16SSLVPN命令新华三集团

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

型号

说明

MSR610

不支持

MSR810、MSR810-W、MSR810-W-DB、MSR810-LM、MSR810-W-LM、MSR810-10-PoE、MSR810-LM-HK、MSR810-W-LM-HK、MSR810-LM-CNDE-SJK、MSR810-CNDE-SJK、MSR810-EI、MSR810-LM-EA、MSR810-LM-EI

支持

MSR810-LMS、MSR810-LUS

MSR810-SI、MSR810-LM-SI

MSR810-LMS-EA、MSR810-LME

MSR1004S-5G

MSR2600-6-X1、MSR2600-15-X1、MSR2600-15-X1-T

MSR2600-10-X1

MSR2630

MSR3600-28、MSR3600-51

MSR3600-28-SI、MSR3600-51-SI

MSR3600-28-X1、MSR3600-28-X1-DP、MSR3600-51-X1、MSR3600-51-X1-DP

MSR3600-28-G-DP、MSR3600-51-G-DP

MSR3610-I-DP、MSR3610-IE-DP、MSR3610-IE-ES、MSR3610-IE-EAD、MSR-EAD-AK770、MSR3610-I-IG、MSR3610-IE-IG

MSR3610-X1、MSR3610-X1-DP、MSR3610-X1-DC、MSR3610-X1-DP-DC、MSR3620-X1、MSR3640-X1

MSR3610、MSR3620、MSR3620-DP、MSR3640、MSR3660

MSR3610-G、MSR3620-G

MSR3640-X1-HI

MSR810-W-WiNet、MSR810-LM-WiNet

MSR830-4LM-WiNet

MSR830-5BEI-WiNet、MSR830-6EI-WiNet、MSR830-10BEI-WiNet

MSR830-6BHI-WiNet、MSR830-10BHI-WiNet

MSR2600-6-WiNet

MSR2600-10-X1-WiNet

MSR2630-WiNet

MSR3600-28-WiNet

MSR3610-X1-WiNet

MSR3610-WiNet、MSR3620-10-WiNet、MSR3620-DP-WiNet、MSR3620-WiNet、MSR3660-WiNet

MSR860-6EI-XS

MSR860-6HI-XS

MSR2630-XS

MSR3600-28-XS

MSR3610-XS

MSR3620-XS

MSR3610-I-XS

MSR3610-IE-XS

MSR3620-X1-XS

MSR3640-XS

MSR3660-XS

MSR810-LM-GL

MSR810-W-LM-GL

MSR830-6EI-GL

MSR830-10EI-GL

MSR830-6HI-GL

MSR830-10HI-GL

MSR1004S-5G-GL

MSR2600-6-X1-GL

MSR3600-28-SI-GL

aaadomain命令用来配置SSLVPN访问实例使用指定的ISP域进行AAA认证。

undoaaadomain命令用来恢复缺省情况。

【命令】

aaadomaindomain-name

undoaaadomain

【缺省情况】

SSLVPN访问实例使用缺省的ISP域进行认证。

【视图】

SSLVPN访问实例视图

【缺省用户角色】

network-admin

【参数】

domain-name:ISP域名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。

【使用指导】

【举例】

#配置SSLVPN访问实例使用ISP域myserver进行AAA认证。

system-view

[Sysname]sslvpncontextctx1

[Sysname-sslvpn-context-ctx1]aaadomainmyserver

access-deny-client命令用来配置禁用的SSLVPN接入客户端软件类型。

undoaccess-deny-client命令用来恢复禁用的SSLVPN接入客户端软件类型。

access-deny-client{browser|mobile-inode|pc-inode}*

undoaccess-deny-client{browser|mobile-inode|pc-inode}*

在同一个SSLVPN访问实例下,多次执行本命令配置的多个接入客户端软件类型均会生效。

#在SSLVPN访问实例ctx下,配置禁用的SSLVPN接入客户端软件类型为浏览器客户端。

[Sysname]sslvpncontextctx

[Sysname-sslvpn-context-ctx]access-deny-clientbrowser

authenticationserver-type命令用来配置SSLVPN认证服务器类型。

undoauthenticationserver-type命令用来恢复缺省情况。

authenticationserver-type{aaa|custom}

undoauthenticationserver-type

SSLVPN认证服务器类型为AAA认证服务器。

aaa:表示SSLVPN认证服务器类型为AAA认证服务器。

custom:表示SSLVPN认证服务器类型为自定义认证服务器。

若选择自定义认证服务器,则用户需要在SSLVPN访问实例视图下配置自定义认证的服务器URL地址、HTTP请求方式、HTTP应答报文的应答字段等参数。

#在SSLVPN访问实例ctx1下配置SSLVPN认证服务器类型为自定义认证服务器。

[Sysname-sslvpn-context-ctx1]authenticationserver-typecustom

·custom-authenticationrequest-header-field

·custom-authenticationrequest-method

·custom-authenticationrequest-template

·custom-authenticationresponse-custom-template

·custom-authenticationresponse-field

·custom-authenticationresponse-format

·custom-authenticationresponse-success-value

·custom-authenticationtimeout

·custom-authenticationurl

undoauthenticationuse命令用来恢复缺省情况。

authenticationuse{all|any-one}

undoauthenticationuse

[Sysname-sslvpn-context-ctx]authenticationuseany-one

·certificate-authenticationenable

·displaysslvpncontext

·password-authenticationenable

bandwidth命令用来配置接口的期望带宽。

undobandwidth命令用来恢复缺省情况。

bandwidthbandwidth-value

undobandwidth

接口的期望带宽为64kbps。

SSLVPNAC接口视图

bandwidth-value:接口的期望带宽,取值范围为1~400000000,单位为kbps。

接口的期望带宽会对下列内容有影响:

·CBQ队列带宽。具体介绍请参见“ACL和QoS配置指导”中的“QoS”。

·链路开销值。具体介绍请参见“三层技术-IP路由配置指导”中的“OSPF”、“OSPFv3”和“IS-IS”。

#配置接口SSLVPNAC1000的期望带宽为10000kbps。

[Sysname]interfacesslvpn-ac1000

[Sysname-SSLVPN-AC1000]bandwidth10000

certificateusername-attribute命令用来配置SSLVPN用户证书中的指定字段取值作为SSLVPN用户名。

undocertificateusername-attribute命令用来恢复缺省情况。

certificateusername-attribute{cn|email-prefix|oidextern-id}

undocertificateusername-attribute

使用SSLVPN用户证书中主题部分内的CN字段取值作为SSLVPN用户名。

cn:将用户证书中主题部分内的CN字段的值作为SSLVPN用户名。

email-prefix:将用户证书中主题部分内的邮件地址前缀,即邮件地址中“@”字符前的字符串,作为SSLVPN用户名。

oidextern-id:将用户证书中OID为extern-id的字段的值作为SSLVPN用户名,其中OID为对象标识符,以点分十进制的形式表示。

只有执行certificate-authenticationenable命令开启证书认证功能后,本命令指定的SSLVPN用户名才会生效。

#配置SSLVPN用户证书中OID为1.1.1.1的字段的值作为SSLVPN用户名。

[Sysname-sslvpn-context-ctx]certificateusername-attributeoid1.1.1.1

certificate-authenticationenable命令用来开启证书认证功能。

undocertificate-authenticationenable命令用来关闭证书认证功能。

certificate-authenticationenable

undocertificate-authenticationenable

证书认证功能处于关闭状态。

#开启SSLVPN访问实例的证书认证功能。

[Sysname-sslvpn-context-ctx]certificate-authenticationenable

·client-verifyenable(安全命令参考/SSL)

·client-verifyoptional(安全命令参考/SSL)

content-type命令用来配置改写的文件类型。

undocontent-type命令用来恢复缺省情况。

content-type{css|html|javascript|other}

undocontent-type

未配置文件改写类型,设备根据解析HTTP响应报文获得的文件类型对网页文件进行改写。

文件策略视图

css:表示按照css文件类型进行改写。

html:表示按照html文件类型进行改写。

javascript:表示按照JavaScript文件类型进行改写。

other:表示文件类型为css、html、JavaScript之外的其他文件类型,不对网页文件进行改写。

在对网页文件改写的过程中,设备会按照配置的文件类型对网页文件进行改写。如果配置的改写类型与报文中的文件类型不一致,则文件改写将会不准确。

多次执行本命令,最后一次执行的命令生效。

#配置按照html文件类型进行改写。

[Sysname-sslvpn-context-ctx]file-policyfp

[Sysname-sslvpn-context-ctx-file-policy-fp]content-typehtml

custom-authenticationrequest-header-field命令用来配置自定义认证的HTTP请求报文首部字段。

undocustom-authenticationrequest-header-field命令用来取消配置自定义认证的HTTP请求报文首部字段。

custom-authenticationrequest-header-fieldfield-namevaluevalue

undocustom-authenticationrequest-header-fieldfield-name

自定义认证的HTTP请求报文首部字段内包含如下内容:Content-type:application/x-www-form-urlencoded

User-Agent:nodejs4.1

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q

field-name:自定义认证的HTTP请求报文首部字段属性名,为1~63个字符的字符串,不区分大小写,不包括如下字符:

·()<>@,;:\"/[]={}

·空格符

·水平制表符

·ASCII码中小于等于31、大于等于127的字符

valuevalue:自定义认证的HTTP请求报文首部字段属性值,为1~255个字符的字符串,不支持正则元字符。

当采用自定义类型的SSLVPN认证服务器时(通过authenticationserver-typecustom命令),可通过本命令配置设备发送给自定义认证服务器的HTTP请求报文首部字段参数,该参数需要与自定义认证的HTTP请求方式、认证服务器的URL地址和认证信息请求模板等参数配合使用才能生效。

在同一个SSLVPN访问实例视图下,多次执行本命令,如果field-name的值不同,则可以配置多个不同属性的值;如果field-name的值相同,则最后一次配置生效。

#在SSLVPN访问实例ctx1下配置自定义认证的HTTP请求首部的Host字段为192.168.56.2:8080。

[Sysname-sslvpn-context-ctx1]custom-authenticationrequest-header-fieldhostvalue192.168.56.2:8080

·authenticationserver-type

custom-authenticationrequest-method命令用来配置自定义认证的HTTP请求方式。

undocustom-authenticationrequest-method命令用来恢复缺省情况。

custom-authenticationrequest-method{get|post}

undocustom-authenticationrequest-method

自定义认证的HTTP请求方式为GET。

get:表示HTTP请求方式为GET。

post:表示HTTP请求方式为POST。

当采用自定义类型的SSLVPN认证服务器时(通过authenticationserver-typecustom命令),可通过本命令配置设备发送给自定义认证服务器的HTTP请求的方式,该设置需要与自定义认证的请求报文首部字段、认证服务器的URL地址和认证信息请求模板等参数配合使用才能生效。

在同一个SSLVPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。

#在SSLVPN访问实例ctx1下配置自定义认证的HTTP请求方式为POST。

[Sysname-sslvpn-context-ctx1]custom-authenticationrequest-methodpost

custom-authenticationrequest-template命令用来配置自定义认证的认证信息请求模板。

undocustom-authenticationrequest-template命令用来恢复缺省情况。

custom-authenticationrequest-templatetemplate

undocustom-authenticationrequest-template

未配置自定义认证的认证信息请求模板。

template:SSLVPN网关向自定义认证服务器发送用户名、密码等信息的认证信息请求模板,为1~255个字符的字符串,不区分大小写。

当采用自定义类型的SSLVPN认证服务器时(通过authenticationserver-typecustom命令),可通过本命令配置设备发送给自定义认证服务器的认证信息请求模板,该设置需要与自定义认证的请求报文首部字段、认证服务器的URL地址和HTTP请求的方式等参数配合使用才能生效。

本命令支持的三种预定义请求模板格式如下:

·form表单格式:(请求方式为POST/GET)

username=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1234

·json格式:(请求方式为POST)

{“name”:”$$USERNAME$$”,“password”:”,$$PASSWORD$$”,“resid”:”1234”}

·xml格式:(请求方式为POST)

$$USERNAME$$$$PASSWORD$$

以上模板格式中,两个$$符号之间的变量目前包括以下几种:

·USERNAME:用户名

·PASSWORD:密码

·PASSWORD_MD5:经过MD5加密的密码

#在SSLVPN访问实例ctx1下配置自定义认证的认证信息请求模板为:username=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1952252223973828。

[Sysname-sslvpn-context-ctx1]custom-authenticationrequest-templateusername=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1952252223973828

custom-authenticationresponse-custom-template命令用来配置自定义认证的自定义应答模板。

undocustom-authenticationresponse-custom-template命令用来恢复缺省情况。

custom-authenticationresponse-custom-template{group|message|result}template

undocustom-authenticationresponse-custom-template{group|message|result}

未配置自定义认证的自定义应答模板。

message:表示message字段后面为认证结果提示信息的自定义应答模板。

result:表示result字段后面为认证结果的自定义应答模板。

template:自定义应答模板,为1~63个字符的字符串,不区分大小写。

当采用自定义类型的SSLVPN认证服务器时(通过authenticationserver-typecustom命令),可通过本命令配置设备解析自定义认证服务器应答的认证结果模板,该模板需要与HTTP应答报文格式等参数配合使用才能生效。例如,配置了认证结果字段result的模板为“result=$$value$$”,那么在解析custom格式的应答报文时就用“result=$$value$$”的格式去解析认证结果字段。

自定义应答模板中value前后的内容需要与认证服务器应答报文中的value值前后的内容保持一致。例如服务器应答的报文为“auth-result=true,”,则应答模板应该配置为“auth-result=$$value$$,”($$value$$前后的开始和结束标识符“auth-result=”和“,”应与true前后的内容保持一致)。

模板中的$$符用于程序检测开始和结束标识符,当程序检测到第一个$$时,则认为其前面的内容为解析报文时用到的开始标识符,当检测到第二个$$时,则将其后面的内容作为解析报文时用到的结束标识符。

#在SSLVPN访问实例ctx1下配置自定义认证的自定义应答模板为result=$$value$$,company=$$value$$,message=$$value$$。

[Sysname-sslvpn-context-ctx1]custom-authenticationresponse-custom-templateresultresult=$$value$$,

[Sysname-sslvpn-context-ctx1]custom-authenticationresponse-custom-templategroupcompany=$$value$$,

[Sysname-sslvpn-context-ctx1]custom-authenticationresponse-custom-templatemessagemessage=$$value$$

custom-authenticationresponse-field命令用来配置自定义认证的HTTP应答报文的应答字段名。

undocustom-authenticationresponse-field命令用来恢复缺省情况。

custom-authenticationresponse-field{groupgroup|messagemessage|resultresult}

undocustom-authenticationresponse-field{group|message|result}

未配置HTTP应答报文的应答字段名。

messagemessage:HTTP应答报文中的提示信息字段名,表示应答报文中message字段后面的值为认证结果提示信息,为1~31个字符的字符串,不区分大小写。

resultresult:HTTP应答报文中的结果字段名,表示应答报文中result字段后面的值为认证结果,为1~31个字符的字符串,不区分大小写。

当采用自定义类型的SSLVPN认证服务器时(通过authenticationserver-typecustom命令),可通过本命令配置设备解析自定义认证服务器应答的指定字段:

·若指定了HTTP应答报文中的结果提示信息字段名,则SSLVPN会利用此字段提取认证结果提示信息,包括认证成功、认证失败等提示信息。

·若指定了HTTP应答报文中的结果字段名,则SSLVPN会利用此字段提取应答值,并根据配置的应答值,判断用户认证是否成功。

#在SSLVPN访问实例ctx1下配置自定义认证的应答字段名为group:company,message:resultDescription。

[Sysname-sslvpn-context-ctx1]custom-authenticationresponse-fieldgroupcompany

[Sysname-sslvpn-context-ctx1]custom-authenticationresponse-fieldmessageresultDescription

custom-authenticationresponse-format命令用来配置自定义认证的HTTP应答报文格式。

undocustom-authenticationresponse-format命令用来恢复缺省情况。

custom-authenticationresponse-format{custom|json|xml}

undocustom-authenticationresponse-format

自定义认证的HTTP应答报文格式为JSON。

custom:表示应答报文格式为用户自定义应答报文格式。

json:表示应答报文格式为JSON。

xml:表示应答报文格式为XML。

当采用自定义类型的SSLVPN认证服务器时(通过authenticationserver-typecustom命令),可通过本命令配置设备解析自定义认证服务器应答的应答报文格式,该应答报文格式需要与HTTP应答报文的应答字段名等参数配合使用才能生效。

#在SSLVPN访问实例ctx1下配置自定义认证的HTTP应答报文格式为JSON。

[Sysname-sslvpn-context-ctx1]custom-authenticationresponse-formatjson

custom-authenticationresponse-success-value命令用来配置自定义认证的HTTP应答报文中标识认证成功的应答值。

undocustom-authenticationresponse-success-value命令用来恢复缺省情况。

custom-authenticationresponse-success-valuesuccess-value

undocustom-authenticationresponse-success-value

未配置HTTP应答报文中标识认证成功的应答值。

success-value:HTTP应答报文中标识认证成功的应答值,为1~31个字符的字符串,不区分大小写。

当采用自定义类型的SSLVPN认证服务器时(通过authenticationserver-typecustom命令),可通过本命令配置设备解析自定义认证服务器应答的标识认证成功的应答值,该设置需要与自定义认证的请求报文首部字段、HTTP请求方式和认证信息请求模板等参数配合使用才能生效。

只有当自定义认证服务器返回的HTTP应答报文的应答结果为本命令指定的值时,SSLVPN网关才会认为用户认证成功。

#在SSLVPN访问实例ctx1下配置HTTP应答报文中标识认证成功的应答值为true。

[Sysname-sslvpn-context-ctx1]custom-authenticationresponse-success-valuetrue

undocustom-authenticationtimeout命令用来恢复缺省情况。

custom-authenticationtimeoutseconds

undocustom-authenticationtimeout

[Sysname-sslvpn-context-ctx1]custom-authenticationtimeout20

custom-authenticationurl命令用来配置自定义认证服务器的URL地址。

undocustom-authenticationurl命令用来恢复缺省情况。

custom-authenticationurlurl

undocustom-authenticationurl

未配置自定义认证服务器的URL地址。

url:SSLVPN网关向自定义认证服务器发送的HTTP请求报文中的认证服务器的URL地址,为1~255个字符的字符串,不区分大小写,不支持正则元字符。

当采用自定义类型的SSLVPN认证服务器时(通过authenticationserver-typecustom命令),可通过本命令配置自定义认证服务器的URL地址,该设置需要与自定义认证的请求报文首部字段、HTTP请求方式和认证信息请求模板等参数配合使用才能生效。

一个URL由协议类型、主机名或地址、端口号、资源路径四部分组成,完整格式为“协议类型://主机名称或地址:端口号/资源路径”。协议类型目前仅支持HTTP和HTTPS,如果没有指定,协议类型缺省为HTTP。

default命令用来恢复接口的缺省配置。

default

接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行本配置前,完全了解其对网络产生的影响。

#将接口SSLVPNAC1000恢复为缺省配置。

[Sysname-SSLVPN-AC1000]default

Thiscommandwillrestorethedefaultsettings.Continue[Y/N]:y

default-policy-group命令用来指定缺省策略组。

undodefault-policy-group命令用来恢复缺省情况。

default-policy-groupgroup-name

undodefault-policy-group

未指定缺省策略组。

group-name:策略组名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。指定的策略组必须在设备上已经存在。

#指定名为pg1的策略组为缺省策略组。

[Sysname-sslvpn-context-ctx1]policy-grouppg1

[Sysname-sslvpn-context-ctx1-policy-group-pg1]quit

[Sysname-sslvpn-context-ctx1]default-policy-grouppg1

·policy-group

description命令用来配置接口的描述信息。

undodescription命令用来恢复缺省情况。

descriptiontext

undodescription

接口的描述信息为“接口名Interface”,例如:SSLVPN-AC1000Interface。

text:接口的描述信息,为1~255个字符的字符串,区分大小写。

当设备上存在多个接口时,可以根据接口的连接信息或用途来配置接口的描述信息,以便区别和管理各接口。

本命令仅用于标识某接口,并无特别的功能。使用displayinterface等命令可以看到设置的描述信息。

#配置接口SSLVPNAC1000的描述信息为“SSLVPNA”。

[Sysname-SSLVPN-AC1000]descriptionSSLVPNA

displayinterface[sslvpn-ac[interface-number]][brief[description|down]]

任意视图

network-operator

brief:显示接口的概要信息。如果不指定该参数,则显示接口的详细信息。

description:用来显示用户配置的接口的全部描述信息。如果某接口的描述信息超过27个字符,不指定该参数时,只显示描述信息中的前27个字符,超出部分不显示;指定该参数时,可以显示全部描述信息。

down:显示当前物理状态为down的接口的信息以及down的原因。如果不指定该参数,则不会根据接口物理状态来过滤显示信息。

displayinterfacesslvpn-ac1000

SSLVPN-AC1000

Currentstate:UP

Lineprotocolstate:DOWN

Description:SSLVPN-AC1000Interface

Bandwidth:64kbps

Maximumtransmissionunit:1500

Internetprotocolprocessing:Disabled

LinklayerprotocolisSSLVPN

Lastclearingofcounters:Never

Last300secondsinputrate:0bytes/sec,0bits/sec,0packets/sec

Last300secondsoutputrate:0bytes/sec,0bits/sec,0packets/sec

Input:0packets,0bytes,0drops

Output:0packets,0bytes,0drops

表1-1displayinterfacesslvpn-ac命令显示信息描述表

字段

描述

Currentstate

接口的物理状态和管理状态,取值包括:

·AdministrativelyDOWN:表示该接口已经通过shutdown命令被关闭,即管理状态为关闭

·DOWN:该接口的管理状态为开启,但物理状态为关闭

·UP:该接口的管理状态和物理状态均为开启

Lineprotocolstate

接口的链路层协议状态,取值包括:

·UP:表示该接口的链路层协议状态为开启

·UP(spoofing):表示该接口的链路层协议状态为开启,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立。通常NULL、LoopBack等接口会具有该属性

·DOWN:表示该接口的链路层协议状态为关闭

Description

接口的描述信息

Bandwidth

接口的期望带宽,单位为kbps

Maximumtransmissionunit

接口的最大传输单元

Internetprotocolprocessing

接口的IP地址。如果没有为接口配置IP地址,则该字段显示为Internetprotocolprocessing:Disabled,表示不能处理IP报文

Internetaddress:ip-address/mask-length(Type)

接口IP地址。Type表示地址获取方式,取值如下:

·Primary:手动配置的主地址

Linklayerprotocol

链路层协议类型

Lastclearingofcounters

Last300secondsinputrate

最近300秒钟的平均输入速率:bytes/sec表示平均每秒输入的字节数,bits/sec表示平均每秒输入的比特数,packets/sec表示平均每秒输入的包数

Last300secondsoutputrate

最近300秒钟的平均输出速率:bytes/sec表示平均每秒输出的字节数,bits/sec表示平均每秒输出的比特数,packets/sec表示平均每秒输出的包数

总计输入的报文数,总计输入的字节,总计丢弃的输入报文数

总计输出的报文数,总计输出的字节,总计丢弃的输出报文数

#显示所有SSLVPNAC类型接口的概要信息。

displayinterfacesslvpn-acbrief

Briefinformationofinterfacesinroutemode:

Link:ADM-administrativelydown;Stby-standby

Protocol:(s)-spoofing

InterfaceLinkProtocolPrimaryIPDescription

SSLVPN-AC1000UPDOWN--

#显示接口SSLVPNAC1000的概要信息,包括用户配置的全部描述信息。

displayinterfacesslvpn-ac1000briefdescription

SSLVPN-AC1000UPUP1.1.1.1SSLVPN-AC1000Interface

#显示当前状态为down的接口的信息以及DOWN的原因。

displayinterfacesslvpn-acbriefdown

Link:ADM-administrativelydown

InterfaceLinkCause

SSLVPN-AC1000ADM

SSLVPN-AC1001ADM

表1-2displayinterfacesslvpn-acbrief命令显示信息描述表

三层模式下(route)的接口的概要信息,即三层接口的概要信息

·如果某接口的Link属性值为“ADM”,则表示该接口被管理员通过shutdown命令关闭,需要在该接口下执行undoshutdown命令才能恢复接口本身的物理状态

如果某接口的Protocol属性值中带有“(s)”字符串,则表示该接口的网络层协议状态显示是UP的,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立

Interface

接口名称缩写

Link

接口物理连接状态,取值包括:

·UP:表示本链路物理上是连通的

·DOWN:表示本链路物理上是不通的

·ADM:表示本链路被管理员通过shutdown命令关闭,需要执行undoshutdown命令才能恢复接口真实的物理状态

·Stby:表示该接口是一个处于Standby状态的备份接口

Protocol

·UP(s):表示该接口的链路层协议状态为开启,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立。通常NULL、LoopBack等接口会具有该属性

PrimaryIP

接口主IP地址

Cause

接口物理连接状态为down的原因,取值为:

·Administratively:表示本链路被手工关闭了(配置了shutdown命令),需要执行undoshutdown命令才能恢复真实的物理状态

·Notconnected:表示物理层不通

·resetcountersinterface

displaysslvpncontext命令用来显示SSLVPN访问实例的信息。

displaysslvpncontext[brief|namecontext-name]

brief:显示所有SSLVPN访问实例的简要信息。如果不指定本参数,则显示SSLVPN访问实例的详细信息。

namecontext-name:显示指定SSLVPN访问实例的详细信息。context-name表示SSLVPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSLVPN访问实例的信息。

#显示所有SSLVPN访问实例的详细信息。

displaysslvpncontext

Contextname:ctx1

Operationstate:Up

AAAdomain:domain1

Certificateauthentication:Enabled

Certificateusername-attribute:CN

Passwordauthentication:Enabled

Authenticationuse:All

Authenticationserver-type:aaa

SMSauthtype:iMC

Codeverification:Disabled

Defaultpolicygroup:Notconfigured

AssociatedSSLVPNgateway:gw1

Domainname:1

AssociatedSSLVPNgateway:gw2

Virtualhost:abc.com

AssociatedSSLVPNgateway:gw3

SSLclientpolicyconfigured:ssl1

SSLclientpolicyinuse:ssl

Maximumusersallowed:200

VPNinstance:vpn1

Idletimeout:30min

Idle-cuttrafficthreshold:100Kilobytes

Passwordchanging:Disabled

Contextname:ctx2

Operationstate:Down

Downreason:Administrativelydown

AAAdomainnotspecified

Certificateusername-attribute:OID(2.5.4.10)

Passwordauthentication:Disabled

Authenticationuse:Any-one

Authenticationserver-type:custom

Defaultgrouppolicy:gp

AssociatedSSLVPNgateway:-

VPNinstancenotconfigured

Idletimeout:50min

Addresspool:ConflictedwithanIPaddressonthedevice

Passwordchanging:Enabled

Deniedclienttypes:Browsers

表1-3displaysslvpncontext命令显示信息描述表

Contextname

SSLVPN访问实例的名称

Operationstate

SSLVPN访问实例的操作状态,取值包括:

·Up:SSLVPN访问实例处于运行状态

·Down:SSLVPN访问实例未处于运行状态

Downreason

SSLVPN访问实例处于down状态的原因,取值包括:

·Administrativelydown:管理down,即未通过serviceenable命令开启SSLVPN访问实例

·Nogatewayassociated:SSLVPN访问实例未引用SSLVPN网关

·ApplyingSSLclient-policyfailed:为SSLVPN访问实例应用SSL客户端策略失败

AAAdomain

SSLVPN访问实例使用的ISP域

Certificateauthentication

SSLVPN访问实例是否开启证书认证功能,取值包括:

·Enabled:证书认证功能开启

·Disabled:证书认证功能未开启

Certificateusername-attribute

采用SSLVPN用户证书中的指定字段作为SSLVPN用户名,取值包括:

·CN:用户证书中的CN字段

·Email-prefix:用户证书中的邮件地址前缀

·OID(x.x.x.x):用户证书中指定OID值标识的字段,OID为对象标识符,以点分十进制的形式表示

本字段仅在开启证书认证时显示

Passwordauthentication

SSLVPN访问实例是否开启用户名/密码认证功能,取值包括:

·Enabled:用户名/密码认证功能开启

·Disabled:用户名/密码认证功能未开启

Authenticationuse

·All:通过所有的认证方式

·Any-one:通过任意一种认证方式

Authenticationserver-type

·aaa:AAA认证服务器

·custom:自定义认证服务器

SMSauthtype

SSLVPN用户配置短信认证类型,取值包括:

·iMC:iMC短信认证

Codeverification

SSLVPN访问实例是否开启验证码验证功能

Defaultpolicygroup

SSLVPN访问实例使用的缺省策略组

AssociatedSSLVPNgateway

SSLVPN访问实例引用的SSLVPN网关

Domainname

SSLVPN访问实例的域名

Virtualhost

SSLVPN访问实例的虚拟主机名称

SSLclientpolicyconfigured

配置的SSL客户端策略名称。配置的SSL客户端策略在重启SSLVPN访问实例后才能生效

SSLclientpolicyinuse

生效的SSL客户端策略名称

Maximumusersallowed

SSLVPN访问实例的最大用户会话数

VPNinstance

SSLVPN访问实例关联的VPN实例

Idletimeout

Idle-cuttrafficthreshold

SSLVPN会话保持空闲状态的流量阈值

检测到SSLVPN访问实例IP地址冲突

Passwordchanging

·Enabled:修改密码功能开启

·Disabled:修改密码功能关闭

Deniedclienttypes

禁用的SSLVPN客户端,取值包括:

·Browsers:浏览器客户端

·PC-iNode:PC版iNode客户端

·Mobile-iNode:移动版iNode客户端

·Notconfigured:未配置禁用的SSLVPN客户端

#显示所有SSLVPN访问实例的简要信息。

displaysslvpncontextbrief

ContextnameAdminOperationVPNinstanceGatewayDomain/VHost

ctx1UpUp-gw1-/1

gw2abc.com/-

gw3-/-

ctx2DownDown---/-

表1-4displaysslvpncontextbrief命令显示信息描述表

Admin

SSLVPN访问实例的管理状态,取值包括:

·up:已通过serviceenable命令开启SSLVPN访问实例

·down:未通过serviceenable命令开启SSLVPN访问实例

Operation

·up:SSLVPN访问实例处于运行状态

·down:SSLVPN访问实例未处于运行状态

Gateway

Domain/VHost

SSLVPN访问实例的域名或虚拟主机名称

displaysslvpngateway命令用来显示SSLVPN网关的信息。

displaysslvpngateway[brief|namegateway-name]

brief:显示所有SSLVPN网关的简要信息。如果不指定本参数,则显示SSLVPN网关的详细信息。

namegateway-name:显示指定SSLVPN网关的详细信息。gateway-name表示SSLVPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSLVPN网关的信息。

#显示所有SSLVPN网关的详细信息。

displaysslvpngateway

Gatewayname:gw1

IP:192.168.10.75Port:443

HTTPredirectport:80

SSLserverpolicyconfigured:ssl1

SSLserverpolicyinuse:ssl

FrontVPNinstance:vpn1

Gatewayname:gw2

IP:0.0.0.0Port:443

FrontVPNinstance:Notconfigured

表1-5displaysslvpngateway命令显示信息描述表

Gatewayname

SSLVPN网关的名称

SSLVPN网关的操作状态,取值包括:

·Up:SSLVPN网关处于运行状态

·Down:SSLVPN网关未处于运行状态

SSLVPN网关处于down状态的原因,取值包括:

·Administrativelydown:管理down,即没有通过serviceenable命令开启SSLVPN网关

·VPNinstancenotexist:SSLVPN网关所属的VPN实例不存在

·ApplyingSSLserver-policyfailed:为SSLVPN网关应用SSL服务器端策略失败

IP

SSLVPN网关的IPv4地址

Port

SSLVPN网关的端口号

HTTPredirectport

HTTP重定向端口号

SSLserverpolicyconfigured

配置的SSL服务器端策略名称。配置的SSL服务器端策略在重启SSLVPN网关后才能生效

SSLserverpolicyinuse

生效的SSL服务器端策略名称

FrontVPNinstance

前端VPN实例名称,即SSLVPN网关所属的VPN实例名称

#显示所有SSLVPN网关的简要信息。

displaysslvpngatewaybrief

GatewaynameAdminOperation

gw1UpUp

gw2DownDown(Administrativelydown)

gw3UpUp

表1-6displaysslvpngatewaybrief命令显示信息描述表

SSLVPN网关的管理状态,取值包括:

·Up:已通过serviceenable命令开启SSLVPN网关

·Down:未通过serviceenable命令开启SSLVPN网关

·Down(Administrativelydown):管理down,即没有通过serviceenable命令开启SSLVPN网关

·Down(VPNinstancenotexist):SSLVPN网关所属的VPN实例不存在

·Down(ApplyingSSLserver-policyfailed):为SSLVPN网关应用SSL服务器端策略失败

displaysslvpnip-tunnelstatistics命令用来显示通过IP接入的SSLVPN用户的报文统计信息。

displaysslvpnip-tunnelstatistics[contextcontext-name][useruser-name]

contextcontext-name:显示指定SSLVPN访问实例下通过IP接入的SSLVPN用户的报文统计信息。context-name表示SSLVPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSLVPN访问实例下通过IP方式接入的SSLVPN用户的报文统计信息。

useruser-name:显示指定或所有SSLVPN访问实例下指定SSLVPN用户对应的报文统计信息。user-name表示SSLVPN用户名称,为1~63个字符的字符串,不区分大小写。如果不指定本参数,则显示指定或所有SSLVPN访问实例下所有通过IP接入的SSLVPN用户的报文统计信息。

如果未指定任何参数,则显示所有SSLVPN访问实例下的通过IP接入的报文统计信息。

#显示所有SSLVPN访问实例下通过IP接入的SSLVPN用户的报文统计信息。

displaysslvpnip-tunnelstatistics

IP-tunnelstatisticsinSSLVPNcontextctx1:

Client:

Inbytes:125574Outbytes:1717349

Server:

Inbytes:1717349Outbytes:116186

IP-tunnelstatisticsinSSLVPNcontextctx2:

Inbytes:521Outbytes:1011

Inbytes:1011Outbytes:498

displaysslvpnip-tunnelstatisticscontextctx1

SSLVPNsessionIP-tunnelstatistics:

Context:ctx1

User:user1

SessionID:1

UserIPv4address:192.168.56.1

Receivedrequests:81

Sentrequests:0

Droppedrequests:81

Receivedreplies:0

Sentreplies:0

Droppedreplies:0

Receivedkeepalives:1

Sentkeepalivereplies:1

Receivedconfigurationupdates:0

Sentconfigurationupdates:0

User:user2

SessionID:2

#显示SSLVPN用户user1通过IP接入的报文统计信息。

displaysslvpnip-tunnelstatisticsuseruser1

#显示SSLVPN访问实例ctx1下SSLVPN用户user1通过IP接入的报文统计信息。

displaysslvpnip-tunnelstatisticscontextctx1useruser1

表1-7displaysslvpnip-tunnelstatistics命令显示信息描述表

Context

SSLVPN用户所属的SSLVPN访问实例

User

SessionID

SSLVPN会话的标识

UserIPv4address

SSLVPN用户的IPv4地址

Receivedrequests

SSLVPN网关设备接收自SSLVPN用户的IP接入业务请求报文数

Sentrequests

SSLVPN网关设备转发给资源服务器的IP接入业务请求报文数

Droppedrequests

SSLVPN网关设备丢弃SSLVPN用户的IP接入业务请求报文数

Receivedreplies

SSLVPN网关设备接收资源服务器的IP接入业务应答报文数

Sentreplies

SSLVPN网关设备转发给SSLVPN用户的IP接入业务应答报文数

Droppedreplies

SSLVPN网关设备丢弃的IP接入业务应答报文数

Receivedkeepalives

SSLVPN网关设备接收自SSLVPN用户的保活报文数

Sentkeepalivesreplies

SSLVPN网关设备发送给SSLVPN用户的保活应答报文数

Receivedconfigurationupdates

SSLVPN网关设备接收自SSLVPN用户主动请求发送配置更新的报文数

Sentconfigurationupdates

SSLVPN网关设备发送给SSLVPN用户的配置更新报文数

Client

SSLVPN网关设备与客户端之间的报文字节数统计,取值如下:

·Inbytes:SSLVPN网关设备接收自SSLVPN用户的IP接入业务请求报文字节数

·Outbytes:SSLVPN网关设备转发给SSLVPN用户的IP接入业务应答报文字节数

Server

SSLVPN网关设备与服务器之间的统计信息,取值如下:

·Inbytes:SSLVPN网关设备接收资源服务器的IP接入业务应答报文字节数

·Outbytes:SSLVPN网关设备转发给资源服务器的IP接入业务请求报文字节数

displaysslvpnpolicy-group命令用来显示指定策略组的信息。

displaysslvpnpolicy-groupgroup-name[contextcontext-name]

group-name:策略组名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。

contextcontext-name:显示指定SSLVPN访问实例下的指定策略组的信息。context-name表示SSLVPN访问实例的名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSLVPN访问实例下的指定名称的策略组信息。

#显示所有SSLVPN访问实例下名称为pg1的策略组的信息。

displaysslvpnpolicy-grouppg1

Grouppolicy:pg1

Context:context1

Idletimeout:35min

Redirectresourcetype:url-item

Redirectresourcename:url1

Context:context2

Idletimeout:40min

Redirectresource:Notconfigured

表1-8displaysslvpnpolicy-group命令显示信息描述表

Grouppolicy

策略组名称

SSLVPN访问实例名称

Redirectresource

Redirectresourcetype

Redirectresourcename

displaysslvpnport-forwardconnection命令用来显示TCP端口转发的连接信息。

(独立运行模式)

displaysslvpnport-forwardconnection[contextcontext-name]

(IRF模式)

displaysslvpnport-forwardconnection[contextcontext-name][slotslot-number]

contextcontext-name:显示指定SSLVPN访问实例下的TCP端口转发连接信息。context-name表示SSLVPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSLVPN访问实例下的TCP端口转发连接信息。

slotslot-number:显示指定成员设备的SSLVPN访问实例下的TCP端口转发连接信息。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示所有成员设备上的SSLVPN访问实例下的TCP端口转发连接信息。(IRF模式)

#显示所有SSLVPN访问实例下TCP端口转发的连接信息。(独立运行模式)

displaysslvpnport-forwardconnection

SSLVPNcontext:ctx1

Clientaddress:192.0.2.1

Clientport:1025

Serveraddress:192.168.0.39

Serverport:80

Status:Connected

SSLVPNcontext:ctx2

Clientaddress:3000::983F:7A36:BD06:342D

Clientport:56190

Serveraddress:300::1

Serverport:23

Status:Connecting

#显示所有SSLVPN访问实例下TCP端口转发的连接信息。(IRF模式)

Slot:1

表1-9displaysslvpnport-forwardconnection命令显示信息描述表

Clientaddress

SSLVPN客户端的IP地址

Clientport

SSLVPN客户端的本地端口号

Serveraddress

企业网内服务器的IP地址

Serverport

企业网内服务器的端口号

Slot

设备在IRF中的成员编号(IRF模式)

Status

连接状态,取值包括:

·Connected:连接成功

·Connecting:正在连接

displaysslvpnprevent-crackingfrozen-ip命令用来显示被防暴力破解功能冻结的IP地址信息。

displaysslvpnprevent-crackingfrozen-ip{statistics|table}[contextcontext-name]

table:表示被冻结的IP地址表项信息。

contextcontext-name:表示SSLVPN访问实例的名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSLVPN访问实例下被冻结的IP地址信息。

#显示所有SSLVPN访问实例下被冻结的IP地址统计信息。

displaysslvpnprevent-crackingfrozen-ipstatistics

TotalnumberoffrozenIPaddresses:1

Totalnumberofusername/passwordauthenticationfailures:1

Totalnumberofcodeverificationfailures:1

TotalnumberofSMSauthenticationfailures:1

Totalnumberofcustomauthenticationfailures:1

#显示所有SSLVPN访问实例下被冻结的IP地址表项信息。

displaysslvpnprevent-crackingfrozen-iptable

IPaddressAuthenticationmethodFrozenatUnfrozenat

8.1.1.80codeverification2019-10-0808:30:012019-10-0808:35:04

3.3.3.30Username/passwordauthentication2019-10-0808:35:012019-10-0808:39:04

121.5.5.32Username/passwordauthentication2019-10-0808:31:012019-10-0808:45:04

123.3.3.3codeverification2019-10-0808:35:012019-10-0808:55:04

表1-10displaysslvpnprevent-crackingfrozen-ip命令显示信息描述表

SSLVPNcontext

TotalnumberoffrozenIPaddresses

访问实例下所有被冻结的IP地址总数目

Totalnumberofusername/passwordauthenticationfailures

访问实例下用户名密码认证失败总数目

Totalnumberofcodeverificationfailures

访问实例下验证码验证失败总数目

TotalnumberofSMSauthenticationfailures

访问实例下短信认证失败总数目

Totalnumberofcustomauthenticationfailures

访问实例下自定义认证失败总数目

IPaddress

被冻结的IP地址

Authenticationmethod

·Username/passwordauthentication:用户名密码认证

·Codeverification:验证码验证

·SMSauthentication:短信认证

·Customauthentication:自定义认证

以上认证方式可以组合使用,每一种组合认证方式下必须包含用户名密码认证方式,且自定义认证和短信认证不可以同时使用。除了验证码验证,其他认证方式均可以单独使用

Frozenat

Unfrozenat

displaysslvpnsession命令用来显示SSLVPN会话信息。

displaysslvpnsession[contextcontext-name][useruser-name|verbose]

contextcontext-name:显示指定SSLVPN访问实例下的SSLVPN会话的简要信息。context-name表示SSLVPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSLVPN访问实例下的SSLVPN会话的简要信息。

useruser-name:显示指定或所有SSLVPN访问实例下指定SSLVPN用户对应的SSLVPN会话的详细信息。user-name表示SSLVPN用户名称,为1~63个字符的字符串,不区分大小写。如果不指定本参数,则显示指定或所有SSLVPN访问实例下SSLVPN会话的简要信息。

verbose:显示指定或所有SSLVPN访问实例下SSLVPN会话中所有用户的详细信息。如果不指定本参数,则显示指定或所有SSLVPN访问实例下SSLVPN会话的简要信息。

#显示所有SSLVPN访问实例下SSLVPN会话的简要信息。

displaysslvpnsession

Totalusers:4

Users:2

UsernameConnectionsIdletimeCreatedUserIP

user150/00:00:230/04:47:16192.0.2.1

user250/00:00:460/04:48:36192.0.2.2

user350/00:00:300/04:50:06192.168.2.1

user450/00:00:500/04:51:16192.168.2.2

表1-11displaysslvpnsession命令简要显示信息描述表

Totalusers

所有访问实例下的总用户数目

Users

当前访问实例下的用户数目

Username

Connections

SSLVPN会话的连接次数

Idletime

SSLVPN会话的空闲时长,格式为天/时:分:秒

Created

SSLVPN会话的创建时长,格式为天/时:分:秒

UserIP

SSLVPN会话使用的IP地址

#显示SSLVPN用户user1对应的SSLVPN会话的详细信息。

displaysslvpnsessionuseruser1

Authenticationmethod:Username/passwordauthentication

Policygroup:pgroup

Createdat:13:49:27UTCWed05/14/2014

Lastest:17:50:58UTCWed05/14/2014

AllocatedIPv4:2.2.2.1

UserIPv4address:192.0.2.1

Webbrowser/OS:InternetExplorer

Sendrate:0.00B/s

Receiverate:0.00B/s

Sentbytes:0.00B

Receivedbytes:0.00B

#显示SSLVPN会话中所有用户的详细信息。

displaysslvpnsessionverbose

表1-12displaysslvpnsessionuser和displaysslvpnsessionverbose命令显示信息描述表

·Certificateauthentication:证书认证

以上认证方式可以组合使用,每一种组合认证方式下必须至少包含用户名密码认证和证书认证中的一种方式,且自定义认证和短信认证不可以同时使用。除了验证码验证,其他认证方式均可以单独使用。

Policygroup

SSLVPN用户使用的策略组

Createdat

Lastest

AllocatedIPv4

SSLVPN会话使用的IPv4地址

Webbrowser/OS

Sendrate

SSLVPN会话的发送速率,单位取值包括:

·B/s:字节/秒

·KB/s:千字节/秒

·MB/s:兆字节/秒

·GB/s:吉字节/秒

·TB/s:太字节/秒

·PB/s:拍字节/秒

Receiverate

SSLVPN会话的接收速率,单位取值包括:

Sentbytes

SSLVPN会话的总发送流量,单位取值包括:

·B:字节

·KB:千字节

·MB:兆字节

·GB:吉字节

·TB:太字节

·PB:拍字节

Receivedbytes

SSLVPN会话的总接收流量,单位取值包括:

displaysslvpnwebpage-customizetemplate命令用来显示SSLVPN页面模板信息。

displaysslvpnwebpage-customizetemplate

#显示所有页面模板信息。

displaysslvpnwebpage-customizetemplate

TemplatenameTypeStatus

defaultPre-definedNormal

systemPre-definedNormal

User1User-definedFilelogin.htmlmissing

User2User-definedFilehome.htmlmissing

表1-13displaysslvpnwebpage-customizetemplate命令显示信息描述表

Templatename

页面模板的名称

Type

页面模板的类型,取值包括:

·Pre-defined:表示该页面模板为预定义页面模板

·User-defined:表示该页面模板为用户自定义页面模板

页面模板的状态,取值包括:

·Normal:表示该页面模板完整,可以使用

·Filelogin.htmlmissing:表示该页面模板缺少login.html文件

·Filehome.htmlmissing:表示该页面模板缺少home.html文件

·Versionincompatible:表示该页面模板与设备的预定义模板版本不一致

·sslvpnwebpage-customize

·webpage-customize

emo-server命令用来配置为客户端指定的EMO(EndpointMobileOffice,终端移动办公)服务器。

undoemo-server命令用来恢复缺省情况。

emo-serveraddress{host-name|ipv4-address}portport-number

undoemo-server

未配置为客户端指定的EMO服务器。

address:指定EMO服务器的主机名或IPv4地址。

host-name:EMO服务器的主机名,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。

ipv4-address:EMO服务器的IPv4地址,为点分十进制格式,不能是组播、广播、环回地址。

portport-number:指定EMO服务器使用的端口号。port-number取值范围为1025~65535。

EMO服务器用来为移动客户端提供服务。执行本命令后,SSLVPN网关会将配置的EMO服务器信息下发给客户端,以便客户端访问EMO服务器。

#在名称为ctx1的SSLVPN访问实例下配置EMO服务器地址为10.10.1.1、端口号为9058。

[Sysname-sslvpn-context-ctx1]emo-serveraddress10.10.1.1port9058

file-policy命令用来创建文件策略,并进入文件策略视图。如果指定的文件策略已经存在,则直接进入该文件策略视图。

undofile-policy命令用来删除指定的文件策略。

file-policypolicy-name

undofile-policypolicy-name

不存在文件策略。

policy-name:文件策略名称,为1~31个字符的字符串,不区分大小写。

此命令创建的文件策略用于对Web接入方式访问的Web服务器网页文件进行匹配和改写。

同一个SSLVPN访问实例视图中可以配置多个文件策略。

#创建名称为fp的文件策略,并进入文件策略视图。

[Sysname-sslvpn-context-ctx-file-policy-fp]

·sslvpncontext

filterip-tunnelacl命令用来配置对IP接入进行高级ACL过滤。

undofilterip-tunnelacl命令用来恢复缺省情况。

filterip-tunnelacladvanced-acl-number

undofilterip-tunnelacl

SSLVPN网关允许SSLVPN客户端访问IP接入资源。

SSLVPN策略组视图

acladvanced-acl-number:用来过滤IP接入报文的高级ACL的编号。advanced-acl-number表示高级ACL,取值范围为3000~3999。引用的ACL规则中不能存在VPN实例,否则该规则不生效。

用户访问资源时,匹配顺序为:

(1)进行URIACL的规则检查,成功匹配URIACL中permit规则后用户的访问请求才允许通过。

(2)若URIACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。

若URIACL和高级ACL均未引用,则SSLVPN网关默认允许所有IP接入方式的访问。

#配置策略组pg1通过IPv4ACL3000过滤IP接入方式访问。

[Sysname-sslvpn-context-ctx1-policy-group-pg1]filterip-tunnelacl3000

·filterip-tunneluri-acl

filterip-tunneluri-acl命令用来配置对IP接入进行URIACL过滤。

undofilterip-tunneluri-acl命令用来取消IP接入的URIACL过滤。

filterip-tunneluri-acluri-acl-name

undofilterip-tunneluri-acl

uri-acl-name:URIACL名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。

配置对IP接入进行URIACL过滤时,指定的URIACL规则中不能包含HTTP和HTTPS协议,否则该规则不生效。

#在SSLVPN策略组abcpg中,配置通过URIACLabcuriacl过滤IP接入方式访问。

[Sysname]sslvpncontextabc

[Sysname-sslvpn-context-abc]policy-groupabcpg

[Sysname-sslvpn-context-abc-policy-group-abcpg]filterip-tunneluri-aclabcuriacl

filtertcp-accessacl命令用来配置对TCP接入进行高级ACL过滤。

undofiltertcp-accessacl命令用来恢复缺省情况。

filtertcp-accessacladvanced-acl-number

undofiltertcp-accessacl

SSLVPN网关仅允许SSLVPN客户端访问端口转发列表下的资源。

acladvanced-acl-number:指定用于过滤TCP接入的高级ACL。advanced-acl-number表示高级ACL的编号,取值范围为3000~3999。引用的ACL规则中不能存在VPN实例,否则该规则不生效。

对于手机版TCP客户端,用户访问资源时,匹配顺序为:

(2)若端口转发资源列表匹配失败时,则进行URIACL的规则检查,成功匹配URIACL中permit规则后用户的访问请求才允许通过。

(3)若URIACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。

#配置策略组pg1通过IPv4ACL3000过滤TCP接入。

[Sysname-sslvpn-context-ctx1-policy-grouppg1]filtertcp-accessacl3000

·filtertcp-accessuri-acl

filtertcp-accessuri-acl命令用来配置对TCP接入进行URIACL过滤。

undofiltertcp-accessuri-acl命令用来取消TCP接入的URIACL的过滤。

filtertcp-accessuri-acluri-acl-name

undofiltertcp-accessuri-acl

#在SSLVPN策略组abcpg中,配置通过URIACLabcuriacl2过滤TCP接入方式访问。

[Sysname-sslvpn-context-abc-policy-group-abcpg]filtertcp-accessuri-aclabcuriacl2

·filtertcp-accessacl

filterweb-accessacl命令用来配置对Web接入进行高级ACL过滤。

undofilterweb-accessacl命令用来恢复缺省情况。

filterweb-accessacladvanced-acl-number

undofilterweb-accessacl

acladvanced-acl-number:指定用于过滤Web接入的高级ACL。advanced-acl-number表示高级ACL的编号,取值范围为3000~3999。引用的ACL规则中不能存在VPN实例,否则该规则不生效。

#配置策略组pg1通过IPv4ACL3000过滤Web接入。

[Sysname-sslvpn-context-ctx1-policy-grouppg1]filterweb-accessacl3000

·filterweb-accessuri-acl

filterweb-accessuri-acl命令用来配置对Web接入进行URIACL过滤。

undofilterweb-accessuri-acl命令用来取消Web接入的URIACL的过滤。

filterweb-accessuri-acluri-acl-name

undofilterweb-accessuri-acl

#在SSLVPN策略组abc中,配置通过URIACLabcuriacl1过滤Web接入方式访问。

[Sysname-sslvpn-context-abc-policy-group-abcpg]filterweb-accessuri-aclabcuriacl1

·filterweb-accessacl

force-logout命令用来强制在线用户下线。

force-logout[all|sessionsession-id|useruser-name]

all:强制所有用户下线。

sessionsession-id:强制指定会话的用户下线。session-id表示用户会话标识,取值范围为1~4294967295。

useruser-name:强制指定用户名的用户下线。user-name表示SSLVPN用户名称,为1~63个字符的字符串,区分大小写。

#强制会话标识为1的用户下线。

[Sysname-sslvpn-context-ctx1]force-logoutsession1

force-logoutmax-onlinesenable命令用来开启达到最大在线数时的用户强制下线功能。

undoforce-logoutmax-onlinesenable命令用来关闭达到最大在线数时的用户强制下线功能。

force-logoutmax-onlinesenable

undoforce-logoutmax-onlinesenable

达到最大在线数时的用户强制下线功能处于关闭状态。

[Sysname-sslvpn-context-ctx1]force-logoutmax-onlinesenable

gateway命令用来配置SSLVPN访问实例引用SSLVPN网关。

undogateway命令用来删除指定的SSLVPN网关。

gatewaygateway-name[domaindomain-name|virtual-hostvirtual-host-name]

undogateway[gateway-name]

未引用SSLVPN网关。

gateway-name:SSLVPN网关名称。为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。

domaindomain-name:域名,为1~127个字符的字符串,不区分大小写,支持输入中文字符。

virtual-hostvirtual-host-name:虚拟主机名称,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。

多个SSLVPN访问实例引用同一个SSLVPN网关时,可以通过以下方法判断远端接入用户所属的SSLVPN访问实例:

·为不同的SSLVPN访问实例、指定不同的虚拟主机名称。远端用户访问SSLVPN网关时,输入虚拟主机名称,SSLVPN网关根据虚拟主机名称判断该用户所属的SSLVPN访问实例。

如果SSLVPN访问实例引用SSLVPN网关时没有指定域名和虚拟主机名称,那么其他的SSLVPN访问实例就不能再引用该SSLVPN网关。

在同一个SSLVPN访问实例视图下,最多可以引用10个SSLVPN网关。

#配置名为ctx1的SSLVPN访问实例引用SSLVPN网关gw1,域名为domain1。

[Sysname-sslvpn-context-ctx1]gatewaygw1domaindomain1

heading命令用来配置URL列表标题。

undoheading命令用来删除URL列表标题。

headingstring

undoheading

URL列表的标题为“Web”。

URL列表视图

string:URL列表标题,为1~31个字符的文本字符串,区分大小写。

#配置URL列表的标题为urlhead。

[Sysname-sslvpn-context-ctx1]url-listurl

[Sysname-sslvpn-context-ctx1-url-list-url]headingurlhead

·url-list

HTTP流量的重定向功能处于关闭状态,SSLVPN网关不会处理HTTP流量。

SSLVPN网关视图

port-number:需要重定向的HTTP流量的端口号,取值范围为80、1025~65535,缺省值为80。

#为端口号为1025的HTTP流量开启重定向功能。

[Sysname]sslvpngatewaygateway1

idle-cuttraffic-threshold命令用来配置SSLVPN会话保持空闲状态的流量阈值。

undoidle-cuttraffic-threshold命令用来恢复缺省情况。

idle-cuttraffic-thresholdkilobytes

undoidle-cuttraffic-threshold

SSLVPN会话保持空闲状态的流量阈值为0千字节。

kilobytes:表示SSLVPN会话保持空闲状态的流量阈值,取值范围为1~4294967295,单位为千字节。

若修改本命令或timeoutidle命令配置的值,则会清空已统计的流量。

#在SSLVPN访问实例ctx1下配置流量阈值为1000千字节。

[Sysname-sslvpn-context-ctx1]idle-cuttraffic-threshold1000

·timeoutidle

include命令用来在IPv4路由列表中添加路由。

undoinclude命令用来删除IPv4路由列表中的路由。

includeip-address{mask|mask-length}

undoincludeip-address{mask|mask-length}

不存在IPv4路由。

IPv4路由列表视图

ip-address:IPv4路由的目的地址,不能是组播、广播、环回地址。

mask:IPv4路由目的地址的掩码。

mask-length:IPv4路由的掩码长度,取值范围为0~32。

本命令指定的目的网段需要是企业内部服务器所在的网络。策略组引用路由列表后,SSLVPN网关将IPv4路由列表中的路由表项下发给客户端。客户端在本地添加这些IPv4路由表项,以便客户端将访问企业网络内部服务器的报文通过虚拟网卡发送给SSLVPN网关,防止这些报文进入Internet。

多次执行本命令,可以在IPv4路由列表中添加多条IPv4路由。

通过include命令和exclude命令指定相同的IPv4路由表项时,最后一次执行的命令生效。

#在IPv4路由列表rtlist下添加IPv4路由10.0.0.0/8。

[Sysname-sslvpn-context-ctx1]ip-route-listrtlist

[Sysname-sslvpn-context-ctx1-route-list-rtlist]include10.0.0.08

·exclude

interfacesslvpn-ac命令用来创建SSLVPNAC接口,并进入SSLVPNAC接口视图。如果指定的SSLVPNAC接口已经存在,则直接进入SSLVPNAC接口视图。

undointerfacesslvpn-ac命令用来删除指定的SSLVPNAC接口。

interfacesslvpn-acinterface-number

undointerfacesslvpn-acinterface-number

不存在SSLVPNAC接口。

系统视图

interface-number:SSLVPNAC接口的编号,取值范围为0~4095。

#创建SSLVPNAC接口1000,并进入SSLVPNAC接口视图。

[Sysname]interfaceSSLVPN-AC1000

[Sysname-SSLVPN-AC1000]

ipaddress命令用来配置SSLVPN网关的IPv4地址和端口号。

undoipaddress命令用来恢复缺省情况。

ipaddressip-address[portport-number]

undoipaddress

SSLVPN网关的IP地址为0.0.0.0,端口号为443。

ip-address:SSLVPN网关的IPv4地址,为点分十进制格式。

portport-number:指定SSLVPN网关的端口号。port-number取值范围为443、1025~65535,缺省值为443。

远端接入用户可以通过本命令配置的IPv4地址和端口号访问SSLVPN网关。当配置的IP地址为非缺省IP地址时,本命令指定的IP地址应为SSLVPN网关上接口的IP地址,并需要保证该IP地址路由可达。

SSLVPN网关使用缺省地址时,端口号不能与设备的HTTPS管理地址的端口号相同。

SSLVPN网关的IPv4地址和端口号与HTTPS管理地址和端口号不能完全相同,如果完全相同,则用户访问此地址和端口时,只能访问SSLVPN网关页面,而不能访问设备的管理页面。

#配置SSLVPN网关的IPv4地址为10.10.1.1、端口号为8000。

[Sysname]sslvpngatewaygw1

[Sysname-sslvpn-gateway-gw1]ipaddress10.10.1.1port8000

·displaysslvpngateway

ip-route-list命令用来创建IPv4路由列表,并进入IPv4路由列表视图。如果指定的IPv4路由列表已经存在,则直接进入IPv4路由列表视图。

undoip-route-list命令用来删除指定的IPv4路由列表。

ip-route-listlist-name

undoip-route-listlist-name

不存在IPv4路由列表。

list-name:IPv4路由列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。

在IPv4路由列表视图下,可以配置IPv4路由表项,客户端可以通过这些IPv4路由表项访问企业网络内部的服务器。

若IPv4路由列表被策略组引用,则不允许删除该IPv4路由列表。请先通过undoip-tunnelaccess-route命令取消引用,再执行本命令删除IPv4路由列表。

#在名为ctx1的SSLVPN访问实例下,创建IPv4路由列表rtlist,并进入IPv4路由列表视图。

[Sysname-sslvpn-context-ctx1-route-list-rtlist]

·ip-tunnelaccess-route

ip-tunnelaccess-route命令用来配置下发给客户端的IPv4路由表项。

undoip-tunnelaccess-route命令用来恢复缺省情况。

ip-tunnelaccess-route{ip-address{mask-length|mask}|force-all|ip-route-listlist-name}

undoip-tunnelaccess-route

未指定下发给客户端的IPv4路由表项。

ip-address{mask-length|mask}:将IPv4指定路由下发给客户端。ip-address为IPv4路由的目的地址,不能是组播、广播、环回地址;mask-length为路由的掩码长度,取值范围为0~32;mask为路由的掩码。

force-all:强制将客户端的流量转发给SSLVPN网关。

ip-route-listlist-name:将指定IPv4路由列表中的IPv4路由表项下发给客户端。list-name表示IPv4路由列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。本参数指定的IPv4路由列表必须先通过ip-route-list命令创建。

客户端通过IP接入方式访问网关时,网关将指定的路由下发给客户端。客户端若访问该网段内的服务器,报文就会通过虚拟网卡发送给SSLVPN网关,防止报文进入Internet。

通过指定IPv4路由列表,可以同时将IPv4路由列表中的多条IPv4路由下发给客户端。若只需要为客户端下发一条路由,则可以直接配置ip-address{mask-length|mask}参数,无需指定IPv4路由列表。

执行本命令时如果指定了force-all参数,则SSLVPN网关将在客户端上添加优先级最高的缺省IPv4路由,IPv4路由的出接口为虚拟网卡,从而使得所有没有匹配到IPv4路由表项的流量都通过虚拟网卡发送给SSLVPN网关。SSLVPN网关还会实时监控SSLVPN客户端,不允许SSLVPN客户端删除此缺省IPv4路由,且不允许SSLVPN客户端添加优先级高于此路由的缺省路由。

#在策略组pg1下,配置将IPv4路由列表rtlist中的IPv4路由下发给客户端。

[Sysname-sslvpn-context-ctx1-route-list-rtlist]include20.0.0.08

[Sysname-sslvpn-context-ctx1-route-list-rtlist]quit

[Sysname-sslvpn-context-ctx1-policy-group-pg1]ip-tunnelaccess-routeip-route-listrtlist

·ip-route-list

ip-tunneladdress-pool命令用来配置IP接入引用IPv4地址池。

undoip-tunneladdress-pool命令用来恢复缺省情况。

ip-tunneladdress-poolpool-namemask{mask-length|mask}

undoip-tunneladdress-pool

IP接入未引用IPv4地址池。

pool-name:引用的IPv4地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。

mask{mask-length|mask}:指定IPv4地址池的掩码或掩码长度。mask-length表示地址池的掩码长度,取值范围为1~30;mask表示地址池的掩码。

本命令可以引用不存在的IPv4地址池。但此时SSLVPN网关无法为客户端分配IPv4地址。只有创建IPv4地址池后,SSLVPN网关才可以为客户端分配IPv4地址。

每个SSLVPN访问实例视图下只能引用一个IPv4地址池。多次执行本命令,最后一次执行的命令生效。

为了不影响用户接入,请管理员合理规划IP地址,避免地址池中的地址与设备上其他地址冲突。

#配置IP接入引用IPv4地址池pool1。

[Sysname-sslvpn-context-ctx]ip-tunneladdress-poolpool1mask24

·sslvpnipaddress-pool

策略组下IP接入未引用IPv4地址池。

当SSLVPN访问实例和策略组下同时引用IPv4地址池时,将从策略组下的IPv4地址池分配地址,若地址池中无可用地址,则分配失败。当策略组中未引用IPv4地址池时,从访问实例的IPv4地址池中分配地址。

本命令可以引用不存在的IPv4地址池,但是不能从该地址池分配地址,只有创建地址池后,SSLVPN网关才可以为使用该地址池为客户端分配IPv4地址。

每个SSLVPN策略组下只能引用一个IPv4地址池。多次执行本命令,最后一次执行的命令生效。

#在策略组pg1下配置用户IP接入引用IPv4地址池pool1。

[Sysname-sslvpn-context-ctx1-policy-group-pg1]ip-tunneladdress-poolpool1mask24

ip-tunneldns-server命令用来配置为客户端指定的内网DNS服务器IPv4地址。

undoip-tunneldns-server命令用来恢复缺省情况。

ip-tunneldns-server{primary|secondary}ip-address

undoip-tunneldns-server{primary|secondary}

未配置为客户端指定的DNS服务器IPv4地址。

primary:指定主DNS服务器。

secondary:指定备DNS服务器。

ip-address:DNS服务器的IPv4地址,不能是组播、广播、环回地址。

#配置为客户端指定的主DNS服务器IPv4地址为1.1.1.1。

[Sysname-sslvpn-context-ctx]ip-tunneldns-serverprimary1.1.1.1

ip-tunnelinterface命令用来配置IP接入引用的SSLVPNAC接口。

undoip-tunnelinterface命令用来恢复缺省情况。

ip-tunnelinterfacesslvpn-acinterface-number

undoip-tunnelinterface

IP接入未引用SSLVPNAC接口。

sslvpn-acinterface-number:引用的SSLVPNAC接口。interface-number为SSLVPNAC接口编号,取值范围为设备上已创建的SSLVPNAC接口的编号。指定的SSLVPNAC接口必须在设备上已经存在。

当SSLVPN用户使用IP接入方式访问SSLVPN网关时,网关使用指定的SSLVPNAC接口与客户端通信。网关从SSLVPNAC接口接收到客户端发送的报文后,将报文转发到远端服务器;服务器做出响应后,网关会把应答报文通过SSLVPNAC接口发给客户端。

#指定IP接入引用的接口为SSLVPNAC100。

[Sysname-sslvpn-context-ctx]ip-tunnelinterfacesslvpn-ac100

·interfacesslvpn-ac

undoip-tunnelkeepalive命令用来恢复缺省情况。

ip-tunnelkeepaliveseconds

undoip-tunnelkeepalive

保活报文由客户端发送给网关,用于维持客户端和网关之间的会话。

[Sysname-sslvpn-context-ctx]ip-tunnelkeepalive50

ip-tunnellog命令用来开启IP接入的日志生成功能。

undoip-tunnellog命令用来关闭IP接入的日志功能。

ip-tunnellog{address-alloc-release|connection-close|packet-drop}

undoip-tunnellog{address-alloc-release|connection-close|packet-drop}

IP接入的日志功能处于关闭状态。

address-alloc-release:IP接入客户端虚拟网卡IP地址分配和释放的日志开关。

connection-close:IP接入连接关闭日志的开关。

packet-drop:IP接入丢包日志开关。

IP接入日志包括以下三种:

·客户端虚拟网卡IP地址分配和释放日志:IP接入方式下,SSLVPN网关为客户端虚拟网卡分配和释放IP地址时,SSLVPN网关会生成日志信息。

·连接关闭日志:IP接入建立的连接被关闭时,SSLVPN网关会生成日志信息。

·丢包日志:IP接入建立的连接发生丢包时,SSLVPN网关会生成日志信息。

生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。

#开启SSLVPN访问实例ctx1的丢包日志功能。

[Sysname-sslvpn-context-ctx1]ip-tunnellogconnection-close

ip-tunnelrate-limit命令用来开启IP接入方式的限速功能,并配置限速速率。

undoip-tunnelrate-limit命令用来关闭指定方向的IP接入方式限速功能。

ip-tunnelrate-limit{downstream|upstream}{kbps|pps}value

undoip-tunnelrate-limit{downstream|upstream}

IP接入方式的限速功能处于关闭状态。

downstream:下行流量,即内网资源服务器发送给SSLVPN用户的流量。

upstream:上行流量,即SSLVPN用户访问内网资源服务器的流量。

kbps:表示限速速率单位为千比特每秒。

pps:表示限速速率单位为报文数每秒。

value:表示允许的最大速率,取值范围为1000~100000000。

本功能用于限制SSLVPN访问实例的IP接入速率,超过此速率之后,访问实例收到的报文将被丢弃。管理员可根据需求和实际情况进行合理配置。

可多次执行本命令,分别对上行流量和下行流量进行限速。针对上行或下行流量,重复配置,最后一次配置生效。

#配置SSLVPN访问实例ctx1下IP接入的上行流量最大速率限制为10000pps。

[Sysname-sslvpn-context-ctx1]ip-tunnelrate-limitupstreampps10000

ip-tunnelweb-resourceauto-push

undoip-tunnelweb-resourceauto-push

[Sysname-sslvpn-context-ctx1]ip-tunnelweb-resourceauto-push

ip-tunnelwins-server命令用来配置为客户端指定的内网WINS服务器IPv4地址。

undoip-tunnelwins-server命令用来恢复缺省情况。

ip-tunnelwins-server{primary|secondary}ip-address

undoip-tunnelwins-server{primary|secondary}

未配置为客户端指定的WINS服务器IPv4地址。

primary:配置主WINS服务器。

secondary:配置备WINS服务器。

ip-address:WINS服务器的IPv4地址,不能是组播、广播、环回地址。

#配置为客户端指定的内网主WINS服务器IPv4地址为1.1.1.1。

[Sysname-sslvpn-context-ctx]ip-tunnelwins-serverprimary1.1.1.1

local-port命令用来添加一个端口转发实例。

undolocal-port命令用来删除指定的端口转发实例。

local-portlocal-port-numberlocal-namelocal-nameremote-serverremote-serverremote-portremote-port-number[descriptiontext]

undolocal-port

不存在端口转发实例。

端口转发表项视图

local-port-number:企业网内的TCP服务映射的本地端口号,取值范围为1~65535,且不能与本地已有服务的端口号相同。

local-namelocal-name:指定企业网内的TCP服务映射的本地地址或本地主机名称。local-name为1~253个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。

remote-serverremote-server:指定企业网内TCP服务的IP地址或完整域名。remote-server为为1~253个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。

remote-portremote-port-number:指定企业网内TCP服务的端口号。remote-port-number取值范围为1~65535。

descriptiontext:指定端口转发实例的描述信息。description-string为1~63个字符的字符串,区分大小写。

本命令用来将企业网内的基于TCP的服务(如Telnet、SSH、POP3)映射为SSLVPN客户端上的本地地址和本地端口,以便SSLVPN客户端通过本地地址和本地端口访问企业网内的服务器。例如,执行如下命令,表示在SSLVPN客户端上通过127.0.0.1、端口80可以访问企业网内的HTTP服务器192.168.0.213。

local-port80local-name127.0.0.1remote-server192.168.0.213remote-port80

添加端口转发实例时,需要注意的是,

·配置的local-port-number不能与本地已有服务的端口号相同。

·如果将企业网内的TCP服务映射为本地地址,则建议将本地地址配置为127.0.0.0/8网段的地址;如果映射为本地主机名,SSLVPN的TCP接入客户端软件会在主机文件hosts(C:\Windows\System32\drivers\etc\hosts)中添加主机名对应的IP地址,并在用户退出时恢复原来的主机文件hosts。

·每个端口转发表项只能添加一个端口转发实例。

#配置端口转发实例:将企业网内的HTTP服务器192.168.0.213映射为本地地址127.0.0.1、本地端口80。

[Sysname-sslvpn-context-ctx1]port-forward-itempfitem1

·port-forward-item

logresource-accessenable命令用来开启用户访问资源日志生成功能。

undologresource-accessenable命令用来关闭用户访问资源日志生成功能。

logresource-accessenable[brief|filtering]*

undologresource-accessenable

用户访问资源日志生成功能处于关闭状态。

brief:开启用户访问资源日志摘要功能。当开启该功能后,仅显示访问资源的地址及其端口号,增强日志的可读性。若不指定该参数,当用户访问资源时,日志信息会包含大量网页的构成元素信息。

filtering:开启用户访问资源日志过滤功能。当开启该功能后,1分钟内同一用户重复访问相同资源时仅生成一条日志信息。若不指定该参数,则表示同一用户重复访问相同资源时,均生产日志信息。

开启本功能后,用户访问资源信息时,SSLVPN网关会生成日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。

用户访问资源日志不会输出到控制台和监视终端。当信息中心配置的规则将用户访问资源日志输出到控制台和监视终端时,若仍需要查看用户访问资源日志,可通过执行displaylogbuffer命令查看。有关信息中心和displaylogbuffer命令的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。

#开启用户访问资源日志生成功能。

[Sysname-sslvpn-context-ctx1]logresource-accessenable

loguser-loginenable命令用来开启用户上下线日志生成功能。

undologuser-loginenable命令用来关闭用户上下线日志生成功能。

loguser-loginenable

undologuser-loginenable

用户上下线日志生成功能处于关闭状态。

开启本功能后,用户上线下线时,SSLVPN网关会生成日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。

#开启用户上下线生成日志功能。

[Sysname-sslvpn-context-ctx1]loguser-loginenable

undologin-message命令用来恢复缺省情况。

login-message{chinesechinese-message|englishenglish-message}

undologin-message{chinese|english}

chinesechinese-message:指定中文页面的欢迎信息。chinese-message为1~255个字符的字符串,区分大小写。

englishenglish-message:指定英文页面的欢迎信息。english-message为1~255个字符的字符串,区分大小写。

#配置SSLVPN英文页面的欢迎信息为“hello”,中文页面的欢迎信息为“你好”。

[Sysname-sslvpn-context-ctx1]login-messageenglishhello

[Sysname-sslvpn-context-ctx1]login-messagechinese你好

logo命令用来配置SSLVPN页面上显示的logo。

undologo命令用来恢复缺省情况。

logo{filefile-name|none}

undologo

SSLVPN页面上显示“H3C”logo图标。

filefile-name:指定logo图标文件。file-name为1~255字符的字符串,不区分大小写。filename指定的logo图标文件必须为gif、jpg或png格式,且不能超过100KB,建议图片尺寸在110*30像素左右。

none:不显示logo图标。

指定的logo图标文件必须是本地已经存在的文件。

如果指定logo图标文件后,删除该文件,则仍然会显示该文件对应的logo图标。

#配置SSLVPN页面上显示的logo为flash:/mylogo.gif文件对应的logo图标。

[Sysname-sslvpn-context-ctx1]logofileflash:/mylogo.gif

max-onlines命令用来配置同一用户名的同时最大在线数。

undomax-onlines命令用来恢复缺省情况。

max-onlinesnumber

undomax-onlines

同一用户名的同时最大在线数为32。

number:SSLVPN的同一用户名同时最大在线数,取值范围为0~1048575,取值为0时表示不限制同一用户的同时最大在线数。

#配置同一用户名的同时最大在线数为50。

[Sysname-sslvpn-context-ctx1]max-onlines50

max-users命令用来配置SSLVPN访问实例的最大会话数。

undomax-users命令用来恢复缺省情况。

max-usersmax-number

undomax-users

SSLVPN访问实例的最大会话数为1048575。

max-number:SSLVPN访问实例的最大会话数,取值范围为1~1048575。

#配置SSLVPN访问实例的最大会话数为500。

[Sysname-sslvpn-context-ctx1]max-users500

message-server命令用来配置为客户端指定的Message服务器。

undomessage-server命令用来恢复缺省情况。

message-serveraddress{host-name|ipv4-address}portport-number

undomessage-server

没有配置为客户端指定的Message服务器。

address:指定Message服务器的主机名或IPv4地址。

host-name:Message服务器的主机名,为1~127个字符的字符串,可以包含字母、数字、下划线、“-”和“.”,不区分大小写。

ipv4-address:Message服务器的IPv4地址,为点分十进制格式,不能是组播、广播、环回地址。

portport-number:指定Message服务器使用的端口号。port-number取值范围为1025~65535。

Message服务器用来为移动客户端提供服务。执行本命令后,SSLVPN网关会将配置的Message服务器信息下发给客户端,以便客户端访问Message服务器。

#配置SSLVPNContext的Message服务器。

[Sysname-sslvpn-context-ctx]message-serveraddress10.10.1.1port8000

mobile-num命令用来配置用于接收短信的手机号码。

undomobile-num命令用来恢复缺省情况。

mobile-numnumber

undomobile-num

未配置用于接收短信的手机号码。

SSLVPN用户视图

number:用于接收短信的手机号码,为1~31个字符的字符串,仅支持数字。

#为用户user1配置接收短信的手机号码为111111。

[Sysname-sslvpn-context-ctx1]useruser1

[Sysname-sslvpn-context-ctx1-user-user1]mobile-num111111

mtu命令用来配置接口的MTU值。

undomtu命令用来恢复缺省情况。

mtusize

undomtu

接口的MTU值为1500。

size:接口的MTU值,取值范围为100~64000,单位为字节。

#配置接口SSLVPNAC1000的MTU值为1430字节。

[Sysname-SSLVPN-AC1000]mtu1430

new-content命令用来配置改写之后的文件内容。

undonew-content命令用来恢复缺省情况。

new-contentstring

undonew-content

未配置改写之后的文件内容。

改写规则视图

string:改写之后的文件内容,为1~256个字符的字符串,区分大小写。

在对网页文件进行改写的过程中,首先通过old-content命令配置的string对文件内容进行匹配,匹配成功之后,采用本命令配置的string对文件内容进行替换。

如果改写的文件内容中存在空格,需要使用双引号把文件内容引起来。

#配置改写之后的文件内容。

[Sysname-sslvpn-context-ctx-file-policy-fp]rewrite-rulerule1

[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1]new-contentsslvpn_rewrite_htmlcode(d)

·old-content

notify-message命令用来配置公告信息。

undonotify-message命令用来恢复缺省情况。

notify-message{login-page|resource-page}{chinesechinese-message|englishenglish-message}

undonotify-message{login-page|resource-page}{chinese|english}

未配置公告消息。

resource-page:指定SSLVPN资源页面公告信息。

chinesechinese-message:指定中文页面公告信息。chinese-message为1~255个字符的字符串,区分大小写。

englishenglish-message:指定英文页面公告信息。english-message为1~255个字符的字符串,区分大小写。

在同一个SSLVPN访问实例视图下,多次执行本命令配置相同界面相同语言的公告信息,最后一次执行的命令生效。

[Sysname-sslvpn-context-ctx1]notify-messagelogin-pagechinese请及时修改密码

old-content命令用来配置需要改写的文件内容。

undoold-content命令用来恢复缺省情况。

old-contentstring

undoold-content

未配置需要改写的文件内容。

string:需要改写的文件内容,为1~256个字符的字符串,区分大小写。

在对网页文件改写的过程中,首先通过本命令配置的string对文件内容进行匹配,匹配成功之后,采用new-content命令配置的改写之后的文件内容对其进行替换。

同一文件策略中的不同规则下需要改写的文件内容不能相同。

#配置需要改写的文件内容。

[Sysname-sslvpn-context-ctx-file-policy-fp]rewriterulerule1

[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1]old-content"a.b.c.innerHTML=d;"

·new-content

password-authenticationenable命令用来开启用户名/密码认证功能。

undopassword-authenticationenable命令用来关闭用户名/密码认证功能。

password-authenticationenable

undopassword-authenticationenable

用户名/密码认证功能处于开启状态。

#关闭SSLVPN访问实例的用户名/密码认证功能。

[Sysname-sslvpn-context-ctx]undopassword-authenticationenable

password-boxhide

undopassword-boxhide

为了保证设备的可用性和安全性,建议配合其他验证方式使用。

当管理员希望通过除用户名/密码以外的方式验证用户身份时,建议使用本功能。

[Sysname-sslvpn-context-ctx1]password-boxhide

password-changingenable

undopassword-changingenable

[Sysname-sslvpn-context-ctx1]password-changingenable

·password-changingenable(SSLVPNuserview)

[Sysname-sslvpn-context-ctx1-user-user1]password-changingenable

·password-changingenable(SSLVPNcontextview)

password-complexity-message命令用来配置密码复杂度提示信息。

undopassword-complexity-message命令用来恢复缺省情况。

password-complexity-message{chinesechinese-message|englishenglish-message}

undopassword-complexity-message{chinese|english}

未配置密码复杂度提示信息。

chinesechinese-message:指定中文页面的密码复杂度提示信息。chinese-message为1~255个字符的字符串,区分大小写。

englishenglish-message:指定英文页面的密码复杂度提示信息。english-message为1~255个字符的字符串,区分大小写。

本命令配置的中英文页面密码复杂度提示信息将在SSLVPN修改密码页面显示,用于提示用户输入满足密码复杂度要求的新密码。

在同一个SSLVPN访问实例视图下,多次执行本命令配置相同语言的提示信息,最后一次执行的命令生效。

#在SSLVPN访问实例ctx1下,配置中文页面密码复杂度提示信息为“必须包含大小写字母”。

[Sysname-sslvpn-context-ctx1]password-complexity-messagechinese必须包含大小写字母

policy-group命令用来创建策略组,并进入SSLVPN策略组视图。如果指定的策略组已经存在,则直接进入策略组视图。

undopolicy-group命令用来删除指定的策略组。

policy-groupgroup-name

undopolicy-groupgroup-name

不存在策略组。

策略组包含一系列规则,这些规则为用户定义了资源的访问权限。

#创建名为pg1的策略组,并进入SSLVPN策略组视图。

[Sysname-sslvpn-context-ctx1-policy-group-pg1]

·default-policy-group

port-forward命令用来创建端口转发列表,并进入端口转发列表视图。如果指定的端口转发列表已经存在,则直接进入端口转发列表视图。

undoport-forward命令用来删除指定的端口转发列表。

port-forwardport-forward-name

undoport-forwardport-forward-name

不存在端口转发列表。

port-forward-name:端口转发列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。

端口转发列表用来为SSLVPN用户提供TCP接入服务。

在转发列表视图下,通过port-forward-item命令可以创建端口转发表项。一个端口转发列表中可以配置多个端口转发表项。

#创建端口转发列表pflist1,并进入端口转发列表视图。

[Sysname-sslvpn-context-ctx1]port-forwardpflist1

[Sysname-sslvpn-context-ctx1-port-forward-pflist1]

·local-port

·resourcesport-forward

port-forward-item命令用来创建端口转发表项,并进入端口转发表项视图。如果指定的端口转发表项已经存在,则直接进入端口转发表项视图。

undoport-forward-item命令用来删除指定的端口转发表项。

port-forward-itemitem-name

undoport-forward-itemitem-name

不存在端口转发表项。

item-name:端口转发表项名称,为1~31个字符的字符串,不区分大小写。

端口转发表项用来为SSLVPN用户提供TCP接入服务。

在端口转发表项视图下,需要通过local-port命令创建端口转发实例。端口转发实例将企业网内的基于TCP的服务(如Telnet、SSH、POP3)映射为SSLVPN客户端上的本地地址和本地端口,以便SSLVPN客户端通过本地地址和本地端口访问企业网内的服务器。

一个端口转发列表中可以配置多个端口转发表项。

#创建端口转发表项pfitem1,并进入端口转发表项视图。

[Sysname-sslvpn-context-ctx1-port-forward-item-pfitem1]

·resourcesport-forward-item

prevent-crackingfreeze-ip命令用来设置防暴力破解冻结IP地址功能参数。

undoprevent-crackingfreeze-ip命令用来恢复缺省情况。

prevent-crackingfreeze-iplogin-failureslogin-failuresfreeze-timefreeze-time

undoprevent-crackingfreeze-ip

[Sysname-sslvpn-context-ctx1]prevent-crackingfreeze-iplogin-failures100freeze-time60

·displaysslvpnprevent-crackingfrozen-ip

prevent-crackingfreeze-ipenable命令用来开启防暴力破解冻结IP地址功能。

undoprevent-crackingfreeze-ipenable命令用来关闭防暴力破解冻结IP地址功能。

prevent-crackingfreeze-ipenable

undoprevent-crackingfreeze-ipenable

防暴力破解冻结IP地址功能处于关闭状态。

#开启防暴力破解冻结IP地址功能。

[Sysname-sslvpn-context-ctx1]prevent-crackingfreeze-ipenable

prevent-crackingunfreeze-ip命令用来手工解冻防暴力破解冻结的IP地址。

prevent-crackingunfreeze-ip{all|ipv4ip-address}

all:表示手工解冻所有IP地址。

ipv4:表示指定IPv4地址。

ip-address:表示手工解冻的IP地址。

#在SSLVPN访问实例ctx1下,解冻所有防暴力破解冻结的IP地址。

[Sysname-sslvpn-context-ctx1]prevent-crackingunfreeze-ipall

prevent-crackingverify-code命令用来设置防暴力破解验证码验证功能参数。

undoprevent-crackingverify-code命令用来恢复缺省情况。

prevent-crackingverify-codelogin-failureslogin-failures

undoprevent-crackingverify-code

[Sysname-sslvpn-context-ctx1]prevent-crackingverify-codelogin-failures-times10

prevent-crackingverify-codeenable命令用来开启防暴力破解验证码验证功能。

undoprevent-crackingverify-codeenable命令用来关闭防暴力破解验证码验证功能。

prevent-crackingverify-codeenable

undoprevent-crackingverify-codeenable

防暴力破解验证码验证功能处于关闭状态。

#开启防暴力破解验证码验证功能。

[Sysname-sslvpn-context-ctx1]prevent-crackingverify-codeenable

rate-limit命令用来开启SSLVPN会话的限速功能,并配置限速速率。

undorate-limit命令用来关闭指定方向的SSLVPN会话的限速功能。

rate-limit{downstream|upstream}value

undorate-limit{downstream|upstream}

SSLVPN会话的限速功能处于关闭状态。

downstream:SSLVPN用户的下行流量,即内网资源服务器发送给SSLVPN用户的流量。

upstream:SSLVPN用户的上行流量,即SSLVPN用户访问内网资源服务器的流量。

value:表示允许的最大速率,取值范围为1000~100000000,单位为kbps。

本功能用于限制SSLVPN访问实例下SSLVPN会话的速率,超过此速率之后,此SSLVPN会话相应方向的报文将会被丢弃。管理员可根据需求和实际情况进行合理配置。

#在SSLVPN访问实例ctx1下,配置SSLVPN会话的上行流量最大速率限制为10000kbps。

[Sysname-sslvpn-context-ctx1]rate-limitupstream10000

undoredirect-resource命令用来恢复缺省情况。

redirect-resource{shortcut|url-item}resource-name

undoredirect-resource

shortcut:表示重定向资源类型为快捷方式。

url-item:表示重定向资源类型为URL表项。

resource-name:表示重定向资源名称,为1~31个字符的字符串,不区分大小写。

在同一个SSLVPN策略组视图下,多次执行本命令,最后一次执行的命令生效。

#在SSLVPN策略组pg1下配置重定向资源的资源类型为url-item,资源名称为url1。

[Sysname-sslvpn-context-ctx1-policy-group-pg1]redirect-resourceurl-itemurl1

·displaysslvpnpolicy-group

resetcountersinterfacesslvpn-ac命令用来清除SSLVPNAC接口的统计信息。

resetcountersinterface[sslvpn-ac[interface-number]]

用户视图

sslvpn-ac[interface-number]:指定接口的类型及编号。interface-number为SSLVPNAC接口的编号,取值范围为0~4095。如果不指定sslvpn-ac,则清除所有接口的统计信息,如果指定sslvpn-ac而不指定interface-number,则清除所有SSLVPNAC接口的统计信息。

#清除接口SSLVPNAC1000的统计信息。

resetcountersinterfacesslvpn-ac1000

·displayinterfacesslvpn-ac

resetsslvpnip-tunnelstatistics命令用来清除通过IP接入的SSLVPN用户的报文统计信息。

resetsslvpnip-tunnelstatistics[contextcontext-name[sessionsession-id]]

contextcontext-name:清除指定SSLVPN访问实例下通过IP接入的SSLVPN用户的报文统计信息。context-name表示SSLVPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则清除所有SSLVPN访问实例下通过IP接入的SSLVPN用户的报文统计信息。

sessionsession-id:清除指定会话ID的SSLVPN用户的IP接入报文统计信息。session-id表示SSLVPN用户会话标识,取值范围为1~4294967295。如果不指定本参数,则清除指定的SSLVPN访问实例下所有通过IP接入的SSLVPN用户的报文统计信息。

SSLVPN访问实例名和会话ID可以通过displaysslvpnsession来查看。如果不指定任何参数,则表示清除所有SSLVPN访问实例下的所有用户的IP接入报文统计信息。

#清除所有SSLVPN访问实例下通过IP接入的SSLVPN用户的报文统计信息。

resetsslvpnip-tunnelstatistics

#清除SSLVPN访问实例ctx1下通过IP接入的SSLVPN用户的报文统计信息。

resetsslvpnip-tunnelstatisticscontextctx1

#清除SSLVPN访问实例ctx1下会话ID为1的SSLVPN用户的IP接入报文统计信息。

resetsslvpnip-tunnelstatisticscontextctx1session1

·displaysslvpnip-tunnelstatistics

·displaysslvpnsession

resourcesport-forward命令用来配置策略组引用端口转发列表。

undoresourcesport-forward命令用来取消策略组引用端口转发列表。

resourcesport-forwardport-forward-name

undoresourcesport-forward

策略组没有引用任何端口转发列表。

port-forward-name:端口转发列表名称,为1~31个字符的字符串,支持输入中文字符,且必须已经存在。

#配置策略组pg1引用端口转发列表pflist1。

[Sysname-sslvpn-context-ctx1-policy-group-pg1]resourcesport-forwardpflist1

·port-forward

resourcesport-forward-item命令用来配置端口转发列表引用端口转发表项。

undoresourcesport-forward-item命令用来取消端口转发列表引用的端口转发表项。

resourcesport-forward-itemitem-name

undoresourcesport-forward-itemitem-name

端口转发列表未引用任何端口转发表项。

端口转发列表视图

本命令引用的端口转发表项必须先通过port-forward-item命令创建。

一个端口转发列表可以引用多条端口转发表项。

#配置端口转发列表pflist1引用端口转发表项pfitem1。

[Sysname-sslvpn-context-ctx1-port-forward-item-pfitem1]quit

[Sysname-sslvpn-context-ctx1-port-forward-pflist1]resourcesport-forward-itempfitem1

resourcesuri-acl命令用来配置过滤URL资源的URIACL。

undoresourcesuri-acl命令用来删除过滤URL资源的URIACL。

resourcesuri-acluri-acl-name

undoresourcesuri-acl

不对URL资源进行过滤。

URL表项视图

uri-acl-name:指定过滤URL内容的URIACL的名称,为1~31个字符的字符串,不区分大小写。引用的URIACL必须已经存在。

此命令用于对访问的URL资源进行更精细的控制。

#配置过滤URL资源的URIACL为abc。

[Sysname-sslvpn-context-ctx1]url-itemserverA

[Sysname-sslvpn-context-ctx1-url-item-serverA]resourcesuri-aclabc

·uri-acl

resourcesurl-item命令用来配置URL列表引用的URL表项。

undoresourcesurl-item命令用来删除URL列表引用的URL表项。

resourcesurl-itemurl-item-name

undoresourcesurl-itemurl-item-name

未引用URL表项。

url-item-name:表示URL表项的名称,为1~31个字符的字符串,不区分大小写。引用的URL表项必须已存在。

一个URL列表可以引用多个URL表项。

#创建URL列表list1,引用名为serverA的表项。

[Sysname-sslvpn-context-ctx1]url-listlist1

[Sysname-sslvpn-context-ctx1-url-list-list1]resourcesurl-itemserverA

·url-item

resourcesurl-list命令用来配置策略组引用URL列表。

undoresourcesurl-list命令用来取消策略组引用URL列表。

resourcesurl-listurl-list-name

undoresourcesurl-listurl-list-name

策略组没有引用任何URL列表。

url-list-name:URL列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符,且必须已经存在。

在Web接入模式下,配置策略组引用URL列表后,远端用户可以使用浏览器访问URL列表下的URL资源。

#配置策略组pg1引用URL列表url1。

[Sysname-sslvpn-context-ctx1-policy-group-pg1]resourcesurl-listurl1

resources-file命令用来配置供用户下载的资源文件。

undoresources-file命令用来恢复缺省情况。

resources-file{chinesechinese-filename|englishenglish-filename}

undoresources-file{chinese|english}

未配置供用户下载的资源文件。

chinesechinese-filename:指定中文页面供用户下载的文件名。chinese-filename为1~31个字符的字符串,区分大小写。

englishenglish-filename:指定英文页面供用户下载的文件名。english-filename为1~31个字符的字符串,区分大小写。

本命令配置的文件,将在SSLVPN资源页面显示,可供用户下载使用。文件需由SSLVPN网关管理员提前上传至设备的文件管理系统,且通过本命令配置该文件时需要输入文件的完整路径。

在同一个SSLVPN访问实例视图下,多次执行本命令配置相同语言的资源文件,最后一次执行的命令生效。

#在SSLVPN访问实例ctx1下,配置中文页面供用户下载的文件为flash:/sslvpnhelp.pdf。

[Sysname-sslvpn-context-ctx1]resources-filechineseflash:/sslvpnhelp.pdf

rewriteserver-response-message命令用来改写服务器返回信息。

undorewriteserver-response-message命令用来恢复缺省情况。

rewriteserver-response-messageserver-response-message{chinesechinese-message|englishenglish-message}

undorewriteserver-response-messageserver-response-message{chinese|english}

SSLVPN网关不改写服务器返回信息。

server-response-message:服务器返回信息的初始内容,为1~127个字符的字符串,区分大小写。若需输入空格,则需要将整个字符串包含在双引号中输入。

chinesechinese-message:指定中文页面服务器返回信息的改写内容。chinese-message为1~127个字符的字符串,区分大小写。

englishenglish-message:指定英文页面服务器返回信息的改写内容。english-message为1~127个字符的字符串,区分大小写。

在同一个SSLVPN访问实例视图下,多次执行本命令配置相同服务器返回信息初始内容相同语言的改写内容,最后一次执行的命令生效。

#在SSLVPN访问实例ctx1下,指定中文页面服务器返回信息“认证成功”的改写内容为“用户身份认证成功”。

[Sysname-sslvpn-context-ctx1]rewriteserver-response-message认证成功chinese用户身份认证成功

rewrite-rule命令用来创建改写规则,并进入改写规则视图。如果指定的改写规则已经存在,则直接进入该改写规则视图。

undorewrite-rule命令用来删除指定的改写规则。

rewrite-rulerule-name

undorewrite-rulerule-name

不存在改写规则。

rule-name:改写规则名称,为1~31个字符的字符串,不区分大小写。

同一个文件策略视图中可以配置多个改写规则。

#创建改写规则rule1,并进入改写规则视图。

[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1]

rule命令用来创建URIACL规则。

undorule命令用来删除指定的URIACL规则。

rule[rule-id]{deny|permit}uriuri-pattern-string

undorulerule-id

不存在URLACL规则。

URIACL视图

deny:表示拒绝符合条件的报文。

permit:表示允许符合条件的报文。

rule-id:规则ID,取值范围为0~65534,步长为5。若未指定本参数,自动分配一个大于现有最大编号的最小编号。例如现有规则的最大编号为28,那么自动分配的新编号将是30。

uri:指定URI形式字符串。

表1-14URI匹配字段说明

protocol

协议名称,取值包括:

·tcp

·udp

·icmp

·ip

host

主机IP地址或域名

1.支持的主机地址格式如下:

·IPv4地址,例如:192.168.1.1

·使用字符-表示的IPv4地址地址范围,例如:3.3.3.1-3.3.3.200

·指定子网掩码长度的IPv4地址,例如2.2.2.2/24

以上三种格式的组合,使用逗号分隔,例如:192.168.1.1,3.3.3.1-3.3.3.200,2.2.2.2/24

2.支持的域名格式如下:

·精确的主机域名,例如www.domain.com

·包含通配符的主机域名。支持的通配符包括:

*:匹配零个或多个任意字符,例如:*.com

:匹配单个任意字符,例如:www.domain.com

%:匹配本级域名为任意字符,例如:www.%.com

port

主机端口。若未指定,则使用该协议的缺省端口号。支持的端口格式如下:

·单个端口,例如:1002

·使用字符-表示的端口范围,例如:8080-8088

以上两种格式的组合,使用逗号分隔,例如:1002,90,8080-8088

path

主机上的文件或目录,以一个或多个/或\分隔的路径。路径支持的通配符包括:

·*:匹配零个或多个任意字符,例如:/path1/*

·:匹配单个任意字符,例如:/path/

·%:匹配本级域名为任意字符,例如:/path1/%/

URIACL在匹配过滤时会按照规则ID从小到大的顺序依次匹配报文,一旦匹配上某条规则便结束匹配过程。

#在URIACL视图下,配置一条URIACL规则。

[Sysname-sslvpn-context-abc]uri-acluriacla

self-serviceimcaddress命令用来配置iMC认证用户自助修改密码使用的iMC服务器。

undoself-serviceimcaddress命令用来恢复缺省情况。

self-serviceimcaddressip-addressportport-number[vpn-instancevpn-instance-name]

undoself-serviceimcaddress

未配置iMC认证用户自助修改密码使用的iMC服务器。

ip-address:iMC服务器的IPv4地址,为点分十进制格式。

portport-number:iMC服务器的端口号,取值范围为1~65535。

vpn-instancevpn-instance-name:iMC服务器所属的VPN实例。vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示该iMC服务器属于公网。

#在SSLVPN访问实例ctx1下,配置iMC认证用户自助修改密码使用的iMC服务器的IPv4地址为192.168.10.1,端口号为443,关联VPN实例vpn1。

[Sysname-sslvpn-context-ctx1]self-serviceimcaddress192.168.10.1port443vpn-instancevpn1

server-address命令用来配置iMC短信认证使用的iMC服务器。

undoserver-address命令用来恢复缺省情况。

server-addressip-addressportport-number[vpn-instancevpn-instance-name]

undoserver-address

未配置iMC短信认证使用的iMC服务器。

iMC短信认证视图

vpn-instancevpn-instance-name:iMC服务器关联的VPN实例。vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示该iMC服务器属于公网。

#在iMC短信认证视图下配置短信认证使用的iMC服务器的IP地址为192.168.151.1,端口号为2000,关联VPN实例为vpn1。

[Sysname-sslvpn-context-ctx1]sms-authimc

[Sysname-sslvpn-context-ctx1-sms-auth-imc]server-address192.168.151.1port2000vpn-instancevpn1

serviceenable命令用来开启SSLVPN访问实例。

undoserviceenable命令用来关闭SSLVPN访问实例。

serviceenable

undoserviceenable

SSLVPN访问实例处于关闭状态。

#开启名为ctx1的SSLVPN访问实例。

[Sysname-sslvpn-context-ctx1]serviceenable

serviceenable命令用来开启SSLVPN网关。

undoserviceenable命令用来关闭SSLVPN网关。

SSLVPN网关处于关闭状态。

#开启SSLVPN网关。

[Sysname-sslvpn-gateway-gw1]serviceenable

session-connections命令用来配置每个会话的最大连接数。

undosession-connections命令用来恢复缺省情况。

session-connectionsnumber

undosession-connections

每个会话的同时最大连接数为64。

number:SSLVPN访问实例下,单个会话的最大连接数,取值范围为0、10~1000。取值为0时表示不限制单个会话的最大连接数。

SSLVPN会话收到报文时,如果收到报文的单板/设备上该会话的连接数超过单个会话的最大连接数,则回应客户端503ServiceUnavailable,并关闭该连接。

#配置SSLVPN的单个会话的最大连接数为10。

[Sysname-sslvpn-context-ctx1]session-connections10

shutdown命令用来关闭接口。

undoshutdown命令用来开启接口。

shutdown

undoshutdown

SSLVPNAC接口均处于开启状态。

执行本命令会导致使用该接口转发的业务流量中断,不能通信,请谨慎使用。

#关闭接口SSLVPNAC1000。

[Sysname-SSLVPN-AC1000]shutdown

sms-auth命令用来创建短信认证视图,并进入短信认证视图。如果指定的短信认证视图已经存在,则直接进入短信认证视图。

undosms-auth命令用来删除短信认证视图。

sms-authimc

undosms-authimc

不存在短信认证视图。

imc:表示iMC短信认证视图。

#在SSLVPN访问实例ctx1下创建并进入iMC网关认证视图。

[Sysname-sslvpn-context-ctx1-sms-auth-imc]

·sms-authtype

sms-authtype命令用来配置短信认证类型,并开启短信认证功能。

undosms-authtype命令用来恢复缺省情况。

sms-authtypeimc

undosms-authtype

短信认证功能处于关闭状态。

imc:表示iMC短信认证。

设备使用iMC认证服务器对SSLVPN用户进行短信认证,需要在iMC短信认证视图下配置短信认证使用的iMC服务器的IP地址和端口号。

#在SSLVPN访问实例ctx1下配置短信认证类型为iMC短信认证imc。

[Sysname-sslvpn-context-ctx1]sms-authtypeimc

·sms-auth

sslclient-policy命令用来配置SSLVPN访问实例引用的SSL客户端策略。

undosslclient-policy命令用来恢复缺省情况。

sslclient-policypolicy-name

undosslclient-policy

(非FIPS模式)

缺省情况下,SSL客户端策略支持的加密套件为dhe_rsa_aes_128_cbc_sha、dhe_rsa_aes_256_cbc_sha、rsa_3des_ede_cbc_sha、rsa_aes_128_cbc_sha、rsa_aes_256_cbc_sha。

(FIPS模式)

缺省情况下,SSL客户端策略支持的加密套件为rsa_aes_128_cbc_sha、rsa_aes_256_cbc_sha。

policy-name:表示SSL客户端策略名称,为1~31个字符的字符串,不区分大小写。

执行本配置后,SSLVPN网关将使用指定的SSL客户端策略与HTTPS类型的Web服务器建立连接。

SSLVPN访问实例只能引用一个SSL客户端策略。多次执行本命令,最后一次执行的命令生效,但新的配置不会立即生效。请先通过undoserviceenable命令关闭SSLVPN访问实例,再执行serviceenable命令开启SSLVPN访问实例后,新的配置才会生效。

有关SSL客户端策略的详细介绍,请参见“安全配置指导”中的“SSL”。

#配置SSLVPN访问实例ctx1引用SSL客户端策略abc。

[Sysname-sslvpn-context-ctx1]sslclient-policyabc

sslserver-policy命令用来配置SSLVPN网关引用SSL服务器端策略。

undosslserver-policy命令用来取消SSLVPN网关引用SSL服务器端策略。

sslserver-policypolicy-name

undosslserver-policy

SSLVPN网关引用自签名证书的SSL服务器端策略。

policy-name:SSLVPN网关引用的SSL服务器端策略名称,为1~31个字符的字符串,不区分大小写。

通过本命令指定SSLVPN网关引用的SSL服务器端策略后,SSLVPN网关将采用该策略下的参数与远端接入用户建立SSL连接。

SSLVPN网关只能引用一个SSL服务器端策略。多次执行本命令,最后一次执行的命令生效,但新的配置不会立即生效。只有执行undoserviceenable命令关闭SSLVPN网关,并执行serviceenable命令开启SSLVPN网关后,新的配置才会生效。

#配置SSLVPN网关gw1引用SSL服务器端策略CA_CERT。

[Sysname-sslvpn-gateway-gw1]sslserver-policyCA_CERT

sslvpncontext命令用来创建SSLVPN访问实例,并进入SSLVPN访问实例视图。如果指定的SSLVPN访问实例已经存在,则直接进入SSLVPN访问实例视图。

undosslvpncontext命令用来删除指定的SSLVPN访问实例。

sslvpncontextcontext-name

undosslvpncontextcontext-name

不存在SSLVPN访问实例。

context-name:SSLVPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。

#创建名为ctx1的SSLVPN访问实例,并进入SSLVPN访问实例视图。

[Sysname-sslvpn-context-ctx1]

sslvpngateway命令用来创建SSLVPN网关,并进入SSLVPN网关视图。如果指定的SSLVPN网关已经存在,则直接进入SSLVPN网关视图。

undosslvpngateway命令用来删除指定的SSLVPN网关。

sslvpngatewaygateway-name

undosslvpngatewaygateway-name

不存在SSLVPN网关。

gateway-name:SSLVPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。

SSLVPN网关位于远端接入用户和企业内部网络之间,负责在二者之间转发报文。SSLVPN网关与远端接入用户建立SSL连接,并对接入用户进行身份认证。远端接入用户的访问请求只有通过SSLVPN网关的安全检查和认证后,才会被SSLVPN网关转发到企业网络内部,从而实现对企业内部资源的保护。

在SSLVPN网关视图下,需要进行以下配置:

·通过ipaddress命令指定SSLVPN网关的IP地址和端口号,以便远端接入用户通过该IP地址和端口号访问SSLVPN网关。

·通过sslserver-policy命令指定SSLVPN网关引用的SSL服务器端策略,以便SSLVPN网关采用该策略下的参数与远端接入用户建立SSL连接。

·通过serviceenable命令开启SSLVPN网关。

如果SSLVPN网关被SSLVPN访问实例引用,则该SSLVPN网关不能被删除。请先通过undogateway命令取消引用,再执行本命令删除SSLVPN网关。

#创建SSLVPN网关gw1,并进入SSLVPN网关视图。

[Sysname-sslvpn-gateway-gw1]

sslvpnipaddress-pool命令用来创建IPv4地址池。

undosslvpnipaddress-pool命令用来删除指定的IPv4地址池。

sslvpnipaddress-poolpool-namestart-ip-addressend-ip-address

undosslvpnipaddress-poolpool-name

不存在IPv4地址池。

pool-name:IPv4地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。

start-ip-addressend-ip-address:表示IPv4地址池的起始地址和结束地址,结束地址必须大于起始地址。起始地址和结束地址均不能是组播、广播、环回地址。

本命令创建的IPv4地址池可以被SSLVPN访问实例和策略组引用,SSLVPN网关将从引用的地址池中选择地址、分配给IP接入方式的客户端。

#创建IPv4地址池pool1,指定地址范围为10.1.1.1~10.1.1.254。

[Sysname]sslvpnipaddress-poolpool110.1.1.110.1.1.254

·ip-tunneladdress-pool(SSLVPNcontextview)

·ip-tunneladdress-pool(SSLVPNpolicygroupview)

sslvpnlogenable命令用来开启SSLVPN全局日志生成功能。

undosslvpnlogenable命令用来关闭SSLVPN全局日志生成功能。

sslvpnlogenable

undosslvpnlogenable

SSLVPN全局日志生成功能处于关闭状态。

开启本功能后,SSLVPN网关会生成一些全局日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。

目前触发SSLVPN生成全局日志的事件有:

·不存在可以访问的访问实例。

·访问未使能的访问实例。

#开启SSLVPN全局日志生成功能。

[Sysname]sslvpnlogenable

sslvpnwebpage-customize命令用来设置SSLVPN全局页面模板。

undosslvpnwebpage-customize命令用来恢复缺省情况。

sslvpnwebpage-customizetemplate-name

undosslvpnwebpage-customize

SSLVPN页面为系统缺省页面。

template-name:页面模板的名称,为1~31的字符串,不能包括下列任何字符“/”、“\”、“|”、“:”、“*”、““”、“”、“<”和“>”。

需要通过Web网管页面上传和下载页面模板。可以通过下载预定义的模板,来编辑自定义的模板。

通过displaysslvpnwebpage-customizetemplate命令可以查看目前系统中所有的SSLVPN页面模板。

当在访问实例下配置了定制页面时,优先使用访问实例下的配置。

#设置SSLVPN页面使用的页面模板为template1。

[Sysname]sslvpnwebpage-customizetemplate1

·displaysslvpnwebpage-customizetemplate

undossoauto-buildcode命令用来恢复缺省情况。

ssoauto-buildcode{gb18030|utf-8}

undossoauto-buildcode

在同一个URL表项视图下,多次执行本命令,最后一次执行生效。

[Sysname-sslvpn-context-ctx1]url-itemservera

[Sysname-sslvpn-context-ctx1-url-item-servera]ssoauto-buildcodegb18030

·ssoauto-buildcustom-login-parameter

·ssoauto-buildlogin-parameter-field

·ssoauto-buildrequest-method

·ssomethod

undossoauto-buildcustom-login-parameter命令用来恢复缺省情况。

ssoauto-buildcustom-login-parameternameparameter-namevaluevalue[encrypt]

undossoauto-buildcustom-login-parameternameparameter-name

·ssoauto-buildcode

·ssoauto-buildencrypt-file

·ssoauto-buildlogin-parameter

undossoauto-buildencrypt-file命令用来恢复缺省情况。

ssoauto-buildencrypt-filefilename

undossoauto-buildencrypt-file

filename:加密文件名,为1~255个字符的字符串,不区分大小写。

加密文件是使用JavaScript语法编写的包含加密处理函数的文件,需由SSLVPN网关管理员提前上传至设备的文件管理系统。如果将文件上传至设备根目录时,执行本命令不需要指定路径;如果将文件上传至非根目录时,执行本命令时需要指定完整路径。SSLVPN网关管理员需要按照如下模板编写加密函数:

functionsslvpn_sso_encrypt(code)

{

//加密处理编码

}

[Sysname-sslvpn-context-ctx1-url-item-servera]ssoauto-buildencrypt-filetest.js

undossoauto-buildlogin-parameter命令用来恢复缺省情况。

ssoauto-buildlogin-parameter{cert-fingerprint|cert-serial|cert-title|custom-password|custom-username|login-name|login-password|mobile-num|user-group}nameparameter-name[encrypt]

undossoauto-buildlogin-parameter{cert-fingerprint|cert-serial|cert-title|custom-password|custom-username|login-name|login-password|mobile-num|user-group}

[Sysname-sslvpn-context-ctx1-url-item-servera]ssoauto-buildlogin-parametercert-titlenameloginencrypt

undossoauto-buildrequest-method命令用来恢复缺省情况。

ssoauto-buildrequest-method{get|post}

undossoauto-buildrequest-method

[Sysname-sslvpn-context-ctx1-url-item-servera]ssoauto-buildrequest-methodpost

undossobasiccustom-username-passwordenable命令用来恢复缺省情况。

ssobasiccustom-username-passwordenable

undossobasiccustom-username-passwordenable

[Sysname-sslvpn-context-ctx1-url-item-servera]ssobasiccustom-username-passwordenable

undossomethod命令用来恢复缺省情况。

ssomethod{auto-build|basic}

undossomethod

[Sysname-sslvpn-context-ctx1-url-item-servera]ssomethodbasic

undotimeoutidle命令用来恢复缺省情况。

timeoutidleminutes

undotimeoutidle

[Sysname-sslvpn-context-ctx1]timeoutidle50

title命令用来配置SSLVPN页面的标题信息。

undotitle命令用来恢复缺省情况。

title{chinesechinese-title|englishenglish-title}

undotitle{chinese|english}

SSLVPN页面的标题为“SSLVPN”。

chinesechinese-title:指定中文页面的标题信息。chinese-title为1~255个字符的字符串,区分大小写。

englishenglish-title:指定英文页面的标题信息。english-title为1~255个字符的字符串,区分大小写。

#配置SSLVPN英文页面的标题信息为“SSLVPNserviceforcompanyA”,中文页面的标题信息为“公司A的SSLVPN服务”。

[Sysname-sslvpn-context-ctx1]titleenglishSSLVPNserviceforcompanyA

[Sysname-sslvpn-context-ctx1]titlechinese公司A的SSLVPN服务

uri-acl命令用来创建URIACL,并进入URIACL视图。如果指定的URIACL已经存在,则直接进入URIACL视图。

undouri-acl命令用来删除指定的URIACL。

uri-acluri-acl-name

undouri-acluri-acl-name

不存在URIACL。

uri-acl-name:URIACL名称,为1~31个字符的字符串,不区分大小写。

此命令创建URI形式的ACL,用于对SSLVPN的各种接入方式进行更精细的控制。对URL进行匹配,符合要求的URL请求可以访问对应的资源。

在一个SSLVPN访问实例视图中可以配置多个URIACL。

#创建名称为uriacla的URIACL,并进入URIACL视图。

[Sysname-sslvpn-context-abc-uri-acl-uriacla]

url命令用来配置文件策略应用的URL地址。

undourl命令用来恢复缺省情况。

urlurl

undourl

不存在文件策略应用的URL地址。

url:表示文件策略应用的完整路径,为1~256个字符的字符串,不区分大小写。

只有配置的url与网关正在处理的网页文件的URL相同时,才会根据文件策略中的配置对该网页文件内容进行改写。

完整URL的语法为scheme://user:password@host:port/path,其含义如下:

·scheme:表示访问服务器以获取资源时使用的协议类型,目前支持HTTP和HTTPS。

·user:password:访问资源时需要提供的用户名和密码。

·host:资源服务器的主机名或IPv4地址。

·port:资源服务器正在监听的端口号。大多数协议类型都有默认的端口号(例如:HTTP为80、HTTPS为443等)。

·path:服务器上资源的本地路径。

每个文件策略只能创建一个URL。同一SSLVPN访问实例下不同文件策略下的URL不能相同。

#配置文件策略fp应用的URL地址。

url命令用来配置资源的URL。

undourl命令用来删除资源的URL。

URL表项中不存在资源的URL。

url:表示URL表项中资源的URL,为1~253个字符的字符串,不区分大小写。

一个URL由协议类型、主机名或地址、端口号、资源路径四部分组成,完整格式为“协议类型://主机名称或地址:端口号/资源路径”。

协议类型目前仅支持HTTP和HTTPS,如果没有指定,协议类型缺省为HTTP。

每一种协议类型都有一个缺省的端口号,例如HTTP缺省端口号为80,HTTPS缺省端口号为443。

多次执行本命令,最后一次执行的生效。

#在URL表项serverA中配置资源的URL为www.abc.com。

[Sysname-sslvpn-context-ctx1-url-item-serverA]urlwww.abc.com

url-item命令用来创建URL表项,并进入URL表项视图。如果指定的URL表项已经存在,则直接进入URL表项视图。

undourl-item命令用来删除指定的URL表项。

url-itemurl-item-name

undourl-itemurl-item-name

SSLVPN访问实例下不存在URL表项。

url-item-name:表示URL表项的名称,为1~31个字符的字符串,不区分大小写。

可以在同一个SSLVPN访问实例下创建多个URL表项,被URL列表引用的URL表项无法被删除。

URL表项名称即URL对应的链接名。

#创建名称为serverA的URL表项,并进入URL表项视图。

[Sysname-sslvpn-context-ctx1-url-item-serverA]

url-list命令用来创建URL列表并进入URL列表视图。如果指定的URL列表已经存在,则直接进入URL列表视图。

undourl-list命令用来删除URL列表。

url-listname

undourl-listname

不存在URL列表。

name:URL列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。

#创建名为url1的URL列表,并进入URL列表视图。

[Sysname-sslvpn-context-ctx1]url-listurl1

[Sysname-sslvpn-context-ctx1-url-list-url1]

url-mapping命令用来配置URL资源的映射方式。

undourl-mapping命令用来恢复缺省情况。

url-mapping{domain-mappingdomain-name|port-mappinggatewaygateway-name[virtual-hostvirtual-host-name]}[rewrite-enable]

undourl-mapping

URL资源的映射方式为常规改写。

domain-mappingdomain-name:域名映射方式,domain-name表示映射的域名,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。配置的映射域名不能和SSLVPN网关的域名相同。

port-mappinggatewaygateway-name:端口映射方式,gateway-name表示引用的SSLVPN网关名,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。引用的SSLVPN网关名必须已存在。

virtual-hostvirtual-host-name:虚拟主机名称,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。若不指定此参数,则表示对SSLVPN网关的引用方式为独占引用。

rewrite-enable:开启URL改写功能。开启此功能后,SSLVPN网关将对内网服务器返回的绝对URL(全路径URL,一般为内网服务器页面中链接到其他服务器的URL,如果不进行改写用户将无法访问此URL)进行改写,提高用户的接入体验。通常建议开启,若不指定本参数,则表示不会对绝对URL进行改写。

缺省情况下SSLVPN网关会对URL进行常规改写,目前仅支持对HTML、XML、CSS和JavaScript类型的文件进行改写。常规改写可能会造成URL映射遗漏和映射错误等问题,从而导致SSLVPN客户端不能访问内网资源。因此可以通过配置域名映射或端口映射的方式解决此问题。

在配置域名映射时,需保证SSLVPN客户端可以解析到配置的映射域名(通过DNS解析或者在客户端上添加相应Hosts条目等方式皆可),映射域名对应的IP地址为当前SSLVPN网关的IP地址。

在配置端口映射时,引用的SSLVPN网关可以为任意已存在的SSLVPN网关。但若以独占方式引用SSLVPN网关,则该网关不允许被其他访问实例或URL表项引用。

#配置表项名为serverA,URL为www.server.com,访问方式为域名映射,映射的域名为www.domain.com,同时开启URL改写功能。

[Sysname-sslvpn-context-ctx1-url-item-serverA]urlwww.server.com

[Sysname-sslvpn-context-ctx1-url-item-serverA]url-mappingdomain-mappingwww.domain.comrewrite-enable

#配置表项名为serverB,URL为www.server.com,访问方式为端口映射,以虚拟主机名方式引用网关gw1,同时开启URL改写功能。

[Sysname-sslvpn-context-ctx1]url-itemserverB

[Sysname-sslvpn-context-ctx1-url-item-serverB]urlwww.server.com

[Sysname-sslvpn-context-ctx1-url-item-serverB]url-mappingport-mappinggatewaygw1virtual-hosthost1rewrite-enable

·url

url-maskingenable命令用来开启URL伪装功能。

undourl-maskingenable命令用来关闭URL伪装功能。

url-maskingenable

undourl-maskingenable

URL伪装功能处于关闭状态。

URL地址伪装是指将SSLVPN访问实例下所配置的Web接入业务中的Web资源URL转换成一定规则的编码字符串对SSLVPN用户呈现,从而达到隐藏真实的Web资源URL的目的。

若在SSLVPN访问实例视图下开启URL伪装功能,则该实例下所有Web资源都会开启URL伪装功能。此时若需要关闭URL伪装功能,只能在该实例视图下执行undourl-maskingenable命令关闭该SSLVPN访问实例下所有URL的伪装功能,而不能在URL表项视图下单独关闭某个URL的伪装功能。

只有当SSLVPN访问实例下的URL伪装功能处于关闭状态时,才能在URL表项视图下开启或关闭单个URL的伪装功能。

#在URL表项视图下,开启指定URL表项的Web资源URL伪装功能。

[Sysname-sslvpn-context-ctx]url-itemurlitem

[Sysname-sslvpn-context-ctx-url-item-urlitem]url-maskingenable

#在SSLVPN访问实例视图下,开启该实例下所有Web资源的URL伪装功能。

[Sysname-sslvpn-context-ctx]url-maskingenable

verify-codeenable命令用来开启验证码验证功能。

undoverify-codeenable命令用来关闭验证码验证功能。

verify-codeenable

undoverify-codeenable

验证码验证功能处于关闭状态。

#开启验证码验证功能。

[Sysname-sslvpn-context-ctx]verify-codeenable

vpn-instance命令用来配置SSLVPN访问实例关联的VPN实例。

undovpn-instance命令用来恢复缺省情况。

vpn-instancevpn-instance-name

undovpn-instance

SSLVPN访问实例关联公网。

vpn-instance-name:SSLVPN访问实例关联的VPN实例名称,为1~31个字符的字符串,区分大小写。

执行本命令后,SSLVPN访问实例包含的资源将属于关联的VPN实例。

每个SSLVPN访问实例只能关联一个VPN实例。

SSLVPN访问实例可以关联不存在的VPN实例,但该SSLVPN访问实例会处于未生效的状态。待VPN实例创建后,SSLVPN访问实例进入生效状态。

如果配置修改关联的VPN实例,则该访问实例下的所有用户绑定IP地址的配置均会被删除。

#配置名为contex1的SSLVPN访问实例关联VPN实例vpn1。

System-view

[Sysname]sslvpncontextcontext1

[Sysname-sslvpn-context-context1]vpn-instancevpn1

vpn-instance命令用来配置SSLVPN网关所属的VPN实例。

SSLVPN网关属于公网。

vpn-instance-name:SSLVPN网关所属的VPN实例名称,为1~31个字符的字符串,区分大小写。

每个SSLVPN网关只能属于一个VPN实例。SSLVPN所属的VPN实例又称为frontVPNinstance。

本命令指定的VPN实例可以不存在,但此时SSLVPN网关处于不生效的状态。待VPN实例创建后,SSLVPN网关进入生效状态。

#配置SSLVPN网关gateway1属于VPN实例vpn1。

[Sysname-sslvpn-gateway-gateway1]vpn-instancevpn1

web-accessip-clientauto-activate

undoweb-accessip-clientauto-activate

为使IP客户端自启动后成功连接SSLVPN网关,需要保证设备上已创建IP接入服务资源。

[Sysname-sslvpn-context-ctx1]web-accessip-clientauto-activate

webpage-customize命令用来设置SSLVPN页面模板。

undowebpage-customize命令用来恢复缺省情况。

webpage-customizetemplate-name

undowebpage-customize

使用SSLVPN全局页面模板。

SSLVPN访问实例视图下设置的SSLVPN页面模板优先级高于系统视图下设置的全局SSLVPN页面模板。

若在SSLVPN访问实例视图下设置了自定义页面模板,则SSLVPN访问实例视图下定制的页面信息不再生效。

#设置SSLVPN访问实例ctx使用的页面模板为template1。

[Sysname-sslvpn-context-ctx]webpage-customizetemplate1

不同款型规格的资料略有差异,详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

THE END
1.debain10系统codesudo ln -s /etc/nginx/sites-available/code-server.conf /etc/nginx/sites-enabled/code-server.conf # 重启nginx服务器 sudo systemctl restart nginx 现在已经可以用普通端口访问了。接下来配置证书。 第三步,mkcert创建证书 mkcert是一个简单的零配置工具,由 Filippo Valsorda 使用 Go 编写,用于制作本地浏览https://www.jianshu.com/p/47ea4785ec37
2.Ubuntu安装codeserver在线编程环境cert:是否使用 SSL 证书,这里设置为false(后续可配置 SSL) 步骤六:设置 code-server 为 systemd 服务 创建systemd 服务文件,以便管理 code-server 的启动和停止。 sudonano /lib/systemd/system/code-server.service ? 解释: sudo:以超级用户权限执行 https://www.8kiz.cn/archives/23240.html
3.code中文翻译:当使用并非系统自动生成的证书时,对应的证书密钥所在的路径信息。 --disable-telemetry: 说明:禁用遥测功能。 中文翻译:关闭遥测相关功能,使其不再收集和发送相关数据信息。 --disable-update-check: 说明:禁用更新检查。若不添加此标志,code-server会每隔 6 小时对照最新的GitHub版本进行检查,并每周通知一次https://emchaye.cn/en/docs/tutorial-debian/20241217-02/
4.codeserver完整搭建指南第二种是在nginx端配置,如果你有宝塔面板的话只需要在反代code-server的域名处点击SSL证书设置,然后在两个框内分别填入私钥和证书,然后应用之后就可以启用HTTPS了。https://blog.mashiro.pro/1022.html
5.使vscode的code其中边缘证书并不能下载,而且(貌似)只对采用了代理模式的DNS解析生效,并且代理状态下code-server的延迟表现十分惊人(亲测),直接pass。 客户端证书中,官方已经写明:使用客户端证书保护和验证您的 API 和 Web 应用程序。,并不能部署到服务器上,继续pass。 https://www.feilongproject.com/2022/02/26/code-server-with-https/
6.C#IIS访问一个带证书的网站,提示SSLserverrequiresclient我已经把证书放到了程序的根目录了 Server.MapPath("test.cer")这一句我也添加过,不好使,request.https://bbs.csdn.net/topics/390828203
7.centos搭建codeserver配置HTTPS登录页自定义实现步骤其它综合在code-server配置文件文件中增加证书配置 vim /root/.config/code-server/config.yaml cert及cert-key位置根据自己证书位置进行配置 1 2 3 4 5 bind-addr: 0.0.0.0:8426 auth: password password: <你的密码> cert: /root/.local/share/code-server/cert/www.codecoord.com_public.crt cert-key: /root/https://www.jb51.net/article/283544.htm
8.vscode启动微服务vscode搭建服务器在新会话中执行code-server启动指令即可。 关闭ssh会话以后程序继续在后台运行。 code-server --cert [你的证书存放路径] --cert-key [你的key路径] --bind-addr 0.0.0.0:[你的端口号] 复制代码 1. 2. 需要再查看code-server运行状态的话,只需要访问code_server会话就行了。 https://blog.51cto.com/u_16213620/10823881
9.code打开浏览器,输入:http://xxx.xxx.xxx.xxx:8080即可访问 code-server。 配置 如果服务器没有域名或者没有安装证书,那么 http 协议的 code-server 是受限制的,如不能加载显示图片、视频(H264)等资源。一种简便的方法是 使用chrome 浏览器 打开chrome://flags/#unsafely-treat-insecure-origin-as-secure https://xujinzh.github.io/2024/04/10/install-code-server/
10.serverrequiresclientcertificateErrorCode:901第一步 打开“中国建设银行E路护航网银安全组件”,在弹出窗口点击“网银盾管理-基本信息”,查看是否显示证书信息。若未显示,页面提示 “未插入网银盾”,请点击这里,按照无法识别网银盾的处理方法进行操作。 若显示,请查看证书有效期(如已到期,需先更新证书),然后https://www.wusteel.cn/1409/
11.FreeSwitchTLS认证客户端证书Common Name (e.g. server FQDN or YOUR name) []:Freeswitch ROOT CA Email Address []:空 2、生成Server证书: 1)生成Server证书请求文件和私钥:openssl req -new -out server.req -newkey rsa:2048 -keyout server.key -nodes -sha1。 Country Name (2 letter code) [AU]:CN https://m.360docs.net/doc/8061faecf08583d049649b6648d7c1c709a10b02.html
12.知识库UCA Extended Validation Root - SHECA RSA Extended Validation Code Signing CA 47:74:36:AB:78:60:1E:7B:FF:CE:70:74:F0:8D:20:A5:C9:DA:84:FE 2033年4月27日 PEM UCA Extended Validation Root - SHECA EV Server CA G3 39:CC:AB:FD:AB:D0:54:3D:60:63:0A:21:25:8D:A4:09:BB:DC:39https://www.sheca.com/repository/
13.使用coderserver打造在线IDE腾讯云开发者社区具体部署可以参考官方文档:https://coder.com/docs/code-server/latest/install。 这里我们选择相对简单快捷的方式,Docker部署。 前置条件 在部署coder-server前,你需要准备一台Linux虚机(建议CentOS7),你可以去云厂商购买(用于生产),也可以使用VMware在个人电脑创建虚机(用于学习)。 https://cloud.tencent.com/developer/article/2025560
14.Exchange2019证书(CLIUSR)续订1.Exchange server 2019可以通过使用 Exchange Management Shell续订CLIUSR证书,建议使用以下格式的语法: Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate 2.该证书是由于环境中部署DAG而产生的,由Windows clustering管理的。 3.关于环境中出现两个同名的 cliusr 证书,建议您请检查这两个证书的https://learn.microsoft.com/en-us/answers/questions/1622938/exchange2019-cliusr
15.Compare,Download&DevelopOpenSource&BusinessSoftware8,953Code Commits Compare & Review Business Software SourceForge is a complete business software and services comparison platform where buyers find, compare, & review business software and IT services. Selling software? You're in the right place. We'll help you reach millions of intent-driven sohttps://sourceforge.net/
16.netcore证书形式调用接口返回302PayRequest(AliPayTypeEnum payType, AopObject payModel) in E:\V2_HeoProject\code\server\Heo_slnhttps://open.alipay.com/portal/forum/post/24901030
17.certd:开源SSL证书管理工具;全自动证书申请更新续期;通配符encouraged by the resulting cooperation. However, in the case of software used on network servers, this result may fail to come about. The GNU General Public License permits making a modified version and letting the public access it on a server without ever releasing its source code to the https://gitee.com/certd/certd/