下的SSLVPN会话的简要信息。context-name表示SSLVPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSLVPN访问实例下的SSLVPN会话的简要信息。
useruser-name:显示指定或所有SSLVPN访问实例下指定SSLVPN用户对应的SSLVPN会话的详细信息。user-name表示SSLVPN用户名称,为1~63个字符的字符串,不区分大小写。如果不指定本参数,则显示指定或所有SSLVPN访问实例下SSLVPN会话的简要信息。
verbose:显示指定或所有SSLVPN访问实例下SSLVPN会话中所有用户的详细信息。如果不指定本参数,则显示指定或所有SSLVPN访问实例下SSLVPN会话的简要信息。
#显示所有SSLVPN访问实例下SSLVPN会话的简要信息。
Totalusers:4
Users:2
UsernameConnectionsIdletimeCreatedUserIP
user150/00:00:230/04:47:16192.0.2.1
user250/00:00:460/04:48:36192.0.2.2
user350/00:00:300/04:50:06192.168.2.1
user450/00:00:500/04:51:16192.168.2.2
表1-11displaysslvpnsession命令简要显示信息描述表
Totalusers
所有访问实例下的总用户数目
Users
当前访问实例下的用户数目
Username
Connections
SSLVPN会话的连接次数
Idletime
SSLVPN会话的空闲时长,格式为天/时:分:秒
Created
SSLVPN会话的创建时长,格式为天/时:分:秒
UserIP
SSLVPN会话使用的IP地址
#显示SSLVPN用户user1对应的SSLVPN会话的详细信息。
Authenticationmethod:Username/passwordauthentication
Policygroup:pgroup
Createdat:13:49:27UTCWed05/14/2014
Lastest:17:50:58UTCWed05/14/2014
AllocatedIPv4:2.2.2.1
UserIPv4address:192.0.2.1
Webbrowser/OS:InternetExplorer
Sendrate:0.00B/s
Receiverate:0.00B/s
Sentbytes:0.00B
Receivedbytes:0.00B
#显示SSLVPN会话中所有用户的详细信息。
表1-12displaysslvpnsessionuser和displaysslvpnsessionverbose命令显示信息描述表
·Certificateauthentication:证书认证
以上认证方式可以组合使用,每一种组合认证方式下必须至少包含用户名密码认证和证书认证中的一种方式,且自定义认证和短信认证不可以同时使用。除了验证码验证,其他认证方式均可以单独使用。
Policygroup
SSLVPN用户使用的策略组
Createdat
Lastest
AllocatedIPv4
SSLVPN会话使用的IPv4地址
Webbrowser/OS
Sendrate
SSLVPN会话的发送速率,单位取值包括:
·B/s:字节/秒
·KB/s:千字节/秒
·MB/s:兆字节/秒
·GB/s:吉字节/秒
·TB/s:太字节/秒
·PB/s:拍字节/秒
Receiverate
SSLVPN会话的接收速率,单位取值包括:
Sentbytes
SSLVPN会话的总发送流量,单位取值包括:
·B:字节
·KB:千字节
·MB:兆字节
·GB:吉字节
·TB:太字节
·PB:拍字节
Receivedbytes
SSLVPN会话的总接收流量,单位取值包括:
displaysslvpnwebpage-customizetemplate命令用来显示SSLVPN页面模板信息。
displaysslvpnwebpage-customizetemplate
#显示所有页面模板信息。
TemplatenameTypeStatus
defaultPre-definedNormal
systemPre-definedNormal
User1User-definedFilelogin.htmlmissing
User2User-definedFilehome.htmlmissing
表1-13displaysslvpnwebpage-customizetemplate命令显示信息描述表
Templatename
页面模板的名称
Type
页面模板的类型,取值包括:
·Pre-defined:表示该页面模板为预定义页面模板
·User-defined:表示该页面模板为用户自定义页面模板
页面模板的状态,取值包括:
·Normal:表示该页面模板完整,可以使用
·Filelogin.htmlmissing:表示该页面模板缺少login.html文件
·Filehome.htmlmissing:表示该页面模板缺少home.html文件
·Versionincompatible:表示该页面模板与设备的预定义模板版本不一致
·sslvpnwebpage-customize
·webpage-customize
emo-server命令用来配置为客户端指定的EMO(EndpointMobileOffice,终端移动办公)服务器。
undoemo-server命令用来恢复缺省情况。
emo-serveraddress{host-name|ipv4-address}portport-number
undoemo-server
未配置为客户端指定的EMO服务器。
address:指定EMO服务器的主机名或IPv4地址。
host-name:EMO服务器的主机名,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。
ipv4-address:EMO服务器的IPv4地址,为点分十进制格式,不能是组播、广播、环回地址。
portport-number:指定EMO服务器使用的端口号。port-number取值范围为1025~65535。
EMO服务器用来为移动客户端提供服务。执行本命令后,SSLVPN网关会将配置的EMO服务器信息下发给客户端,以便客户端访问EMO服务器。
#在名称为ctx1的SSLVPN访问实例下配置EMO服务器地址为10.10.1.1、端口号为9058。
[Sysname-sslvpn-context-ctx1]emo-serveraddress10.10.1.1port9058
file-policy命令用来创建文件策略,并进入文件策略视图。如果指定的文件策略已经存在,则直接进入该文件策略视图。
undofile-policy命令用来删除指定的文件策略。
file-policypolicy-name
undofile-policypolicy-name
不存在文件策略。
policy-name:文件策略名称,为1~31个字符的字符串,不区分大小写。
此命令创建的文件策略用于对Web接入方式访问的Web服务器网页文件进行匹配和改写。
同一个SSLVPN访问实例视图中可以配置多个文件策略。
#创建名称为fp的文件策略,并进入文件策略视图。
[Sysname-sslvpn-context-ctx-file-policy-fp]
·sslvpncontext
filterip-tunnelacl命令用来配置对IP接入进行高级ACL过滤。
undofilterip-tunnelacl命令用来恢复缺省情况。
filterip-tunnelacladvanced-acl-number
undofilterip-tunnelacl
SSLVPN网关允许SSLVPN客户端访问IP接入资源。
SSLVPN策略组视图
acladvanced-acl-number:用来过滤IP接入报文的高级ACL的编号。advanced-acl-number表示高级ACL,取值范围为3000~3999。引用的ACL规则中不能存在VPN实例,否则该规则不生效。
用户访问资源时,匹配顺序为:
(1)进行URIACL的规则检查,成功匹配URIACL中permit规则后用户的访问请求才允许通过。
(2)若URIACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。
若URIACL和高级ACL均未引用,则SSLVPN网关默认允许所有IP接入方式的访问。
#配置策略组pg1通过IPv4ACL3000过滤IP接入方式访问。
[Sysname-sslvpn-context-ctx1-policy-group-pg1]filterip-tunnelacl3000
·filterip-tunneluri-acl
filterip-tunneluri-acl命令用来配置对IP接入进行URIACL过滤。
undofilterip-tunneluri-acl命令用来取消IP接入的URIACL过滤。
filterip-tunneluri-acluri-acl-name
undofilterip-tunneluri-acl
uri-acl-name:URIACL名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。
配置对IP接入进行URIACL过滤时,指定的URIACL规则中不能包含HTTP和HTTPS协议,否则该规则不生效。
#在SSLVPN策略组abcpg中,配置通过URIACLabcuriacl过滤IP接入方式访问。
[Sysname]sslvpncontextabc
[Sysname-sslvpn-context-abc]policy-groupabcpg
[Sysname-sslvpn-context-abc-policy-group-abcpg]filterip-tunneluri-aclabcuriacl
filtertcp-accessacl命令用来配置对TCP接入进行高级ACL过滤。
undofiltertcp-accessacl命令用来恢复缺省情况。
filtertcp-accessacladvanced-acl-number
undofiltertcp-accessacl
SSLVPN网关仅允许SSLVPN客户端访问端口转发列表下的资源。
acladvanced-acl-number:指定用于过滤TCP接入的高级ACL。advanced-acl-number表示高级ACL的编号,取值范围为3000~3999。引用的ACL规则中不能存在VPN实例,否则该规则不生效。
对于手机版TCP客户端,用户访问资源时,匹配顺序为:
(2)若端口转发资源列表匹配失败时,则进行URIACL的规则检查,成功匹配URIACL中permit规则后用户的访问请求才允许通过。
(3)若URIACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。
#配置策略组pg1通过IPv4ACL3000过滤TCP接入。
[Sysname-sslvpn-context-ctx1-policy-grouppg1]filtertcp-accessacl3000
·filtertcp-accessuri-acl
filtertcp-accessuri-acl命令用来配置对TCP接入进行URIACL过滤。
undofiltertcp-accessuri-acl命令用来取消TCP接入的URIACL的过滤。
filtertcp-accessuri-acluri-acl-name
undofiltertcp-accessuri-acl
#在SSLVPN策略组abcpg中,配置通过URIACLabcuriacl2过滤TCP接入方式访问。
[Sysname-sslvpn-context-abc-policy-group-abcpg]filtertcp-accessuri-aclabcuriacl2
·filtertcp-accessacl
filterweb-accessacl命令用来配置对Web接入进行高级ACL过滤。
undofilterweb-accessacl命令用来恢复缺省情况。
filterweb-accessacladvanced-acl-number
undofilterweb-accessacl
acladvanced-acl-number:指定用于过滤Web接入的高级ACL。advanced-acl-number表示高级ACL的编号,取值范围为3000~3999。引用的ACL规则中不能存在VPN实例,否则该规则不生效。
#配置策略组pg1通过IPv4ACL3000过滤Web接入。
[Sysname-sslvpn-context-ctx1-policy-grouppg1]filterweb-accessacl3000
·filterweb-accessuri-acl
filterweb-accessuri-acl命令用来配置对Web接入进行URIACL过滤。
undofilterweb-accessuri-acl命令用来取消Web接入的URIACL的过滤。
filterweb-accessuri-acluri-acl-name
undofilterweb-accessuri-acl
#在SSLVPN策略组abc中,配置通过URIACLabcuriacl1过滤Web接入方式访问。
[Sysname-sslvpn-context-abc-policy-group-abcpg]filterweb-accessuri-aclabcuriacl1
·filterweb-accessacl
force-logout命令用来强制在线用户下线。
force-logout[all|sessionsession-id|useruser-name]
all:强制所有用户下线。
sessionsession-id:强制指定会话的用户下线。session-id表示用户会话标识,取值范围为1~4294967295。
useruser-name:强制指定用户名的用户下线。user-name表示SSLVPN用户名称,为1~63个字符的字符串,区分大小写。
#强制会话标识为1的用户下线。
[Sysname-sslvpn-context-ctx1]force-logoutsession1
force-logoutmax-onlinesenable命令用来开启达到最大在线数时的用户强制下线功能。
undoforce-logoutmax-onlinesenable命令用来关闭达到最大在线数时的用户强制下线功能。
force-logoutmax-onlinesenable
undoforce-logoutmax-onlinesenable
达到最大在线数时的用户强制下线功能处于关闭状态。
[Sysname-sslvpn-context-ctx1]force-logoutmax-onlinesenable
gateway命令用来配置SSLVPN访问实例引用SSLVPN网关。
undogateway命令用来删除指定的SSLVPN网关。
gatewaygateway-name[domaindomain-name|virtual-hostvirtual-host-name]
undogateway[gateway-name]
未引用SSLVPN网关。
gateway-name:SSLVPN网关名称。为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。
domaindomain-name:域名,为1~127个字符的字符串,不区分大小写,支持输入中文字符。
virtual-hostvirtual-host-name:虚拟主机名称,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。
多个SSLVPN访问实例引用同一个SSLVPN网关时,可以通过以下方法判断远端接入用户所属的SSLVPN访问实例:
·为不同的SSLVPN访问实例、指定不同的虚拟主机名称。远端用户访问SSLVPN网关时,输入虚拟主机名称,SSLVPN网关根据虚拟主机名称判断该用户所属的SSLVPN访问实例。
如果SSLVPN访问实例引用SSLVPN网关时没有指定域名和虚拟主机名称,那么其他的SSLVPN访问实例就不能再引用该SSLVPN网关。
在同一个SSLVPN访问实例视图下,最多可以引用10个SSLVPN网关。
#配置名为ctx1的SSLVPN访问实例引用SSLVPN网关gw1,域名为domain1。
[Sysname-sslvpn-context-ctx1]gatewaygw1domaindomain1
heading命令用来配置URL列表标题。
undoheading命令用来删除URL列表标题。
headingstring
undoheading
URL列表的标题为“Web”。
URL列表视图
string:URL列表标题,为1~31个字符的文本字符串,区分大小写。
#配置URL列表的标题为urlhead。
[Sysname-sslvpn-context-ctx1]url-listurl
[Sysname-sslvpn-context-ctx1-url-list-url]headingurlhead
·url-list
HTTP流量的重定向功能处于关闭状态,SSLVPN网关不会处理HTTP流量。
SSLVPN网关视图
port-number:需要重定向的HTTP流量的端口号,取值范围为80、1025~65535,缺省值为80。
#为端口号为1025的HTTP流量开启重定向功能。
[Sysname]sslvpngatewaygateway1
idle-cuttraffic-threshold命令用来配置SSLVPN会话保持空闲状态的流量阈值。
undoidle-cuttraffic-threshold命令用来恢复缺省情况。
idle-cuttraffic-thresholdkilobytes
undoidle-cuttraffic-threshold
SSLVPN会话保持空闲状态的流量阈值为0千字节。
kilobytes:表示SSLVPN会话保持空闲状态的流量阈值,取值范围为1~4294967295,单位为千字节。
若修改本命令或timeoutidle命令配置的值,则会清空已统计的流量。
#在SSLVPN访问实例ctx1下配置流量阈值为1000千字节。
[Sysname-sslvpn-context-ctx1]idle-cuttraffic-threshold1000
·timeoutidle
include命令用来在IPv4路由列表中添加路由。
undoinclude命令用来删除IPv4路由列表中的路由。
includeip-address{mask|mask-length}
undoincludeip-address{mask|mask-length}
不存在IPv4路由。
IPv4路由列表视图
ip-address:IPv4路由的目的地址,不能是组播、广播、环回地址。
mask:IPv4路由目的地址的掩码。
mask-length:IPv4路由的掩码长度,取值范围为0~32。
本命令指定的目的网段需要是企业内部服务器所在的网络。策略组引用路由列表后,SSLVPN网关将IPv4路由列表中的路由表项下发给客户端。客户端在本地添加这些IPv4路由表项,以便客户端将访问企业网络内部服务器的报文通过虚拟网卡发送给SSLVPN网关,防止这些报文进入Internet。
多次执行本命令,可以在IPv4路由列表中添加多条IPv4路由。
通过include命令和exclude命令指定相同的IPv4路由表项时,最后一次执行的命令生效。
#在IPv4路由列表rtlist下添加IPv4路由10.0.0.0/8。
[Sysname-sslvpn-context-ctx1]ip-route-listrtlist
[Sysname-sslvpn-context-ctx1-route-list-rtlist]include10.0.0.08
·exclude
interfacesslvpn-ac命令用来创建SSLVPNAC接口,并进入SSLVPNAC接口视图。如果指定的SSLVPNAC接口已经存在,则直接进入SSLVPNAC接口视图。
undointerfacesslvpn-ac命令用来删除指定的SSLVPNAC接口。
interfacesslvpn-acinterface-number
undointerfacesslvpn-acinterface-number
不存在SSLVPNAC接口。
系统视图
interface-number:SSLVPNAC接口的编号,取值范围为0~4095。
#创建SSLVPNAC接口1000,并进入SSLVPNAC接口视图。
[Sysname]interfaceSSLVPN-AC1000
[Sysname-SSLVPN-AC1000]
ipaddress命令用来配置SSLVPN网关的IPv4地址和端口号。
undoipaddress命令用来恢复缺省情况。
ipaddressip-address[portport-number]
undoipaddress
SSLVPN网关的IP地址为0.0.0.0,端口号为443。
ip-address:SSLVPN网关的IPv4地址,为点分十进制格式。
portport-number:指定SSLVPN网关的端口号。port-number取值范围为443、1025~65535,缺省值为443。
远端接入用户可以通过本命令配置的IPv4地址和端口号访问SSLVPN网关。当配置的IP地址为非缺省IP地址时,本命令指定的IP地址应为SSLVPN网关上接口的IP地址,并需要保证该IP地址路由可达。
SSLVPN网关使用缺省地址时,端口号不能与设备的HTTPS管理地址的端口号相同。
SSLVPN网关的IPv4地址和端口号与HTTPS管理地址和端口号不能完全相同,如果完全相同,则用户访问此地址和端口时,只能访问SSLVPN网关页面,而不能访问设备的管理页面。
#配置SSLVPN网关的IPv4地址为10.10.1.1、端口号为8000。
[Sysname]sslvpngatewaygw1
[Sysname-sslvpn-gateway-gw1]ipaddress10.10.1.1port8000
·displaysslvpngateway
ip-route-list命令用来创建IPv4路由列表,并进入IPv4路由列表视图。如果指定的IPv4路由列表已经存在,则直接进入IPv4路由列表视图。
undoip-route-list命令用来删除指定的IPv4路由列表。
ip-route-listlist-name
undoip-route-listlist-name
不存在IPv4路由列表。
list-name:IPv4路由列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
在IPv4路由列表视图下,可以配置IPv4路由表项,客户端可以通过这些IPv4路由表项访问企业网络内部的服务器。
若IPv4路由列表被策略组引用,则不允许删除该IPv4路由列表。请先通过undoip-tunnelaccess-route命令取消引用,再执行本命令删除IPv4路由列表。
#在名为ctx1的SSLVPN访问实例下,创建IPv4路由列表rtlist,并进入IPv4路由列表视图。
[Sysname-sslvpn-context-ctx1-route-list-rtlist]
·ip-tunnelaccess-route
ip-tunnelaccess-route命令用来配置下发给客户端的IPv4路由表项。
undoip-tunnelaccess-route命令用来恢复缺省情况。
ip-tunnelaccess-route{ip-address{mask-length|mask}|force-all|ip-route-listlist-name}
undoip-tunnelaccess-route
未指定下发给客户端的IPv4路由表项。
ip-address{mask-length|mask}:将IPv4指定路由下发给客户端。ip-address为IPv4路由的目的地址,不能是组播、广播、环回地址;mask-length为路由的掩码长度,取值范围为0~32;mask为路由的掩码。
force-all:强制将客户端的流量转发给SSLVPN网关。
ip-route-listlist-name:将指定IPv4路由列表中的IPv4路由表项下发给客户端。list-name表示IPv4路由列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。本参数指定的IPv4路由列表必须先通过ip-route-list命令创建。
客户端通过IP接入方式访问网关时,网关将指定的路由下发给客户端。客户端若访问该网段内的服务器,报文就会通过虚拟网卡发送给SSLVPN网关,防止报文进入Internet。
通过指定IPv4路由列表,可以同时将IPv4路由列表中的多条IPv4路由下发给客户端。若只需要为客户端下发一条路由,则可以直接配置ip-address{mask-length|mask}参数,无需指定IPv4路由列表。
执行本命令时如果指定了force-all参数,则SSLVPN网关将在客户端上添加优先级最高的缺省IPv4路由,IPv4路由的出接口为虚拟网卡,从而使得所有没有匹配到IPv4路由表项的流量都通过虚拟网卡发送给SSLVPN网关。SSLVPN网关还会实时监控SSLVPN客户端,不允许SSLVPN客户端删除此缺省IPv4路由,且不允许SSLVPN客户端添加优先级高于此路由的缺省路由。
#在策略组pg1下,配置将IPv4路由列表rtlist中的IPv4路由下发给客户端。
[Sysname-sslvpn-context-ctx1-route-list-rtlist]include20.0.0.08
[Sysname-sslvpn-context-ctx1-route-list-rtlist]quit
[Sysname-sslvpn-context-ctx1-policy-group-pg1]ip-tunnelaccess-routeip-route-listrtlist
·ip-route-list
ip-tunneladdress-pool命令用来配置IP接入引用IPv4地址池。
undoip-tunneladdress-pool命令用来恢复缺省情况。
ip-tunneladdress-poolpool-namemask{mask-length|mask}
undoip-tunneladdress-pool
IP接入未引用IPv4地址池。
pool-name:引用的IPv4地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
mask{mask-length|mask}:指定IPv4地址池的掩码或掩码长度。mask-length表示地址池的掩码长度,取值范围为1~30;mask表示地址池的掩码。
本命令可以引用不存在的IPv4地址池。但此时SSLVPN网关无法为客户端分配IPv4地址。只有创建IPv4地址池后,SSLVPN网关才可以为客户端分配IPv4地址。
每个SSLVPN访问实例视图下只能引用一个IPv4地址池。多次执行本命令,最后一次执行的命令生效。
为了不影响用户接入,请管理员合理规划IP地址,避免地址池中的地址与设备上其他地址冲突。
#配置IP接入引用IPv4地址池pool1。
[Sysname-sslvpn-context-ctx]ip-tunneladdress-poolpool1mask24
·sslvpnipaddress-pool
策略组下IP接入未引用IPv4地址池。
当SSLVPN访问实例和策略组下同时引用IPv4地址池时,将从策略组下的IPv4地址池分配地址,若地址池中无可用地址,则分配失败。当策略组中未引用IPv4地址池时,从访问实例的IPv4地址池中分配地址。
本命令可以引用不存在的IPv4地址池,但是不能从该地址池分配地址,只有创建地址池后,SSLVPN网关才可以为使用该地址池为客户端分配IPv4地址。
每个SSLVPN策略组下只能引用一个IPv4地址池。多次执行本命令,最后一次执行的命令生效。
#在策略组pg1下配置用户IP接入引用IPv4地址池pool1。
[Sysname-sslvpn-context-ctx1-policy-group-pg1]ip-tunneladdress-poolpool1mask24
ip-tunneldns-server命令用来配置为客户端指定的内网DNS服务器IPv4地址。
undoip-tunneldns-server命令用来恢复缺省情况。
ip-tunneldns-server{primary|secondary}ip-address
undoip-tunneldns-server{primary|secondary}
未配置为客户端指定的DNS服务器IPv4地址。
primary:指定主DNS服务器。
secondary:指定备DNS服务器。
ip-address:DNS服务器的IPv4地址,不能是组播、广播、环回地址。
#配置为客户端指定的主DNS服务器IPv4地址为1.1.1.1。
[Sysname-sslvpn-context-ctx]ip-tunneldns-serverprimary1.1.1.1
ip-tunnelinterface命令用来配置IP接入引用的SSLVPNAC接口。
undoip-tunnelinterface命令用来恢复缺省情况。
ip-tunnelinterfacesslvpn-acinterface-number
undoip-tunnelinterface
IP接入未引用SSLVPNAC接口。
sslvpn-acinterface-number:引用的SSLVPNAC接口。interface-number为SSLVPNAC接口编号,取值范围为设备上已创建的SSLVPNAC接口的编号。指定的SSLVPNAC接口必须在设备上已经存在。
当SSLVPN用户使用IP接入方式访问SSLVPN网关时,网关使用指定的SSLVPNAC接口与客户端通信。网关从SSLVPNAC接口接收到客户端发送的报文后,将报文转发到远端服务器;服务器做出响应后,网关会把应答报文通过SSLVPNAC接口发给客户端。
#指定IP接入引用的接口为SSLVPNAC100。
[Sysname-sslvpn-context-ctx]ip-tunnelinterfacesslvpn-ac100
·interfacesslvpn-ac
undoip-tunnelkeepalive命令用来恢复缺省情况。
ip-tunnelkeepaliveseconds
undoip-tunnelkeepalive
保活报文由客户端发送给网关,用于维持客户端和网关之间的会话。
[Sysname-sslvpn-context-ctx]ip-tunnelkeepalive50
ip-tunnellog命令用来开启IP接入的日志生成功能。
undoip-tunnellog命令用来关闭IP接入的日志功能。
ip-tunnellog{address-alloc-release|connection-close|packet-drop}
undoip-tunnellog{address-alloc-release|connection-close|packet-drop}
IP接入的日志功能处于关闭状态。
address-alloc-release:IP接入客户端虚拟网卡IP地址分配和释放的日志开关。
connection-close:IP接入连接关闭日志的开关。
packet-drop:IP接入丢包日志开关。
IP接入日志包括以下三种:
·客户端虚拟网卡IP地址分配和释放日志:IP接入方式下,SSLVPN网关为客户端虚拟网卡分配和释放IP地址时,SSLVPN网关会生成日志信息。
·连接关闭日志:IP接入建立的连接被关闭时,SSLVPN网关会生成日志信息。
·丢包日志:IP接入建立的连接发生丢包时,SSLVPN网关会生成日志信息。
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
#开启SSLVPN访问实例ctx1的丢包日志功能。
[Sysname-sslvpn-context-ctx1]ip-tunnellogconnection-close
ip-tunnelrate-limit命令用来开启IP接入方式的限速功能,并配置限速速率。
undoip-tunnelrate-limit命令用来关闭指定方向的IP接入方式限速功能。
ip-tunnelrate-limit{downstream|upstream}{kbps|pps}value
undoip-tunnelrate-limit{downstream|upstream}
IP接入方式的限速功能处于关闭状态。
downstream:下行流量,即内网资源服务器发送给SSLVPN用户的流量。
upstream:上行流量,即SSLVPN用户访问内网资源服务器的流量。
kbps:表示限速速率单位为千比特每秒。
pps:表示限速速率单位为报文数每秒。
value:表示允许的最大速率,取值范围为1000~100000000。
本功能用于限制SSLVPN访问实例的IP接入速率,超过此速率之后,访问实例收到的报文将被丢弃。管理员可根据需求和实际情况进行合理配置。
可多次执行本命令,分别对上行流量和下行流量进行限速。针对上行或下行流量,重复配置,最后一次配置生效。
#配置SSLVPN访问实例ctx1下IP接入的上行流量最大速率限制为10000pps。
[Sysname-sslvpn-context-ctx1]ip-tunnelrate-limitupstreampps10000
ip-tunnelweb-resourceauto-push
undoip-tunnelweb-resourceauto-push
[Sysname-sslvpn-context-ctx1]ip-tunnelweb-resourceauto-push
ip-tunnelwins-server命令用来配置为客户端指定的内网WINS服务器IPv4地址。
undoip-tunnelwins-server命令用来恢复缺省情况。
ip-tunnelwins-server{primary|secondary}ip-address
undoip-tunnelwins-server{primary|secondary}
未配置为客户端指定的WINS服务器IPv4地址。
primary:配置主WINS服务器。
secondary:配置备WINS服务器。
ip-address:WINS服务器的IPv4地址,不能是组播、广播、环回地址。
#配置为客户端指定的内网主WINS服务器IPv4地址为1.1.1.1。
[Sysname-sslvpn-context-ctx]ip-tunnelwins-serverprimary1.1.1.1
local-port命令用来添加一个端口转发实例。
undolocal-port命令用来删除指定的端口转发实例。
local-portlocal-port-numberlocal-namelocal-nameremote-serverremote-serverremote-portremote-port-number[descriptiontext]
undolocal-port
不存在端口转发实例。
端口转发表项视图
local-port-number:企业网内的TCP服务映射的本地端口号,取值范围为1~65535,且不能与本地已有服务的端口号相同。
local-namelocal-name:指定企业网内的TCP服务映射的本地地址或本地主机名称。local-name为1~253个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。
remote-serverremote-server:指定企业网内TCP服务的IP地址或完整域名。remote-server为为1~253个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。
remote-portremote-port-number:指定企业网内TCP服务的端口号。remote-port-number取值范围为1~65535。
descriptiontext:指定端口转发实例的描述信息。description-string为1~63个字符的字符串,区分大小写。
本命令用来将企业网内的基于TCP的服务(如Telnet、SSH、POP3)映射为SSLVPN客户端上的本地地址和本地端口,以便SSLVPN客户端通过本地地址和本地端口访问企业网内的服务器。例如,执行如下命令,表示在SSLVPN客户端上通过127.0.0.1、端口80可以访问企业网内的HTTP服务器192.168.0.213。
local-port80local-name127.0.0.1remote-server192.168.0.213remote-port80
添加端口转发实例时,需要注意的是,
·配置的local-port-number不能与本地已有服务的端口号相同。
·如果将企业网内的TCP服务映射为本地地址,则建议将本地地址配置为127.0.0.0/8网段的地址;如果映射为本地主机名,SSLVPN的TCP接入客户端软件会在主机文件hosts(C:\Windows\System32\drivers\etc\hosts)中添加主机名对应的IP地址,并在用户退出时恢复原来的主机文件hosts。
·每个端口转发表项只能添加一个端口转发实例。
#配置端口转发实例:将企业网内的HTTP服务器192.168.0.213映射为本地地址127.0.0.1、本地端口80。
[Sysname-sslvpn-context-ctx1]port-forward-itempfitem1
·port-forward-item
logresource-accessenable命令用来开启用户访问资源日志生成功能。
undologresource-accessenable命令用来关闭用户访问资源日志生成功能。
logresource-accessenable[brief|filtering]*
undologresource-accessenable
用户访问资源日志生成功能处于关闭状态。
brief:开启用户访问资源日志摘要功能。当开启该功能后,仅显示访问资源的地址及其端口号,增强日志的可读性。若不指定该参数,当用户访问资源时,日志信息会包含大量网页的构成元素信息。
filtering:开启用户访问资源日志过滤功能。当开启该功能后,1分钟内同一用户重复访问相同资源时仅生成一条日志信息。若不指定该参数,则表示同一用户重复访问相同资源时,均生产日志信息。
开启本功能后,用户访问资源信息时,SSLVPN网关会生成日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。
用户访问资源日志不会输出到控制台和监视终端。当信息中心配置的规则将用户访问资源日志输出到控制台和监视终端时,若仍需要查看用户访问资源日志,可通过执行displaylogbuffer命令查看。有关信息中心和displaylogbuffer命令的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。
#开启用户访问资源日志生成功能。
[Sysname-sslvpn-context-ctx1]logresource-accessenable
loguser-loginenable命令用来开启用户上下线日志生成功能。
undologuser-loginenable命令用来关闭用户上下线日志生成功能。
loguser-loginenable
undologuser-loginenable
用户上下线日志生成功能处于关闭状态。
开启本功能后,用户上线下线时,SSLVPN网关会生成日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
#开启用户上下线生成日志功能。
[Sysname-sslvpn-context-ctx1]loguser-loginenable
undologin-message命令用来恢复缺省情况。
login-message{chinesechinese-message|englishenglish-message}
undologin-message{chinese|english}
chinesechinese-message:指定中文页面的欢迎信息。chinese-message为1~255个字符的字符串,区分大小写。
englishenglish-message:指定英文页面的欢迎信息。english-message为1~255个字符的字符串,区分大小写。
#配置SSLVPN英文页面的欢迎信息为“hello”,中文页面的欢迎信息为“你好”。
[Sysname-sslvpn-context-ctx1]login-messageenglishhello
[Sysname-sslvpn-context-ctx1]login-messagechinese你好
logo命令用来配置SSLVPN页面上显示的logo。
undologo命令用来恢复缺省情况。
logo{filefile-name|none}
undologo
SSLVPN页面上显示“H3C”logo图标。
filefile-name:指定logo图标文件。file-name为1~255字符的字符串,不区分大小写。filename指定的logo图标文件必须为gif、jpg或png格式,且不能超过100KB,建议图片尺寸在110*30像素左右。
none:不显示logo图标。
指定的logo图标文件必须是本地已经存在的文件。
如果指定logo图标文件后,删除该文件,则仍然会显示该文件对应的logo图标。
#配置SSLVPN页面上显示的logo为flash:/mylogo.gif文件对应的logo图标。
[Sysname-sslvpn-context-ctx1]logofileflash:/mylogo.gif
max-onlines命令用来配置同一用户名的同时最大在线数。
undomax-onlines命令用来恢复缺省情况。
max-onlinesnumber
undomax-onlines
同一用户名的同时最大在线数为32。
number:SSLVPN的同一用户名同时最大在线数,取值范围为0~1048575,取值为0时表示不限制同一用户的同时最大在线数。
#配置同一用户名的同时最大在线数为50。
[Sysname-sslvpn-context-ctx1]max-onlines50
max-users命令用来配置SSLVPN访问实例的最大会话数。
undomax-users命令用来恢复缺省情况。
max-usersmax-number
undomax-users
SSLVPN访问实例的最大会话数为1048575。
max-number:SSLVPN访问实例的最大会话数,取值范围为1~1048575。
#配置SSLVPN访问实例的最大会话数为500。
[Sysname-sslvpn-context-ctx1]max-users500
message-server命令用来配置为客户端指定的Message服务器。
undomessage-server命令用来恢复缺省情况。
message-serveraddress{host-name|ipv4-address}portport-number
undomessage-server
没有配置为客户端指定的Message服务器。
address:指定Message服务器的主机名或IPv4地址。
host-name:Message服务器的主机名,为1~127个字符的字符串,可以包含字母、数字、下划线、“-”和“.”,不区分大小写。
ipv4-address:Message服务器的IPv4地址,为点分十进制格式,不能是组播、广播、环回地址。
portport-number:指定Message服务器使用的端口号。port-number取值范围为1025~65535。
Message服务器用来为移动客户端提供服务。执行本命令后,SSLVPN网关会将配置的Message服务器信息下发给客户端,以便客户端访问Message服务器。
#配置SSLVPNContext的Message服务器。
[Sysname-sslvpn-context-ctx]message-serveraddress10.10.1.1port8000
mobile-num命令用来配置用于接收短信的手机号码。
undomobile-num命令用来恢复缺省情况。
mobile-numnumber
undomobile-num
未配置用于接收短信的手机号码。
SSLVPN用户视图
number:用于接收短信的手机号码,为1~31个字符的字符串,仅支持数字。
#为用户user1配置接收短信的手机号码为111111。
[Sysname-sslvpn-context-ctx1]useruser1
[Sysname-sslvpn-context-ctx1-user-user1]mobile-num111111
mtu命令用来配置接口的MTU值。
undomtu命令用来恢复缺省情况。
mtusize
undomtu
接口的MTU值为1500。
size:接口的MTU值,取值范围为100~64000,单位为字节。
#配置接口SSLVPNAC1000的MTU值为1430字节。
[Sysname-SSLVPN-AC1000]mtu1430
new-content命令用来配置改写之后的文件内容。
undonew-content命令用来恢复缺省情况。
new-contentstring
undonew-content
未配置改写之后的文件内容。
改写规则视图
string:改写之后的文件内容,为1~256个字符的字符串,区分大小写。
在对网页文件进行改写的过程中,首先通过old-content命令配置的string对文件内容进行匹配,匹配成功之后,采用本命令配置的string对文件内容进行替换。
如果改写的文件内容中存在空格,需要使用双引号把文件内容引起来。
#配置改写之后的文件内容。
[Sysname-sslvpn-context-ctx-file-policy-fp]rewrite-rulerule1
[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1]new-contentsslvpn_rewrite_htmlcode(d)
·old-content
notify-message命令用来配置公告信息。
undonotify-message命令用来恢复缺省情况。
notify-message{login-page|resource-page}{chinesechinese-message|englishenglish-message}
undonotify-message{login-page|resource-page}{chinese|english}
未配置公告消息。
resource-page:指定SSLVPN资源页面公告信息。
chinesechinese-message:指定中文页面公告信息。chinese-message为1~255个字符的字符串,区分大小写。
englishenglish-message:指定英文页面公告信息。english-message为1~255个字符的字符串,区分大小写。
在同一个SSLVPN访问实例视图下,多次执行本命令配置相同界面相同语言的公告信息,最后一次执行的命令生效。
[Sysname-sslvpn-context-ctx1]notify-messagelogin-pagechinese请及时修改密码
old-content命令用来配置需要改写的文件内容。
undoold-content命令用来恢复缺省情况。
old-contentstring
undoold-content
未配置需要改写的文件内容。
string:需要改写的文件内容,为1~256个字符的字符串,区分大小写。
在对网页文件改写的过程中,首先通过本命令配置的string对文件内容进行匹配,匹配成功之后,采用new-content命令配置的改写之后的文件内容对其进行替换。
同一文件策略中的不同规则下需要改写的文件内容不能相同。
#配置需要改写的文件内容。
[Sysname-sslvpn-context-ctx-file-policy-fp]rewriterulerule1
[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1]old-content"a.b.c.innerHTML=d;"
·new-content
password-authenticationenable命令用来开启用户名/密码认证功能。
undopassword-authenticationenable命令用来关闭用户名/密码认证功能。
password-authenticationenable
undopassword-authenticationenable
用户名/密码认证功能处于开启状态。
#关闭SSLVPN访问实例的用户名/密码认证功能。
[Sysname-sslvpn-context-ctx]undopassword-authenticationenable
password-boxhide
undopassword-boxhide
为了保证设备的可用性和安全性,建议配合其他验证方式使用。
当管理员希望通过除用户名/密码以外的方式验证用户身份时,建议使用本功能。
[Sysname-sslvpn-context-ctx1]password-boxhide
password-changingenable
undopassword-changingenable
[Sysname-sslvpn-context-ctx1]password-changingenable
·password-changingenable(SSLVPNuserview)
[Sysname-sslvpn-context-ctx1-user-user1]password-changingenable
·password-changingenable(SSLVPNcontextview)
password-complexity-message命令用来配置密码复杂度提示信息。
undopassword-complexity-message命令用来恢复缺省情况。
password-complexity-message{chinesechinese-message|englishenglish-message}
undopassword-complexity-message{chinese|english}
未配置密码复杂度提示信息。
chinesechinese-message:指定中文页面的密码复杂度提示信息。chinese-message为1~255个字符的字符串,区分大小写。
englishenglish-message:指定英文页面的密码复杂度提示信息。english-message为1~255个字符的字符串,区分大小写。
本命令配置的中英文页面密码复杂度提示信息将在SSLVPN修改密码页面显示,用于提示用户输入满足密码复杂度要求的新密码。
在同一个SSLVPN访问实例视图下,多次执行本命令配置相同语言的提示信息,最后一次执行的命令生效。
#在SSLVPN访问实例ctx1下,配置中文页面密码复杂度提示信息为“必须包含大小写字母”。
[Sysname-sslvpn-context-ctx1]password-complexity-messagechinese必须包含大小写字母
policy-group命令用来创建策略组,并进入SSLVPN策略组视图。如果指定的策略组已经存在,则直接进入策略组视图。
undopolicy-group命令用来删除指定的策略组。
policy-groupgroup-name
undopolicy-groupgroup-name
不存在策略组。
策略组包含一系列规则,这些规则为用户定义了资源的访问权限。
#创建名为pg1的策略组,并进入SSLVPN策略组视图。
[Sysname-sslvpn-context-ctx1-policy-group-pg1]
·default-policy-group
port-forward命令用来创建端口转发列表,并进入端口转发列表视图。如果指定的端口转发列表已经存在,则直接进入端口转发列表视图。
undoport-forward命令用来删除指定的端口转发列表。
port-forwardport-forward-name
undoport-forwardport-forward-name
不存在端口转发列表。
port-forward-name:端口转发列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
端口转发列表用来为SSLVPN用户提供TCP接入服务。
在转发列表视图下,通过port-forward-item命令可以创建端口转发表项。一个端口转发列表中可以配置多个端口转发表项。
#创建端口转发列表pflist1,并进入端口转发列表视图。
[Sysname-sslvpn-context-ctx1]port-forwardpflist1
[Sysname-sslvpn-context-ctx1-port-forward-pflist1]
·local-port
·resourcesport-forward
port-forward-item命令用来创建端口转发表项,并进入端口转发表项视图。如果指定的端口转发表项已经存在,则直接进入端口转发表项视图。
undoport-forward-item命令用来删除指定的端口转发表项。
port-forward-itemitem-name
undoport-forward-itemitem-name
不存在端口转发表项。
item-name:端口转发表项名称,为1~31个字符的字符串,不区分大小写。
端口转发表项用来为SSLVPN用户提供TCP接入服务。
在端口转发表项视图下,需要通过local-port命令创建端口转发实例。端口转发实例将企业网内的基于TCP的服务(如Telnet、SSH、POP3)映射为SSLVPN客户端上的本地地址和本地端口,以便SSLVPN客户端通过本地地址和本地端口访问企业网内的服务器。
一个端口转发列表中可以配置多个端口转发表项。
#创建端口转发表项pfitem1,并进入端口转发表项视图。
[Sysname-sslvpn-context-ctx1-port-forward-item-pfitem1]
·resourcesport-forward-item
prevent-crackingfreeze-ip命令用来设置防暴力破解冻结IP地址功能参数。
undoprevent-crackingfreeze-ip命令用来恢复缺省情况。
prevent-crackingfreeze-iplogin-failureslogin-failuresfreeze-timefreeze-time
undoprevent-crackingfreeze-ip
[Sysname-sslvpn-context-ctx1]prevent-crackingfreeze-iplogin-failures100freeze-time60
·displaysslvpnprevent-crackingfrozen-ip
prevent-crackingfreeze-ipenable命令用来开启防暴力破解冻结IP地址功能。
undoprevent-crackingfreeze-ipenable命令用来关闭防暴力破解冻结IP地址功能。
prevent-crackingfreeze-ipenable
undoprevent-crackingfreeze-ipenable
防暴力破解冻结IP地址功能处于关闭状态。
#开启防暴力破解冻结IP地址功能。
[Sysname-sslvpn-context-ctx1]prevent-crackingfreeze-ipenable
prevent-crackingunfreeze-ip命令用来手工解冻防暴力破解冻结的IP地址。
prevent-crackingunfreeze-ip{all|ipv4ip-address}
all:表示手工解冻所有IP地址。
ipv4:表示指定IPv4地址。
ip-address:表示手工解冻的IP地址。
#在SSLVPN访问实例ctx1下,解冻所有防暴力破解冻结的IP地址。
[Sysname-sslvpn-context-ctx1]prevent-crackingunfreeze-ipall
prevent-crackingverify-code命令用来设置防暴力破解验证码验证功能参数。
undoprevent-crackingverify-code命令用来恢复缺省情况。
prevent-crackingverify-codelogin-failureslogin-failures
undoprevent-crackingverify-code
[Sysname-sslvpn-context-ctx1]prevent-crackingverify-codelogin-failures-times10
prevent-crackingverify-codeenable命令用来开启防暴力破解验证码验证功能。
undoprevent-crackingverify-codeenable命令用来关闭防暴力破解验证码验证功能。
prevent-crackingverify-codeenable
undoprevent-crackingverify-codeenable
防暴力破解验证码验证功能处于关闭状态。
#开启防暴力破解验证码验证功能。
[Sysname-sslvpn-context-ctx1]prevent-crackingverify-codeenable
rate-limit命令用来开启SSLVPN会话的限速功能,并配置限速速率。
undorate-limit命令用来关闭指定方向的SSLVPN会话的限速功能。
rate-limit{downstream|upstream}value
undorate-limit{downstream|upstream}
SSLVPN会话的限速功能处于关闭状态。
downstream:SSLVPN用户的下行流量,即内网资源服务器发送给SSLVPN用户的流量。
upstream:SSLVPN用户的上行流量,即SSLVPN用户访问内网资源服务器的流量。
value:表示允许的最大速率,取值范围为1000~100000000,单位为kbps。
本功能用于限制SSLVPN访问实例下SSLVPN会话的速率,超过此速率之后,此SSLVPN会话相应方向的报文将会被丢弃。管理员可根据需求和实际情况进行合理配置。
#在SSLVPN访问实例ctx1下,配置SSLVPN会话的上行流量最大速率限制为10000kbps。
[Sysname-sslvpn-context-ctx1]rate-limitupstream10000
。
undoredirect-resource命令用来恢复缺省情况。
redirect-resource{shortcut|url-item}resource-name
undoredirect-resource
shortcut:表示重定向资源类型为快捷方式。
url-item:表示重定向资源类型为URL表项。
resource-name:表示重定向资源名称,为1~31个字符的字符串,不区分大小写。
在同一个SSLVPN策略组视图下,多次执行本命令,最后一次执行的命令生效。
#在SSLVPN策略组pg1下配置重定向资源的资源类型为url-item,资源名称为url1。
[Sysname-sslvpn-context-ctx1-policy-group-pg1]redirect-resourceurl-itemurl1
·displaysslvpnpolicy-group
resetcountersinterfacesslvpn-ac命令用来清除SSLVPNAC接口的统计信息。
resetcountersinterface[sslvpn-ac[interface-number]]
用户视图
sslvpn-ac[interface-number]:指定接口的类型及编号。interface-number为SSLVPNAC接口的编号,取值范围为0~4095。如果不指定sslvpn-ac,则清除所有接口的统计信息,如果指定sslvpn-ac而不指定interface-number,则清除所有SSLVPNAC接口的统计信息。
#清除接口SSLVPNAC1000的统计信息。
·displayinterfacesslvpn-ac
resetsslvpnip-tunnelstatistics命令用来清除通过IP接入的SSLVPN用户的报文统计信息。
resetsslvpnip-tunnelstatistics[contextcontext-name[sessionsession-id]]
contextcontext-name:清除指定SSLVPN访问实例下通过IP接入的SSLVPN用户的报文统计信息。context-name表示SSLVPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则清除所有SSLVPN访问实例下通过IP接入的SSLVPN用户的报文统计信息。
sessionsession-id:清除指定会话ID的SSLVPN用户的IP接入报文统计信息。session-id表示SSLVPN用户会话标识,取值范围为1~4294967295。如果不指定本参数,则清除指定的SSLVPN访问实例下所有通过IP接入的SSLVPN用户的报文统计信息。
SSLVPN访问实例名和会话ID可以通过displaysslvpnsession来查看。如果不指定任何参数,则表示清除所有SSLVPN访问实例下的所有用户的IP接入报文统计信息。
#清除所有SSLVPN访问实例下通过IP接入的SSLVPN用户的报文统计信息。
#清除SSLVPN访问实例ctx1下通过IP接入的SSLVPN用户的报文统计信息。
#清除SSLVPN访问实例ctx1下会话ID为1的SSLVPN用户的IP接入报文统计信息。
·displaysslvpnip-tunnelstatistics
·displaysslvpnsession
resourcesport-forward命令用来配置策略组引用端口转发列表。
undoresourcesport-forward命令用来取消策略组引用端口转发列表。
resourcesport-forwardport-forward-name
undoresourcesport-forward
策略组没有引用任何端口转发列表。
port-forward-name:端口转发列表名称,为1~31个字符的字符串,支持输入中文字符,且必须已经存在。
#配置策略组pg1引用端口转发列表pflist1。
[Sysname-sslvpn-context-ctx1-policy-group-pg1]resourcesport-forwardpflist1
·port-forward
resourcesport-forward-item命令用来配置端口转发列表引用端口转发表项。
undoresourcesport-forward-item命令用来取消端口转发列表引用的端口转发表项。
resourcesport-forward-itemitem-name
undoresourcesport-forward-itemitem-name
端口转发列表未引用任何端口转发表项。
端口转发列表视图
本命令引用的端口转发表项必须先通过port-forward-item命令创建。
一个端口转发列表可以引用多条端口转发表项。
#配置端口转发列表pflist1引用端口转发表项pfitem1。
[Sysname-sslvpn-context-ctx1-port-forward-item-pfitem1]quit
[Sysname-sslvpn-context-ctx1-port-forward-pflist1]resourcesport-forward-itempfitem1
resourcesuri-acl命令用来配置过滤URL资源的URIACL。
undoresourcesuri-acl命令用来删除过滤URL资源的URIACL。
resourcesuri-acluri-acl-name
undoresourcesuri-acl
不对URL资源进行过滤。
URL表项视图
uri-acl-name:指定过滤URL内容的URIACL的名称,为1~31个字符的字符串,不区分大小写。引用的URIACL必须已经存在。
此命令用于对访问的URL资源进行更精细的控制。
#配置过滤URL资源的URIACL为abc。
[Sysname-sslvpn-context-ctx1]url-itemserverA
[Sysname-sslvpn-context-ctx1-url-item-serverA]resourcesuri-aclabc
·uri-acl
resourcesurl-item命令用来配置URL列表引用的URL表项。
undoresourcesurl-item命令用来删除URL列表引用的URL表项。
resourcesurl-itemurl-item-name
undoresourcesurl-itemurl-item-name
未引用URL表项。
url-item-name:表示URL表项的名称,为1~31个字符的字符串,不区分大小写。引用的URL表项必须已存在。
一个URL列表可以引用多个URL表项。
#创建URL列表list1,引用名为serverA的表项。
[Sysname-sslvpn-context-ctx1]url-listlist1
[Sysname-sslvpn-context-ctx1-url-list-list1]resourcesurl-itemserverA
·url-item
resourcesurl-list命令用来配置策略组引用URL列表。
undoresourcesurl-list命令用来取消策略组引用URL列表。
resourcesurl-listurl-list-name
undoresourcesurl-listurl-list-name
策略组没有引用任何URL列表。
url-list-name:URL列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符,且必须已经存在。
在Web接入模式下,配置策略组引用URL列表后,远端用户可以使用浏览器访问URL列表下的URL资源。
#配置策略组pg1引用URL列表url1。
[Sysname-sslvpn-context-ctx1-policy-group-pg1]resourcesurl-listurl1
resources-file命令用来配置供用户下载的资源文件。
undoresources-file命令用来恢复缺省情况。
resources-file{chinesechinese-filename|englishenglish-filename}
undoresources-file{chinese|english}
未配置供用户下载的资源文件。
chinesechinese-filename:指定中文页面供用户下载的文件名。chinese-filename为1~31个字符的字符串,区分大小写。
englishenglish-filename:指定英文页面供用户下载的文件名。english-filename为1~31个字符的字符串,区分大小写。
本命令配置的文件,将在SSLVPN资源页面显示,可供用户下载使用。文件需由SSLVPN网关管理员提前上传至设备的文件管理系统,且通过本命令配置该文件时需要输入文件的完整路径。
在同一个SSLVPN访问实例视图下,多次执行本命令配置相同语言的资源文件,最后一次执行的命令生效。
#在SSLVPN访问实例ctx1下,配置中文页面供用户下载的文件为flash:/sslvpnhelp.pdf。
[Sysname-sslvpn-context-ctx1]resources-filechineseflash:/sslvpnhelp.pdf
rewriteserver-response-message命令用来改写服务器返回信息。
undorewriteserver-response-message命令用来恢复缺省情况。
rewriteserver-response-messageserver-response-message{chinesechinese-message|englishenglish-message}
undorewriteserver-response-messageserver-response-message{chinese|english}
SSLVPN网关不改写服务器返回信息。
server-response-message:服务器返回信息的初始内容,为1~127个字符的字符串,区分大小写。若需输入空格,则需要将整个字符串包含在双引号中输入。
chinesechinese-message:指定中文页面服务器返回信息的改写内容。chinese-message为1~127个字符的字符串,区分大小写。
englishenglish-message:指定英文页面服务器返回信息的改写内容。english-message为1~127个字符的字符串,区分大小写。
在同一个SSLVPN访问实例视图下,多次执行本命令配置相同服务器返回信息初始内容相同语言的改写内容,最后一次执行的命令生效。
#在SSLVPN访问实例ctx1下,指定中文页面服务器返回信息“认证成功”的改写内容为“用户身份认证成功”。
[Sysname-sslvpn-context-ctx1]rewriteserver-response-message认证成功chinese用户身份认证成功
rewrite-rule命令用来创建改写规则,并进入改写规则视图。如果指定的改写规则已经存在,则直接进入该改写规则视图。
undorewrite-rule命令用来删除指定的改写规则。
rewrite-rulerule-name
undorewrite-rulerule-name
不存在改写规则。
rule-name:改写规则名称,为1~31个字符的字符串,不区分大小写。
同一个文件策略视图中可以配置多个改写规则。
#创建改写规则rule1,并进入改写规则视图。
[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1]
rule命令用来创建URIACL规则。
undorule命令用来删除指定的URIACL规则。
rule[rule-id]{deny|permit}uriuri-pattern-string
undorulerule-id
不存在URLACL规则。
URIACL视图
deny:表示拒绝符合条件的报文。
permit:表示允许符合条件的报文。
rule-id:规则ID,取值范围为0~65534,步长为5。若未指定本参数,自动分配一个大于现有最大编号的最小编号。例如现有规则的最大编号为28,那么自动分配的新编号将是30。
uri:指定URI形式字符串。
表1-14URI匹配字段说明
protocol
协议名称,取值包括:
·tcp
·udp
·icmp
·ip
host
主机IP地址或域名
1.支持的主机地址格式如下:
·IPv4地址,例如:192.168.1.1
·使用字符-表示的IPv4地址地址范围,例如:3.3.3.1-3.3.3.200
·指定子网掩码长度的IPv4地址,例如2.2.2.2/24
以上三种格式的组合,使用逗号分隔,例如:192.168.1.1,3.3.3.1-3.3.3.200,2.2.2.2/24
2.支持的域名格式如下:
·精确的主机域名,例如www.domain.com
·包含通配符的主机域名。支持的通配符包括:
*:匹配零个或多个任意字符,例如:*.com
:匹配单个任意字符,例如:www.domain.com
%:匹配本级域名为任意字符,例如:www.%.com
port
主机端口。若未指定,则使用该协议的缺省端口号。支持的端口格式如下:
·单个端口,例如:1002
·使用字符-表示的端口范围,例如:8080-8088
以上两种格式的组合,使用逗号分隔,例如:1002,90,8080-8088
path
主机上的文件或目录,以一个或多个/或\分隔的路径。路径支持的通配符包括:
·*:匹配零个或多个任意字符,例如:/path1/*
·:匹配单个任意字符,例如:/path/
·%:匹配本级域名为任意字符,例如:/path1/%/
URIACL在匹配过滤时会按照规则ID从小到大的顺序依次匹配报文,一旦匹配上某条规则便结束匹配过程。
#在URIACL视图下,配置一条URIACL规则。
[Sysname-sslvpn-context-abc]uri-acluriacla
self-serviceimcaddress命令用来配置iMC认证用户自助修改密码使用的iMC服务器。
undoself-serviceimcaddress命令用来恢复缺省情况。
self-serviceimcaddressip-addressportport-number[vpn-instancevpn-instance-name]
undoself-serviceimcaddress
未配置iMC认证用户自助修改密码使用的iMC服务器。
ip-address:iMC服务器的IPv4地址,为点分十进制格式。
portport-number:iMC服务器的端口号,取值范围为1~65535。
vpn-instancevpn-instance-name:iMC服务器所属的VPN实例。vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示该iMC服务器属于公网。
#在SSLVPN访问实例ctx1下,配置iMC认证用户自助修改密码使用的iMC服务器的IPv4地址为192.168.10.1,端口号为443,关联VPN实例vpn1。
[Sysname-sslvpn-context-ctx1]self-serviceimcaddress192.168.10.1port443vpn-instancevpn1
server-address命令用来配置iMC短信认证使用的iMC服务器。
undoserver-address命令用来恢复缺省情况。
server-addressip-addressportport-number[vpn-instancevpn-instance-name]
undoserver-address
未配置iMC短信认证使用的iMC服务器。
iMC短信认证视图
vpn-instancevpn-instance-name:iMC服务器关联的VPN实例。vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示该iMC服务器属于公网。
#在iMC短信认证视图下配置短信认证使用的iMC服务器的IP地址为192.168.151.1,端口号为2000,关联VPN实例为vpn1。
[Sysname-sslvpn-context-ctx1]sms-authimc
[Sysname-sslvpn-context-ctx1-sms-auth-imc]server-address192.168.151.1port2000vpn-instancevpn1
serviceenable命令用来开启SSLVPN访问实例。
undoserviceenable命令用来关闭SSLVPN访问实例。
serviceenable
undoserviceenable
SSLVPN访问实例处于关闭状态。
#开启名为ctx1的SSLVPN访问实例。
[Sysname-sslvpn-context-ctx1]serviceenable
serviceenable命令用来开启SSLVPN网关。
undoserviceenable命令用来关闭SSLVPN网关。
SSLVPN网关处于关闭状态。
#开启SSLVPN网关。
[Sysname-sslvpn-gateway-gw1]serviceenable
session-connections命令用来配置每个会话的最大连接数。
undosession-connections命令用来恢复缺省情况。
session-connectionsnumber
undosession-connections
每个会话的同时最大连接数为64。
number:SSLVPN访问实例下,单个会话的最大连接数,取值范围为0、10~1000。取值为0时表示不限制单个会话的最大连接数。
SSLVPN会话收到报文时,如果收到报文的单板/设备上该会话的连接数超过单个会话的最大连接数,则回应客户端503ServiceUnavailable,并关闭该连接。
#配置SSLVPN的单个会话的最大连接数为10。
[Sysname-sslvpn-context-ctx1]session-connections10
shutdown命令用来关闭接口。
undoshutdown命令用来开启接口。
shutdown
undoshutdown
SSLVPNAC接口均处于开启状态。
执行本命令会导致使用该接口转发的业务流量中断,不能通信,请谨慎使用。
#关闭接口SSLVPNAC1000。
[Sysname-SSLVPN-AC1000]shutdown
sms-auth命令用来创建短信认证视图,并进入短信认证视图。如果指定的短信认证视图已经存在,则直接进入短信认证视图。
undosms-auth命令用来删除短信认证视图。
sms-authimc
undosms-authimc
不存在短信认证视图。
imc:表示iMC短信认证视图。
#在SSLVPN访问实例ctx1下创建并进入iMC网关认证视图。
[Sysname-sslvpn-context-ctx1-sms-auth-imc]
·sms-authtype
sms-authtype命令用来配置短信认证类型,并开启短信认证功能。
undosms-authtype命令用来恢复缺省情况。
sms-authtypeimc
undosms-authtype
短信认证功能处于关闭状态。
imc:表示iMC短信认证。
设备使用iMC认证服务器对SSLVPN用户进行短信认证,需要在iMC短信认证视图下配置短信认证使用的iMC服务器的IP地址和端口号。
#在SSLVPN访问实例ctx1下配置短信认证类型为iMC短信认证imc。
[Sysname-sslvpn-context-ctx1]sms-authtypeimc
·sms-auth
sslclient-policy命令用来配置SSLVPN访问实例引用的SSL客户端策略。
undosslclient-policy命令用来恢复缺省情况。
sslclient-policypolicy-name
undosslclient-policy
(非FIPS模式)
缺省情况下,SSL客户端策略支持的加密套件为dhe_rsa_aes_128_cbc_sha、dhe_rsa_aes_256_cbc_sha、rsa_3des_ede_cbc_sha、rsa_aes_128_cbc_sha、rsa_aes_256_cbc_sha。
(FIPS模式)
缺省情况下,SSL客户端策略支持的加密套件为rsa_aes_128_cbc_sha、rsa_aes_256_cbc_sha。
policy-name:表示SSL客户端策略名称,为1~31个字符的字符串,不区分大小写。
执行本配置后,SSLVPN网关将使用指定的SSL客户端策略与HTTPS类型的Web服务器建立连接。
SSLVPN访问实例只能引用一个SSL客户端策略。多次执行本命令,最后一次执行的命令生效,但新的配置不会立即生效。请先通过undoserviceenable命令关闭SSLVPN访问实例,再执行serviceenable命令开启SSLVPN访问实例后,新的配置才会生效。
有关SSL客户端策略的详细介绍,请参见“安全配置指导”中的“SSL”。
#配置SSLVPN访问实例ctx1引用SSL客户端策略abc。
[Sysname-sslvpn-context-ctx1]sslclient-policyabc
sslserver-policy命令用来配置SSLVPN网关引用SSL服务器端策略。
undosslserver-policy命令用来取消SSLVPN网关引用SSL服务器端策略。
sslserver-policypolicy-name
undosslserver-policy
SSLVPN网关引用自签名证书的SSL服务器端策略。
policy-name:SSLVPN网关引用的SSL服务器端策略名称,为1~31个字符的字符串,不区分大小写。
通过本命令指定SSLVPN网关引用的SSL服务器端策略后,SSLVPN网关将采用该策略下的参数与远端接入用户建立SSL连接。
SSLVPN网关只能引用一个SSL服务器端策略。多次执行本命令,最后一次执行的命令生效,但新的配置不会立即生效。只有执行undoserviceenable命令关闭SSLVPN网关,并执行serviceenable命令开启SSLVPN网关后,新的配置才会生效。
#配置SSLVPN网关gw1引用SSL服务器端策略CA_CERT。
[Sysname-sslvpn-gateway-gw1]sslserver-policyCA_CERT
sslvpncontext命令用来创建SSLVPN访问实例,并进入SSLVPN访问实例视图。如果指定的SSLVPN访问实例已经存在,则直接进入SSLVPN访问实例视图。
undosslvpncontext命令用来删除指定的SSLVPN访问实例。
sslvpncontextcontext-name
undosslvpncontextcontext-name
不存在SSLVPN访问实例。
context-name:SSLVPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。
#创建名为ctx1的SSLVPN访问实例,并进入SSLVPN访问实例视图。
[Sysname-sslvpn-context-ctx1]
sslvpngateway命令用来创建SSLVPN网关,并进入SSLVPN网关视图。如果指定的SSLVPN网关已经存在,则直接进入SSLVPN网关视图。
undosslvpngateway命令用来删除指定的SSLVPN网关。
sslvpngatewaygateway-name
undosslvpngatewaygateway-name
不存在SSLVPN网关。
gateway-name:SSLVPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。
SSLVPN网关位于远端接入用户和企业内部网络之间,负责在二者之间转发报文。SSLVPN网关与远端接入用户建立SSL连接,并对接入用户进行身份认证。远端接入用户的访问请求只有通过SSLVPN网关的安全检查和认证后,才会被SSLVPN网关转发到企业网络内部,从而实现对企业内部资源的保护。
在SSLVPN网关视图下,需要进行以下配置:
·通过ipaddress命令指定SSLVPN网关的IP地址和端口号,以便远端接入用户通过该IP地址和端口号访问SSLVPN网关。
·通过sslserver-policy命令指定SSLVPN网关引用的SSL服务器端策略,以便SSLVPN网关采用该策略下的参数与远端接入用户建立SSL连接。
·通过serviceenable命令开启SSLVPN网关。
如果SSLVPN网关被SSLVPN访问实例引用,则该SSLVPN网关不能被删除。请先通过undogateway命令取消引用,再执行本命令删除SSLVPN网关。
#创建SSLVPN网关gw1,并进入SSLVPN网关视图。
[Sysname-sslvpn-gateway-gw1]
sslvpnipaddress-pool命令用来创建IPv4地址池。
undosslvpnipaddress-pool命令用来删除指定的IPv4地址池。
sslvpnipaddress-poolpool-namestart-ip-addressend-ip-address
undosslvpnipaddress-poolpool-name
不存在IPv4地址池。
pool-name:IPv4地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
start-ip-addressend-ip-address:表示IPv4地址池的起始地址和结束地址,结束地址必须大于起始地址。起始地址和结束地址均不能是组播、广播、环回地址。
本命令创建的IPv4地址池可以被SSLVPN访问实例和策略组引用,SSLVPN网关将从引用的地址池中选择地址、分配给IP接入方式的客户端。
#创建IPv4地址池pool1,指定地址范围为10.1.1.1~10.1.1.254。
[Sysname]sslvpnipaddress-poolpool110.1.1.110.1.1.254
·ip-tunneladdress-pool(SSLVPNcontextview)
·ip-tunneladdress-pool(SSLVPNpolicygroupview)
sslvpnlogenable命令用来开启SSLVPN全局日志生成功能。
undosslvpnlogenable命令用来关闭SSLVPN全局日志生成功能。
sslvpnlogenable
undosslvpnlogenable
SSLVPN全局日志生成功能处于关闭状态。
开启本功能后,SSLVPN网关会生成一些全局日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
目前触发SSLVPN生成全局日志的事件有:
·不存在可以访问的访问实例。
·访问未使能的访问实例。
#开启SSLVPN全局日志生成功能。
[Sysname]sslvpnlogenable
sslvpnwebpage-customize命令用来设置SSLVPN全局页面模板。
undosslvpnwebpage-customize命令用来恢复缺省情况。
sslvpnwebpage-customizetemplate-name
undosslvpnwebpage-customize
SSLVPN页面为系统缺省页面。
template-name:页面模板的名称,为1~31的字符串,不能包括下列任何字符“/”、“\”、“|”、“:”、“*”、““”、“”、“<”和“>”。
需要通过Web网管页面上传和下载页面模板。可以通过下载预定义的模板,来编辑自定义的模板。
通过displaysslvpnwebpage-customizetemplate命令可以查看目前系统中所有的SSLVPN页面模板。
当在访问实例下配置了定制页面时,优先使用访问实例下的配置。
#设置SSLVPN页面使用的页面模板为template1。
[Sysname]sslvpnwebpage-customizetemplate1
·displaysslvpnwebpage-customizetemplate
undossoauto-buildcode命令用来恢复缺省情况。
ssoauto-buildcode{gb18030|utf-8}
undossoauto-buildcode
在同一个URL表项视图下,多次执行本命令,最后一次执行生效。
[Sysname-sslvpn-context-ctx1]url-itemservera
[Sysname-sslvpn-context-ctx1-url-item-servera]ssoauto-buildcodegb18030
·ssoauto-buildcustom-login-parameter
·ssoauto-buildlogin-parameter-field
·ssoauto-buildrequest-method
·ssomethod
undossoauto-buildcustom-login-parameter命令用来恢复缺省情况。
ssoauto-buildcustom-login-parameternameparameter-namevaluevalue[encrypt]
undossoauto-buildcustom-login-parameternameparameter-name
·ssoauto-buildcode
·ssoauto-buildencrypt-file
·ssoauto-buildlogin-parameter
undossoauto-buildencrypt-file命令用来恢复缺省情况。
ssoauto-buildencrypt-filefilename
undossoauto-buildencrypt-file
filename:加密文件名,为1~255个字符的字符串,不区分大小写。
加密文件是使用JavaScript语法编写的包含加密处理函数的文件,需由SSLVPN网关管理员提前上传至设备的文件管理系统。如果将文件上传至设备根目录时,执行本命令不需要指定路径;如果将文件上传至非根目录时,执行本命令时需要指定完整路径。SSLVPN网关管理员需要按照如下模板编写加密函数:
functionsslvpn_sso_encrypt(code)
{
//加密处理编码
}
[Sysname-sslvpn-context-ctx1-url-item-servera]ssoauto-buildencrypt-filetest.js
undossoauto-buildlogin-parameter命令用来恢复缺省情况。
ssoauto-buildlogin-parameter{cert-fingerprint|cert-serial|cert-title|custom-password|custom-username|login-name|login-password|mobile-num|user-group}nameparameter-name[encrypt]
undossoauto-buildlogin-parameter{cert-fingerprint|cert-serial|cert-title|custom-password|custom-username|login-name|login-password|mobile-num|user-group}
[Sysname-sslvpn-context-ctx1-url-item-servera]ssoauto-buildlogin-parametercert-titlenameloginencrypt
undossoauto-buildrequest-method命令用来恢复缺省情况。
ssoauto-buildrequest-method{get|post}
undossoauto-buildrequest-method
[Sysname-sslvpn-context-ctx1-url-item-servera]ssoauto-buildrequest-methodpost
undossobasiccustom-username-passwordenable命令用来恢复缺省情况。
ssobasiccustom-username-passwordenable
undossobasiccustom-username-passwordenable
[Sysname-sslvpn-context-ctx1-url-item-servera]ssobasiccustom-username-passwordenable
undossomethod命令用来恢复缺省情况。
ssomethod{auto-build|basic}
undossomethod
[Sysname-sslvpn-context-ctx1-url-item-servera]ssomethodbasic
undotimeoutidle命令用来恢复缺省情况。
timeoutidleminutes
undotimeoutidle
[Sysname-sslvpn-context-ctx1]timeoutidle50
title命令用来配置SSLVPN页面的标题信息。
undotitle命令用来恢复缺省情况。
title{chinesechinese-title|englishenglish-title}
undotitle{chinese|english}
SSLVPN页面的标题为“SSLVPN”。
chinesechinese-title:指定中文页面的标题信息。chinese-title为1~255个字符的字符串,区分大小写。
englishenglish-title:指定英文页面的标题信息。english-title为1~255个字符的字符串,区分大小写。
#配置SSLVPN英文页面的标题信息为“SSLVPNserviceforcompanyA”,中文页面的标题信息为“公司A的SSLVPN服务”。
[Sysname-sslvpn-context-ctx1]titleenglishSSLVPNserviceforcompanyA
[Sysname-sslvpn-context-ctx1]titlechinese公司A的SSLVPN服务
uri-acl命令用来创建URIACL,并进入URIACL视图。如果指定的URIACL已经存在,则直接进入URIACL视图。
undouri-acl命令用来删除指定的URIACL。
uri-acluri-acl-name
undouri-acluri-acl-name
不存在URIACL。
uri-acl-name:URIACL名称,为1~31个字符的字符串,不区分大小写。
此命令创建URI形式的ACL,用于对SSLVPN的各种接入方式进行更精细的控制。对URL进行匹配,符合要求的URL请求可以访问对应的资源。
在一个SSLVPN访问实例视图中可以配置多个URIACL。
#创建名称为uriacla的URIACL,并进入URIACL视图。
[Sysname-sslvpn-context-abc-uri-acl-uriacla]
url命令用来配置文件策略应用的URL地址。
undourl命令用来恢复缺省情况。
urlurl
undourl
不存在文件策略应用的URL地址。
url:表示文件策略应用的完整路径,为1~256个字符的字符串,不区分大小写。
只有配置的url与网关正在处理的网页文件的URL相同时,才会根据文件策略中的配置对该网页文件内容进行改写。
完整URL的语法为scheme://user:password@host:port/path,其含义如下:
·scheme:表示访问服务器以获取资源时使用的协议类型,目前支持HTTP和HTTPS。
·user:password:访问资源时需要提供的用户名和密码。
·host:资源服务器的主机名或IPv4地址。
·port:资源服务器正在监听的端口号。大多数协议类型都有默认的端口号(例如:HTTP为80、HTTPS为443等)。
·path:服务器上资源的本地路径。
每个文件策略只能创建一个URL。同一SSLVPN访问实例下不同文件策略下的URL不能相同。
#配置文件策略fp应用的URL地址。
url命令用来配置资源的URL。
undourl命令用来删除资源的URL。
URL表项中不存在资源的URL。
url:表示URL表项中资源的URL,为1~253个字符的字符串,不区分大小写。
一个URL由协议类型、主机名或地址、端口号、资源路径四部分组成,完整格式为“协议类型://主机名称或地址:端口号/资源路径”。
协议类型目前仅支持HTTP和HTTPS,如果没有指定,协议类型缺省为HTTP。
每一种协议类型都有一个缺省的端口号,例如HTTP缺省端口号为80,HTTPS缺省端口号为443。
多次执行本命令,最后一次执行的生效。
#在URL表项serverA中配置资源的URL为www.abc.com。
[Sysname-sslvpn-context-ctx1-url-item-serverA]urlwww.abc.com
url-item命令用来创建URL表项,并进入URL表项视图。如果指定的URL表项已经存在,则直接进入URL表项视图。
undourl-item命令用来删除指定的URL表项。
url-itemurl-item-name
undourl-itemurl-item-name
SSLVPN访问实例下不存在URL表项。
url-item-name:表示URL表项的名称,为1~31个字符的字符串,不区分大小写。
可以在同一个SSLVPN访问实例下创建多个URL表项,被URL列表引用的URL表项无法被删除。
URL表项名称即URL对应的链接名。
#创建名称为serverA的URL表项,并进入URL表项视图。
[Sysname-sslvpn-context-ctx1-url-item-serverA]
url-list命令用来创建URL列表并进入URL列表视图。如果指定的URL列表已经存在,则直接进入URL列表视图。
undourl-list命令用来删除URL列表。
url-listname
undourl-listname
不存在URL列表。
name:URL列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
#创建名为url1的URL列表,并进入URL列表视图。
[Sysname-sslvpn-context-ctx1]url-listurl1
[Sysname-sslvpn-context-ctx1-url-list-url1]
url-mapping命令用来配置URL资源的映射方式。
undourl-mapping命令用来恢复缺省情况。
url-mapping{domain-mappingdomain-name|port-mappinggatewaygateway-name[virtual-hostvirtual-host-name]}[rewrite-enable]
undourl-mapping
URL资源的映射方式为常规改写。
domain-mappingdomain-name:域名映射方式,domain-name表示映射的域名,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。配置的映射域名不能和SSLVPN网关的域名相同。
port-mappinggatewaygateway-name:端口映射方式,gateway-name表示引用的SSLVPN网关名,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。引用的SSLVPN网关名必须已存在。
virtual-hostvirtual-host-name:虚拟主机名称,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。若不指定此参数,则表示对SSLVPN网关的引用方式为独占引用。
rewrite-enable:开启URL改写功能。开启此功能后,SSLVPN网关将对内网服务器返回的绝对URL(全路径URL,一般为内网服务器页面中链接到其他服务器的URL,如果不进行改写用户将无法访问此URL)进行改写,提高用户的接入体验。通常建议开启,若不指定本参数,则表示不会对绝对URL进行改写。
缺省情况下SSLVPN网关会对URL进行常规改写,目前仅支持对HTML、XML、CSS和JavaScript类型的文件进行改写。常规改写可能会造成URL映射遗漏和映射错误等问题,从而导致SSLVPN客户端不能访问内网资源。因此可以通过配置域名映射或端口映射的方式解决此问题。
在配置域名映射时,需保证SSLVPN客户端可以解析到配置的映射域名(通过DNS解析或者在客户端上添加相应Hosts条目等方式皆可),映射域名对应的IP地址为当前SSLVPN网关的IP地址。
在配置端口映射时,引用的SSLVPN网关可以为任意已存在的SSLVPN网关。但若以独占方式引用SSLVPN网关,则该网关不允许被其他访问实例或URL表项引用。
#配置表项名为serverA,URL为www.server.com,访问方式为域名映射,映射的域名为www.domain.com,同时开启URL改写功能。
[Sysname-sslvpn-context-ctx1-url-item-serverA]urlwww.server.com
[Sysname-sslvpn-context-ctx1-url-item-serverA]url-mappingdomain-mappingwww.domain.comrewrite-enable
#配置表项名为serverB,URL为www.server.com,访问方式为端口映射,以虚拟主机名方式引用网关gw1,同时开启URL改写功能。
[Sysname-sslvpn-context-ctx1]url-itemserverB
[Sysname-sslvpn-context-ctx1-url-item-serverB]urlwww.server.com
[Sysname-sslvpn-context-ctx1-url-item-serverB]url-mappingport-mappinggatewaygw1virtual-hosthost1rewrite-enable
·url
url-maskingenable命令用来开启URL伪装功能。
undourl-maskingenable命令用来关闭URL伪装功能。
url-maskingenable
undourl-maskingenable
URL伪装功能处于关闭状态。
URL地址伪装是指将SSLVPN访问实例下所配置的Web接入业务中的Web资源URL转换成一定规则的编码字符串对SSLVPN用户呈现,从而达到隐藏真实的Web资源URL的目的。
若在SSLVPN访问实例视图下开启URL伪装功能,则该实例下所有Web资源都会开启URL伪装功能。此时若需要关闭URL伪装功能,只能在该实例视图下执行undourl-maskingenable命令关闭该SSLVPN访问实例下所有URL的伪装功能,而不能在URL表项视图下单独关闭某个URL的伪装功能。
只有当SSLVPN访问实例下的URL伪装功能处于关闭状态时,才能在URL表项视图下开启或关闭单个URL的伪装功能。
#在URL表项视图下,开启指定URL表项的Web资源URL伪装功能。
[Sysname-sslvpn-context-ctx]url-itemurlitem
[Sysname-sslvpn-context-ctx-url-item-urlitem]url-maskingenable
#在SSLVPN访问实例视图下,开启该实例下所有Web资源的URL伪装功能。
[Sysname-sslvpn-context-ctx]url-maskingenable
verify-codeenable命令用来开启验证码验证功能。
undoverify-codeenable命令用来关闭验证码验证功能。
verify-codeenable
undoverify-codeenable
验证码验证功能处于关闭状态。
#开启验证码验证功能。
[Sysname-sslvpn-context-ctx]verify-codeenable
vpn-instance命令用来配置SSLVPN访问实例关联的VPN实例。
undovpn-instance命令用来恢复缺省情况。
vpn-instancevpn-instance-name
undovpn-instance
SSLVPN访问实例关联公网。
vpn-instance-name:SSLVPN访问实例关联的VPN实例名称,为1~31个字符的字符串,区分大小写。
执行本命令后,SSLVPN访问实例包含的资源将属于关联的VPN实例。
每个SSLVPN访问实例只能关联一个VPN实例。
SSLVPN访问实例可以关联不存在的VPN实例,但该SSLVPN访问实例会处于未生效的状态。待VPN实例创建后,SSLVPN访问实例进入生效状态。
如果配置修改关联的VPN实例,则该访问实例下的所有用户绑定IP地址的配置均会被删除。
#配置名为contex1的SSLVPN访问实例关联VPN实例vpn1。
[Sysname]sslvpncontextcontext1
[Sysname-sslvpn-context-context1]vpn-instancevpn1
vpn-instance命令用来配置SSLVPN网关所属的VPN实例。
SSLVPN网关属于公网。
vpn-instance-name:SSLVPN网关所属的VPN实例名称,为1~31个字符的字符串,区分大小写。
每个SSLVPN网关只能属于一个VPN实例。SSLVPN所属的VPN实例又称为frontVPNinstance。
本命令指定的VPN实例可以不存在,但此时SSLVPN网关处于不生效的状态。待VPN实例创建后,SSLVPN网关进入生效状态。
#配置SSLVPN网关gateway1属于VPN实例vpn1。
[Sysname-sslvpn-gateway-gateway1]vpn-instancevpn1
web-accessip-clientauto-activate
undoweb-accessip-clientauto-activate
为使IP客户端自启动后成功连接SSLVPN网关,需要保证设备上已创建IP接入服务资源。
[Sysname-sslvpn-context-ctx1]web-accessip-clientauto-activate
webpage-customize命令用来设置SSLVPN页面模板。
undowebpage-customize命令用来恢复缺省情况。
webpage-customizetemplate-name
undowebpage-customize
使用SSLVPN全局页面模板。
SSLVPN访问实例视图下设置的SSLVPN页面模板优先级高于系统视图下设置的全局SSLVPN页面模板。
若在SSLVPN访问实例视图下设置了自定义页面模板,则SSLVPN访问实例视图下定制的页面信息不再生效。
#设置SSLVPN访问实例ctx使用的页面模板为template1。
[Sysname-sslvpn-context-ctx]webpage-customizetemplate1
不同款型规格的资料略有差异,详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!