国家 / 地区

06-VPN命令参考

04-SSL VPN命令

本章节下载  (457.28 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Command_Manual/H3C_SecPath_CR(V7)-6W304/06/201909/1231955_30005_0.htm

04-SSL VPN命令

目  录

1 SSL VPN

1.1 SSL VPN配置命令

1.1.1 aaa domain

1.1.2 authentication use

1.1.3 bandwidth

1.1.4 certificate-authentication enable

1.1.5 content-type

1.1.6 default

1.1.7 default-policy-group

1.1.8 description (shortcut view)

1.1.9 description (SSL VPN AC interface view)

1.1.10 display interface sslvpn-ac

1.1.11 display sslvpn context

1.1.12 display sslvpn gateway

1.1.13 display sslvpn ip-tunnel statistics

1.1.14 display sslvpn policy-group

1.1.15 display sslvpn port-forward connection

1.1.16 display sslvpn session

1.1.17 display sslvpn webpage-customize template

1.1.18 emo-server

1.1.19 exclude

1.1.20 execution (port forwarding item view)

1.1.21 execution (shortcut view)

1.1.22 file-policy

1.1.23 filter ip-tunnel acl

1.1.24 filter ip-tunnel uri-acl

1.1.25 filter tcp-access acl

1.1.26 filter tcp-access uri-acl

1.1.27 filter web-access acl

1.1.28 filter web-access uri-acl

1.1.29 force-logout

1.1.30 force-logout max-onlines enable

1.1.31 gateway

1.1.32 heading

1.1.33 http-redirect

1.1.34 idle-cut traffic-threshold

1.1.35 include

1.1.36 interface sslvpn-ac

1.1.37 ip address

1.1.38 ip-route-list

1.1.39 ip-tunnel access-route

1.1.40 ip-tunnel address-pool (SSL VPN context view)

1.1.41 ip-tunnel address-pool (SSL VPN policy group view)

1.1.42 ip-tunnel bind address

1.1.43 ip-tunnel dns-server

1.1.44 ip-tunnel interface

1.1.45 ip-tunnel keepalive

1.1.46 ip-tunnel log connection-close

1.1.47 ip-tunnel web-resource auto-push

1.1.48 ip-tunnel wins-server

1.1.49 ipv6 address

1.1.50 local-port

1.1.51 log resource-access enable

1.1.52 log user-login enable

1.1.53 login-message

1.1.54 logo

1.1.55 max-onlines

1.1.56 max-users

1.1.57 message-server

1.1.58 mtu

1.1.59 new-content

1.1.60 oa address

1.1.61 oa enable

1.1.62 old-content

1.1.63 password-authentication enable

1.1.64 policy-group

1.1.65 port-forward

1.1.66 port-forward-item

1.1.67 reset counters interface sslvpn-ac

1.1.68 reset sslvpn ip-tunnel statistics

1.1.69 resources port-forward

1.1.70 resources port-forward-item

1.1.71 resources shortcut

1.1.72 resources shortcut-list

1.1.73 resources uri-acl

1.1.74 resources url-item

1.1.75 resources url-list

1.1.76 rewrite-rule

1.1.77 rule

1.1.78 service enable (SSL VPN context view)

1.1.79 service enable (SSL VPN gateway view)

1.1.80 session-connections

1.1.81 shortcut

1.1.82 shortcut-list

1.1.83 shutdown

1.1.84 sms-imc address

1.1.85 sms-imc enable

1.1.86 ssl client-policy

1.1.87 ssl server-policy

1.1.88 sslvpn context

1.1.89 sslvpn gateway

1.1.90 sslvpn ip address-pool

1.1.91 sslvpn log enable

1.1.92 sslvpn webpage-customize

1.1.93 timeout idle

1.1.94 title

1.1.95 uri-acl

1.1.96 url (file policy view)

1.1.97 url (url item view)

1.1.98 url-item

1.1.99 url-list

1.1.100 url-mapping

1.1.101 user

1.1.102 verify-code

1.1.103 vpn-instance (SSL VPN context view)

1.1.104 vpn-instance (SSL VPN gateway view)

1.1.105 web-access ip-client auto-activate

1.1.106 webpage-customize

 


1 SSL VPN

1.1  SSL VPN配置命令

1.1.1  aaa domain

aaa domain命令用来配置SSL VPN访问实例使用指定的ISP域进行AAA认证。

undo aaa domain命令用来恢复缺省情况。

【命令】

aaa domain domain-name

undo aaa domain

【缺省情况】

SSL VPN访问实例使用缺省的ISP域进行认证。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

domain-name:ISP域名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。

【使用指导】

SSL VPN用户的用户名中不能携带所属ISP域信息。配置本命令后,SSL VPN用户将采用指定ISP域内的认证、授权、计费方案对SSL VPN用户进行认证、授权和计费。

【举例】

# 配置SSL VPN访问实例使用ISP域myserver进行AAA认证。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] aaa domain myserver

1.1.2  authentication use

authentication use命令用来配置SSL VPN用户登录访问实例的认证模式。

undo authentication use命令用来恢复缺省情况。

【命令】

authentication use { all | any-one }

undo authentication use

【缺省情况】

SSL VPN用户登录访问实例的认证模式为all

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

all:表示SSL VPN用户登录访问实例的认证模式为已配置的所有认证方式。

any-one:表示SSL VPN用户登录访问实例的认证模式为已配置的所有认证方式中的任意一种。

【使用指导】

可以通过配置authentication use命令来控制对SSL VPN用户的认证模式。用户名/密码认证功能和证书认证功能都开启的情况下,若认证模式选用any-one,则用户只需要通过其中一种认证即可登录SSL VPN访问实例;若认证模式选用all,则用户必须通过这两种认证(即用户名/密码和证书的组合认证)方可登录SSL VPN访问实例。

【举例】

# 配置SSL VPN用户登录访问实例的认证模式为已配置的所有认证方式中的任意一种。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] authentication use any-one

【相关命令】

·            certificate-authentication enable

·            display sslvpn context

·            password-authentication enable

1.1.3  bandwidth

bandwidth命令用来配置接口的期望带宽。

undo bandwidth命令用来恢复缺省情况。

【命令】

bandwidth bandwidth-value

undo bandwidth

【缺省情况】

接口的期望带宽为64kbps。

【视图】

SSL VPN AC接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

bandwidth-value:接口的期望带宽,取值范围为1~400000000,单位为kbps。

【使用指导】

接口的期望带宽会对下列内容有影响:

·            CBQ队列带宽。具体介绍请参见“ACL和QoS配置指导”中的“QoS”。

·            链路开销值。具体介绍请参见“三层技术-IP路由配置指导”中的“OSPF”、“OSPFv3”和“IS-IS”。

【举例】

# 配置接口SSL VPN AC 1000的期望带宽为10000kbps。

<Sysname> system-view

[Sysname] interface sslvpn-ac 1000

[Sysname-SSLVPN-AC1000] bandwidth 10000

1.1.4  certificate-authentication enable

certificate-authentication enable命令用来开启证书认证功能。

undo certificate-authentication enable命令用来关闭证书认证功能。

【命令】

certificate-authentication enable

undo certificate-authentication enable

【缺省情况】

证书认证功能处于关闭状态。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启证书认证功能后,需要同时在SSL服务器端策略视图下执行client-verify命令。SSL VPN网关会对SSL客户端(SSL VPN用户)进行基于数字证书的身份验证,并检查SSL VPN用户的用户名是否与SSL VPN用户的数字证书中的用户名信息一致。若不一致,则认证不通过,不允许SSL VPN用户登录。

【举例】

# 开启SSL VPN访问实例的证书认证功能。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] certificate-authentication enable

【相关命令】

·            client-verify enable(安全命令参考/SSL)

·            client-verify optional(安全命令参考/SSL)

1.1.5  content-type

content-type命令用来配置改写的文件类型。

undo content-type命令用来恢复缺省情况。

【命令】

content-type { css | html | javascript | other }

undo content-type

【缺省情况】

未配置文件改写类型,设备根据解析HTTP响应报文获得的文件类型对网页文件进行改写。

【视图】

文件策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

css:表示按照css文件类型进行改写。

html:表示按照html文件类型进行改写。

javascript:表示按照JavaScript文件类型进行改写。

other:表示文件类型为css、html、JavaScript之外的其他文件类型,不对网页文件进行改写。

【使用指导】

在对网页文件改写的过程中,设备会按照配置的文件类型对网页文件进行改写。如果配置的改写类型与报文中的文件类型不一致,则文件改写将会不准确。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置按照html文件类型进行改写。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] file-policy fp

[Sysname-sslvpn-context-ctx-file-policy-fp] content-type html

1.1.6  default

default命令用来恢复接口的缺省配置。

【命令】

default

【视图】

SSL VPN AC接口视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行该命令前,完全了解其对网络产生的影响。

可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。

【举例】

# 将接口SSL VPN AC 1000恢复为缺省配置。

<Sysname> system-view

[Sysname] interface sslvpn-ac 1000

[Sysname-SSLVPN-AC1000] default

This command will restore the default settings. Continue? [Y/N]:y

1.1.7  default-policy-group

default-policy-group命令用来指定缺省策略组。

undo default-policy-group命令用来恢复缺省情况。

【命令】

default-policy-group group-name

undo default-policy-group

【缺省情况】

未指定缺省策略组。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

group-name:策略组名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。指定的策略组必须在设备上已经存在。

【使用指导】

一个SSL VPN访问实例下可以配置多个策略组。远端接入用户访问SSL VPN访问实例时,AAA服务器将授权给该用户的策略组信息下发给SSL VPN网关。该用户可以访问的资源由授权的策略组决定。如果AAA服务器没有为该用户进行授权,则用户可以访问的资源由缺省策略组决定。

【举例】

# 指定名为pg1的策略组为缺省策略组。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] policy-group pg1

[Sysname-sslvpn-context-ctx1-policy-group-pg1] quit

[Sysname-sslvpn-context-ctx1] default-policy-group pg1

【相关命令】

·            display sslvpn context

·            policy-group

1.1.8  description (shortcut view)

description命令用来配置快捷方式的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

未配置快捷方式的描述信息。

【视图】

快捷方式视图

【缺省用户角色】

network-admin

context-admin

【参数】

text:快捷方式的描述信息,为1~63个字符的字符串,区分大小写。

【使用指导】

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置快捷方式shortcut1的描述信息。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] shortcut shortcut1

[Sysname-sslvpn-context-ctx1-shortcut-shortcut1] description shortcut1

1.1.9  description (SSL VPN AC interface view)

description命令用来配置接口的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

接口的描述信息为“接口名 Interface”,例如:SSLVPN-AC1000 Interface。

【视图】

SSL VPN AC接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

text:接口的描述信息,为1~255个字符的字符串,区分大小写。

【使用指导】

当设备上存在多个接口时,可以根据接口的连接信息或用途来配置接口的描述信息,以便区别和管理各接口。

本命令仅用于标识某接口,并无特别的功能。使用display interface等命令可以看到设置的描述信息。

【举例】

# 配置接口SSL VPN AC 1000的描述信息为“SSL VPN A”。

<Sysname> system-view

[Sysname] interface sslvpn-ac 1000

[Sysname-SSLVPN-AC1000] description SSL VPN A

1.1.10  display interface sslvpn-ac

display interface sslvpn-ac命令用来显示SSL VPN AC接口的相关信息。

【命令】

display interface sslvpn-ac [ interface-number ] [ brief [ description | down ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

sslvpn-ac interface-number:显示指定SSL VPN AC接口的相关信息。interface-number表示SSL VPN AC接口的编号,取值范围为0~4095。如果不指定interface-number,则显示所有SSL VPN AC接口的信息。

brief:显示接口的概要信息。如果不指定该参数,则显示接口的详细信息。

description:用来显示用户配置的接口的全部描述信息。如果某接口的描述信息超过27个字符,不指定该参数时,只显示描述信息中的前27个字符,超出部分不显示;指定该参数时,可以显示全部描述信息。

down:显示当前物理状态为down的接口的信息以及down的原因。如果不指定该参数,则不会根据接口物理状态来过滤显示信息。

【举例】

# 显示接口SSL VPN AC 1000的相关信息。

<Sysname> display interface sslvpn-ac 1000

SSLVPN-AC1000

Current state: UP

Line protocol state: DOWN

Description: SSLVPN-AC1000 Interface

Bandwidth: 64kbps

Maximum transmission unit: 1500

Internet protocol processing: Disabled

Link layer protocol is SSLVPN

Last clearing of counters: Never

Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec

Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec

Input: 0 packets, 0 bytes, 0 drops

Output: 0 packets, 0 bytes, 0 drops

表1-1 display interface sslvpn-ac命令显示信息描述表

字段

描述

SSLVPN-AC1000

接口SSL VPN AC 1000的相关信息

Current state

接口的物理状态和管理状态,取值包括:

·         Administratively DOWN:表示该接口已经通过shutdown命令被关闭,即管理状态为关闭

·         DOWN:该接口的管理状态为开启,但物理状态为关闭

·         UP:该接口的管理状态和物理状态均为开启

Line protocol state

接口的链路层协议状态,取值包括:

·         UP:表示该接口的链路层协议状态为开启

·         UP (spoofing):表示该接口的链路层协议状态为开启,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立。通常NULL、LoopBack等接口会具有该属性

·         DOWN:表示该接口的链路层协议状态为关闭

Description

接口的描述信息

Bandwidth

接口的期望带宽,单位为kbps

Maximum transmission unit

接口的最大传输单元

Internet protocol processing

接口的IP地址。如果没有为接口配置IP地址,则该字段显示为Internet protocol processing: Disabled,表示不能处理IP报文

Primary表示该IP地址为接口的主IP地址

Link layer protocol

链路层协议类型

Last clearing of counters

最近一次使用reset counters interface命令清除接口下的统计信息的时间(如果从设备启动一直没有执行reset counters interface命令清除过该接口下的统计信息,则显示Never)

Last 300 seconds input rate

最近300秒钟的平均输入速率:bytes/sec表示平均每秒输入的字节数,bits/sec表示平均每秒输入的比特数,packets/sec表示平均每秒输入的包数

Last 300 seconds output rate

最近300秒钟的平均输出速率:bytes/sec表示平均每秒输出的字节数,bits/sec表示平均每秒输出的比特数,packets/sec表示平均每秒输出的包数

Input: 0 packets, 0 bytes, 0 drops

总计输入的报文数,总计输入的字节,总计丢弃的输入报文数

Output: 0 packets, 0 bytes, 0 drops

总计输出的报文数,总计输出的字节,总计丢弃的输出报文数

 

# 显示所有SSL VPN AC类型接口的概要信息。

<Sysname> display interface sslvpn-ac brief

Brief information of interfaces in route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Primary IP         Description

SSLVPN-AC1000        UP   DOWN     --

# 显示接口SSL VPN AC 1000的概要信息,包括用户配置的全部描述信息。

<Sysname> display interface sslvpn-ac 1000 brief description

Brief information of interfaces in route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Primary IP         Description

SSLVPN-AC1000        UP    UP      1.1.1.1            SSLVPN-AC1000 Interface

# 显示当前状态为down的接口的信息以及DOWN的原因。

<Sysname> display interface sslvpn-ac brief down

Brief information of interfaces in route mode:

Link: ADM - administratively down; Stby - standby

Interface            Link Cause

SSLVPN-AC1000        ADM

SSLVPN-AC1001        ADM

表1-2 display interface sslvpn-ac brief命令显示信息描述表

字段

描述

Brief information of interfaces in route mode:

三层模式下(route)的接口的概要信息,即三层接口的概要信息

Link: ADM - administratively down; Stby - standby

·         如果某接口的Link属性值为“ADM”,则表示该接口被管理员通过shutdown命令关闭,需要在该接口下执行undo shutdown命令才能恢复接口本身的物理状态

·         如果某接口的Link属性值为“Stby”,则表示该接口是一个处于Standby状态的备份接口,使用display interface-backup state命令可以查看该备份接口对应的主接口

Protocol: (s) - spoofing

如果某接口的Protocol属性值中带有“(s)”字符串,则表示该接口的网络层协议状态显示是UP的,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立

Interface

接口名称缩写

Link

接口物理连接状态,取值包括:

·         UP:表示本链路物理上是连通的

·         DOWN:表示本链路物理上是不通的

·         ADM:表示本链路被管理员通过shutdown命令关闭,需要执行undo shutdown命令才能恢复接口真实的物理状态

·         Stby:表示该接口是一个处于Standby状态的备份接口

Protocol

接口的链路层协议状态,取值包括:

·         UP:表示该接口的链路层协议状态为开启

·         UP (s):表示该接口的链路层协议状态为开启,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立。通常NULL、LoopBack等接口会具有该属性

·         DOWN:表示该接口的链路层协议状态为关闭

Primary IP

接口主IP地址

Description

接口的描述信息

Cause

接口物理连接状态为down的原因,取值为:

·         Administratively:表示本链路被手工关闭了(配置了shutdown命令),需要执行undo shutdown命令才能恢复真实的物理状态

·         Not connected:表示物理层不通

 

【相关命令】

·            reset counters interface

1.1.11  display sslvpn context

display sslvpn context命令用来显示SSL VPN访问实例的信息。

【命令】

display sslvpn context [ brief | name context-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

brief:显示所有SSL VPN访问实例的简要信息。如果不指定本参数,则显示SSL VPN访问实例的详细信息。

name context-name:显示指定SSL VPN访问实例的详细信息。context-name表示SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例的信息。

【举例】

# 显示所有SSL VPN访问实例的详细信息。

<Sysname> display sslvpn context

Context name: ctx1

  Operation state: Up

  AAA domain: domain1

  Certificate authentication: Enabled

  Password authentication:Enabled

  Authentication use: All

  Dynamic password: Enabled

  Code verification: Disabled

  Default policy group: Not configured

  Associated SSL VPN gateway: gw1

    Domain name: 1

  Associated SSL VPN gateway: gw2

    Virtual host: abc.com

  Associated SSL VPN gateway: gw3

  SSL client policy configured: ssl1

  SSL client policy in use: ssl

  Maximum users allowed: 200

  VPN instance:vpn1

  Idle timeout: 30 min

  Idle-cut traffic threshold: 100 Kilobytes

 

Context name: ctx2

  Operation state: Down

  Down reason: Administratively down

  AAA domain not specified

  Certificate authentication: Enabled

  Password authentication:Disabled

  Authentication use: Any-one

  Dynamic password: Disabled

  Code verification: Disabled

  Default group policy: gp

  Associated SSL VPN gateway: -

  SSL client policy configured: ssl1

  SSL client policy in use: ssl

  Maximum users allowed: 200

  VPN instance not configured

  Idle timeout: 50 min

  Idle-cut traffic threshold: 100 Kilobytes

  Address pool: Conflicted with an IP address on the device

表1-3 display sslvpn context命令显示信息描述表

字段

描述

Context name

SSL VPN访问实例的名称

Operation state

SSL VPN访问实例的操作状态,取值包括:

·         Up:SSL VPN访问实例处于运行状态

·         Down:SSL VPN访问实例未处于运行状态

Down reason

SSL VPN访问实例处于down状态的原因,取值包括:

·         Administratively down:管理down,即未通过service enable命令开启SSL VPN访问实例

·         No gateway associated:SSL VPN访问实例未引用SSL VPN网关

AAA domain

SSL VPN访问实例使用的ISP域

Certificate authentication

SSL VPN访问实例是否开启证书认证功能,取值包括:

·         Enabled:证书认证功能开启

·         Disabled:证书认证功能未开启

Password authentication

SSL VPN访问实例是否开启用户名/密码认证功能,取值包括:

·         Enabled:用户名/密码认证功能开启

·         Disabled:用户名/密码认证功能未开启

Authentication use

SSL VPN用户登录访问实例的认证模式,取值包括:

·         All:通过所有的认证方式

·         Any-one:通过任意一种认证方式

Code verification

SSL VPN访问实例是否开启验证码验证功能

Default policy group

SSL VPN访问实例使用的缺省策略组

Associated SSL VPN gateway

SSL VPN访问实例引用的SSL VPN网关

Domain name

SSL VPN访问实例的域名

Virtual host

SSL VPN访问实例的虚拟主机名称

SSL client policy configured

配置的SSL客户端策略名称。配置的SSL客户端策略在重启SSL VPN访问实例后才能生效

SSL client policy in use

生效的SSL客户端策略名称

Maximum users allowed

SSL VPN访问实例的最大用户会话数

VPN instance

SSL VPN访问实例关联的VPN实例

Idle timeout

SSL VPN会话可以保持空闲状态的最长时间,单位为分钟

Idle-cut traffic threshold

SSL VPN会话保持空闲状态的流量阈值

Address pool: Conflicted with an IP address on the device

检测到SSL VPN访问实例IP地址冲突

 

# 显示所有SSL VPN访问实例的简要信息。

<Sysname> display sslvpn context brief

Context name   Admin   Operation   VPN instance   Gateway   Domain/VHost

ctx1           Up      Up          -              gw1       -/1

                                                  gw2       abc.com/-

                                                  gw3       -/-

ctx2           Down   Down         -              -         -/-

表1-4 display sslvpn context brief命令显示信息描述表

字段

描述

Context name

SSL VPN访问实例的名称

Admin

SSL VPN访问实例的管理状态,取值包括:

·         up:已通过service enable命令开启SSL VPN访问实例

·         down:未通过service enable命令开启SSL VPN 访问实例

Operation

SSL VPN访问实例的操作状态,取值包括:

·         up:SSL VPN访问实例处于运行状态

·         down:SSL VPN访问实例未处于运行状态

VPN instance

SSL VPN访问实例关联的VPN实例

Gateway

SSL VPN访问实例引用的SSL VPN网关

Domain/VHost

SSL VPN访问实例的域名或虚拟主机名称

 

1.1.12  display sslvpn gateway

display sslvpn gateway命令用来显示SSL VPN网关的信息。

【命令】

display sslvpn gateway [ brief | name gateway-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

brief:显示所有SSL VPN网关的简要信息。如果不指定本参数,则显示SSL VPN网关的详细信息。

name gateway-name:显示指定SSL VPN网关的详细信息。gateway-name表示SSL VPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN网关的信息。

【举例】

# 显示所有SSL VPN网关的详细信息。

<Sysname> display sslvpn gateway

Gateway name: gw1

  Operation state: Up

  IP: 192.168.10.75  Port: 443

  HTTP redirect port: 80

  SSL server policy configured: ssl1

  SSL server policy in use: ssl

  Front VPN instance: vpn1

 

Gateway name: gw2

  Operation state: Down

  Down reason: Administratively down

  IP: 0.0.0.0  Port: 443

  SSL server policy configured: ssl1

  SSL server policy in use: ssl

  Front VPN instance: Not configured

 

Gateway name: gw3

  Operation state: Up

  IPv6: 3000::2  Port: 443

  SSL server policy configured: ssl1

  SSL server policy in use: ssl

  Front VPN instance: Not configured

表1-5 display sslvpn gateway命令显示信息描述表

字段

描述

Gateway name

SSL VPN网关的名称

Operation state

SSL VPN网关的操作状态,取值包括:

·         Up:SSL VPN网关处于运行状态

·         Down:SSL VPN网关未处于运行状态

Down reason

SSL VPN网关处于down状态的原因,取值包括:

·         Administratively down:管理down,即没有通过service enable命令开启SSL VPN网关

·         VPN instance not exist:SSL VPN网关所属的VPN实例不存在

·         Applying SSL server-policy failed:为SSL VPN网关应用SSL服务器端策略失败

IP

SSL VPN网关的IPv4地址

IPv6

SSL VPN网关的IPv6地址

Port

SSL VPN网关的端口号

HTTP redirect port

HTTP重定向端口号

SSL server policy configured

配置的SSL服务器端策略名称。配置的SSL服务器端策略在重启SSL VPN网关后才能生效

SSL server policy in use

生效的SSL服务器端策略名称

Front VPN instance

前端VPN实例名称,即SSL VPN网关所属的VPN实例名称

 

# 显示所有SSL VPN网关的简要信息。

<Sysname> display sslvpn gateway brief

Gateway name                    Admin  Operation

gw1                             Up     Up

gw2                             Down   Down (Administratively down)

gw3                             Up     Up

表1-6 display sslvpn gateway brief命令显示信息描述表

字段

描述

Gateway name

SSL VPN网关的名称

Admin

SSL VPN网关的管理状态,取值包括:

·         Up:已通过service enable命令开启SSL VPN网关

·         Down:未通过service enable命令开启SSL VPN网关

Operation

SSL VPN网关的操作状态,取值包括:

·         Up:SSL VPN网关处于运行状态

·         Down (Administratively down):管理down,即没有通过service enable命令开启SSL VPN网关

·         Down (VPN instance not exist):SSL VPN网关所属的VPN实例不存在

·         Down (Applying SSL server-policy failed):为SSL VPN网关应用SSL服务器端策略失败

 

1.1.13  display sslvpn ip-tunnel statistics

display sslvpn ip-tunnel statistics命令用来显示通过IP接入的SSL VPN用户的报文统计信息。

【命令】

display sslvpn ip-tunnel statistics [ context context-name ] [ user user-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

context context-name:显示指定SSL VPN访问实例下通过IP接入的SSL VPN用户的报文统计信息。context-name表示SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例下通过IP方式接入的SSL VPN用户的报文统计信息。

user user-name:显示指定或所有SSL VPN访问实例下指定SSL VPN用户对应的报文统计信息。user-name表示SSL VPN用户名称,为1~63个字符的字符串,不区分大小写。如果不指定本参数,则显示指定或所有SSL VPN访问实例下所有通过IP接入的SSL VPN用户的报文统计信息。

【使用指导】

如果未指定任何参数,则显示所有SSL VPN访问实例下的通过IP接入的报文统计信息。

【举例】

# 显示所有SSL VPN访问实例下通过IP接入的SSL VPN用户的报文统计信息。

<Sysname> display sslvpn ip-tunnel statistics

IP-tunnel statistics in SSL VPN context ctx1:

  Client:

    In bytes  : 125574               Out bytes  : 1717349

  Server:

    In bytes  : 1717349              Out bytes  : 116186

 

IP-tunnel statistics in SSL VPN context ctx2:

  Client:

    In bytes  : 521                  Out bytes  : 1011

  Server:

    In bytes  : 1011                 Out bytes  : 498

 

# 显示SSL VPN访问实例ctx1下通过IP接入的报文统计信息和登录该访问实例的每个SSL VPN用户的报文统计信息。

<Sysname> display sslvpn ip-tunnel statistics context ctx1

IP-tunnel statistics in SSL VPN context ctx1:

  Client:

    In bytes  : 125574               Out bytes  : 1717349

  Server:

    In bytes  : 1717349              Out bytes  : 116186

 

SSL VPN session IP-tunnel statistics:

Context                       : ctx1

User                          : user1

Session ID                    : 1

User IPv4 address             : 192.168.56.1

Received requests             : 81

Sent requests                 : 0

Dropped requests              : 81

Received replies              : 0

Sent replies                  : 0

Dropped replies               : 0

Received keepalives           : 1

Sent keepalive replies        : 1

Received configuration updates: 0

Sent configuration updates    : 0

 

Context                       : ctx1

User                          : user2

Session ID                    : 2

User IPv6 address             : 1234::5001

Received requests             : 81

Sent requests                 : 0

Dropped requests              : 81

Received replies              : 0

Sent replies                  : 0

Dropped replies               : 0

Received keepalives           : 1

Sent keepalive replies        : 1

Received configuration updates: 0

Sent configuration updates    : 0

 

# 显示SSL VPN用户user1通过IP接入的报文统计信息。

<Sysname> display sslvpn ip-tunnel statistics user user1

SSL VPN session IP-tunnel statistics:

Context                       : ctx1

User                          : user1

Session ID                    : 1

User IPv4 address             : 192.168.56.1

Received requests             : 81

Sent requests                 : 0

Dropped requests              : 81

Received replies              : 0

Sent replies                  : 0

Dropped replies               : 0

Received keepalives           : 1

Sent keepalive replies        : 1

Received configuration updates: 0

Sent configuration updates    : 0

 

Context                       : ctx2

User                          : user1

Session ID                    : 2

User IPv6 address             : 1234::5001

Received requests             : 81

Sent requests                 : 0

Dropped requests              : 81

Received replies              : 0

Sent replies                  : 0

Dropped replies               : 0

Received keepalives           : 1

Sent keepalives replies       : 1

Received configuration updates: 0

Sent configuration updates    : 0

 

# 显示SSL VPN访问实例ctx1下SSL VPN用户user1通过IP接入的报文统计信息。

<Sysname> display sslvpn ip-tunnel statistics context ctx1 user user1

SSL VPN session IP-tunnel statistics:

Context                       : ctx1

User                          : user1

Session ID                    : 1

User IPv4 address             : 192.168.56.1

Received requests             : 81

Sent requests                 : 0

Dropped requests              : 81

Received replies              : 0

Sent replies                  : 0

Dropped replies               : 0

Received keepalives           : 1

Sent keepalive replies        : 1

Received configuration updates: 0

Sent configuration updates    : 0

 

Context                       : ctx1

User                          : user1

Session ID                    : 2

User IPv6 address             : 1234::5001

Received requests             : 81

Sent requests                 : 0

Dropped requests              : 81

Received replies              : 0

Sent replies                  : 0

Dropped replies               : 0

Received keepalives           : 1

Sent keepalives replies       : 1

Received configuration updates: 0

Sent configuration updates    : 0

表1-7 display sslvpn ip-tunnel statistics命令显示信息描述表

字段

描述

Context

SSL VPN用户所属的SSL VPN访问实例

User

SSL VPN用户的登录名

Session ID

SSL VPN会话的标识

User IPv4 address

SSL VPN用户的IPv4地址

User IPv6 address

SSL VPN用户的IPv6地址

Received requests

SSL VPN网关设备接收自SSL VPN用户的IP接入业务请求报文数

Sent requests

SSL VPN网关设备转发给资源服务器的IP接入业务请求报文数

Dropped requests

SSL VPN网关设备丢弃SSL VPN用户的IP接入业务请求报文数

Received replies

SSL VPN网关设备接收资源服务器的IP接入业务应答报文数

Sent replies

SSL VPN网关设备转发给SSL VPN用户的IP接入业务应答报文数

Dropped replies

SSL VPN网关设备丢弃的IP接入业务应答报文数

Received keepalives

SSL VPN网关设备接收自SSL VPN用户的保活报文数

Sent keepalives replies

SSL VPN网关设备发送给SSL VPN用户的保活应答报文数

Received configuration updates

SSL VPN网关设备接收自SSL VPN用户主动请求发送配置更新的报文数

Sent configuration updates

SSL VPN网关设备发送给SSL VPN用户的配置更新报文数

Client

SSL VPN网关设备与客户端之间的报文字节数统计,取值如下:

·         In bytes:SSL VPN网关设备接收自SSL VPN用户的IP接入业务请求报文字节数

·         Out bytes:SSL VPN网关设备转发给SSL VPN用户的IP接入业务应答报文字节数

Server

SSL VPN网关设备与服务器之间的统计信息,取值如下:

·         In bytes:SSL VPN网关设备接收资源服务器的IP接入业务应答报文字节数

·         Out bytes:SSL VPN网关设备转发给资源服务器的IP接入业务请求报文字节数

 

1.1.14  display sslvpn policy-group

display sslvpn policy-group命令用来显示指定策略组的信息。

【命令】

display sslvpn policy-group group-name [ context context-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

group-name:策略组名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。

context context-name:显示指定SSL VPN访问实例下的指定策略组的信息。context-name表示SSL VPN访问实例的名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例下的指定名称的策略组信息。

【举例】

# 显示所有SSL VPN访问实例下名称为pg1的策略组的信息。

<Sysname> display sslvpn policy-group pg1

Group policy: pg1

  Context: context1

   Idle timeout: 35 min

  Context: context2

   Idle timeout: 40 min

表1-8 display sslvpn policy-group命令显示信息描述表

字段

描述

Group policy

策略组名称

Context

SSL VPN访问实例名称

Idle timeout

SSL VPN会话可以保持空闲状态的最长时间,单位为分钟

 

1.1.15  display sslvpn port-forward connection

display sslvpn port-forward connection命令用来显示TCP端口转发的连接信息。

【命令】

display sslvpn port-forward connection [ context context-name ] [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

context context-name:显示指定SSL VPN访问实例下的TCP端口转发连接信息。context-name 表示SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例下的TCP端口转发连接信息。

slot slot-number:显示指定成员设备的SSL VPN访问实例下的TCP端口转发连接信息。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示所有成员设备上的SSL VPN访问实例下的TCP端口转发连接信息。

【举例】

# 显示所有SSL VPN访问实例下TCP端口转发的连接信息。

<Sysname> display sslvpn port-forward connection

SSL VPN context  : ctx1

  Client address : 192.0.2.1

  Client port    : 1025

  Server address : 192.168.0.39

  Server port    : 80

  Slot           : 1

  Status         : Connected

SSL VPN context  : ctx2

  Client address : 3000::983F:7A36:BD06:342D

  Client port    : 56190

  Server address : 300::1

  Server port    : 23

  Slot           : 1

  Status         : Connecting

表1-9 display sslvpn port-forward connection命令显示信息描述表

字段

描述

Client address

SSL VPN客户端的IP地址

Client port

SSL VPN客户端的本地端口号

Server address

企业网内服务器的IP地址

Server port

企业网内服务器的端口号

Slot

设备在IRF中的成员编号

Status

连接状态,取值包括:

·         Connected:连接成功

·         Connecting:正在连接

 

1.1.16  display sslvpn session

display sslvpn session命令用来显示SSL VPN会话信息。

【命令】

display sslvpn session [ context context-name ] [ user user-name | verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

context context-name:显示指定SSL VPN访问实例下的SSL VPN会话的简要信息。context-name表示SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例下的SSL VPN会话的简要信息。

user user-name:显示指定或所有SSL VPN访问实例下指定SSL VPN用户对应的SSL VPN会话的详细信息。user-name表示SSL VPN用户名称,为1~63个字符的字符串,不区分大小写。如果不指定本参数,则显示指定或所有SSL VPN访问实例下SSL VPN会话的简要信息。

verbose:显示指定或所有SSL VPN访问实例下SSL VPN会话中所有用户的详细信息。如果不指定本参数,则显示指定或所有SSL VPN访问实例下SSL VPN会话的简要信息。

【举例】

# 显示所有SSL VPN访问实例下SSL VPN会话的简要信息。

<Sysname> display sslvpn session

Total users: 4

 

SSL VPN context: ctx1

Users: 2

Username        Connections  Idle time   Created       User IP

user1           5            0/00:00:23  0/04:47:16    192.0.2.1

user2           5            0/00:00:46  0/04:48:36    192.0.2.2

 

SSL VPN context: ctx2

Users: 2

Username        Connections  Idle time   Created       User IP

user3           5            0/00:00:30  0/04:50:06    192.168.2.1

user4           5            0/00:00:50  0/04:51:16    192.168.2.2

表1-10 display sslvpn session命令简要显示信息描述表

字段

描述

Total users

所有访问实例下的总用户数目

SSL VPN context

SSL VPN访问实例名称

Users

当前访问实例下的用户数目

Total users

所有访问实例下的总用户数目

Username

SSL VPN会话的登录用户名称

Connections

SSL VPN会话的连接次数

Idle time

SSL VPN会话的空闲时长,格式为天/时:分:秒

Created

SSL VPN会话的创建时长,格式为天/时:分:秒

User IP

SSL VPN会话使用的IP地址

 

# 显示SSL VPN用户user1对应的SSL VPN会话的详细信息。

<Sysname> display sslvpn session user user1

User              : user1

Context           : context1

Policy group      : pgroup

Idle timeout      : 30 min

Created at        : 13:49:27 UTC Wed 05/14/2014

Lastest           : 17:50:58 UTC Wed 05/14/2014

User IPv4 address : 192.0.2.1

Session ID        : 1

Web browser/OS    : Internet Explorer

 

User              : user1

Context           : context2

Policy group      : Default

Idle timeout      : 2100 sec

Created at        : 14:15:12 UTC Wed 05/14/2014

Lastest           : 18:56:58 UTC Wed 05/14/2014

User IPv6 address : 0:30::983F:7A36:BD06:342D

Session ID        : 5

Web browser/OS    : Internet Explorer

# 显示SSL VPN会话中所有用户的详细信息。

<Sysname> display sslvpn session verbose

User              : user1

Context           : context1

Policy group      : pgroup

Idle timeout      : 30 min

Created at        : 13:49:27 UTC Wed 05/14/2014

Lastest           : 17:50:58 UTC Wed 05/14/2014

User IPv4 address : 192.0.2.1

Session ID        : 1

Web browser/OS    : Internet Explorer

 

User              : user1

Context           : context2

Policy group      : Default

Idle timeout      : 2100 sec

Created at        : 14:15:12 UTC Wed 05/14/2014

Lastest           : 18:56:58 UTC Wed 05/14/2014

User IPv6 address : 0:30::983F:7A36:BD06:342D

Session ID        : 5

Web browser/OS    : Internet Explorer

表1-11 display sslvpn session user和display sslvpn session verbose命令显示信息描述表

字段

描述

User

SSL VPN用户的登录名

Context

SSL VPN用户所属的SSL VPN访问实例

Policy group

SSL VPN用户使用的策略组

Idle timeout

SSL VPN超时时间

Created at

SSL VPN会话的创建时间

Lastest

用户最近一次访问时间

Allocated IP

iNode客户端分配到的IP地址,通过iNode登录的用户,会显示该字段信息

User IPv4 address

SSL VPN会话使用的IPv4地址

User IPv6 address

SSL VPN会话使用的IPv6地址

Session ID

SSL VPN会话的标识

Web browser/OS

SSL VPN登录用户所用的浏览器或操作系统类型信息

 

1.1.17  display sslvpn webpage-customize template

display sslvpn webpage-customize template命令用来显示SSL VPN页面模板信息。

【命令】

display sslvpn webpage-customize template

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示SSL VPN页面模板信息。

<Sysname> display sslvpn webpage-customize template

Template name            Type              Status

default                  Pre-defined       Normal

system                   Pre-defined       Normal

User1                    User-defined      File login.html missing

User2                    User-defined      File home.html missing

表1-12 display sslvpn webpage-customize template命令显示信息描述表

字段

描述

Template name

页面模板的名称

Type

页面模板的类型,取值包括:

·         Pre-defined:表示该页面模板为预定义页面模板

·         User-defined:表示该页面模板为用户自定义页面模板

Status

页面模板的状态,取值包括:

·         Normal:表示该页面模板完整,可以使用

·         File login.html missing:表示该页面模板缺少login.html文件

·         File home.html missing:表示该页面模板缺少home.html文件

 

【相关命令】

·            sslvpn webpage-customize

·            webpage-customize

1.1.18  emo-server

emo-server命令用来配置为客户端指定的EMO(Endpoint Mobile Office,终端移动办公)服务器。

undo emo-server命令用来恢复缺省情况。

【命令】

emo-server address { host-name | ipv4-address } port port-number

undo emo-server

【缺省情况】

未配置为客户端指定的EMO服务器。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

address:指定EMO服务器的主机名或IPv4地址。

host-name:EMO服务器的主机名,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。

ipv4-address:EMO服务器的IPv4地址,为点分十进制格式,不能是组播、广播、环回地址。

port port-number:指定EMO服务器使用的端口号。port-number取值范围为1025~65535。

【使用指导】

EMO服务器用来为移动客户端提供服务。执行本命令后,SSL VPN网关会将配置的EMO服务器信息下发给客户端,以便客户端访问EMO服务器。

在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名称为ctx1的SSL VPN访问实例下配置EMO服务器地址为10.10.1.1、端口号为9058。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] emo-server address 10.10.1.1 port 9058

1.1.19  exclude

exclude命令用来在路由列表中添加例外路由。

undo exclude命令用来删除路由列表中的例外路由。

【命令】

exclude ip-address { mask | mask-length }

undo exclude ip-address { mask | mask-length }

【缺省情况】

路由列表中不存在例外路由。

【视图】

路由列表视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:路由的目的IP地址,不能是组播、广播、环回地址。

mask:路由目的地址的掩码。

mask-length:路由目的地址的掩码长度,取值范围为0~32。

【使用指导】

策略组引用路由列表后,SSL VPN网关将路由列表中的例外路由表项下发给客户端。客户端在本地添加这些路由表项,匹配这些路由表项的报文将不会被发送给SSL VPN网关。客户端报文按照最长匹配原则选择匹配的例外路由。通过配置例外路由,可以防止访问指定网段的报文通过虚拟网卡发送给SSL VPN网关,便于网络管理员灵活设置路由表项。

多次执行本命令,可以在路由列表中添加多条例外路由。

通过include命令和exclude命令指定相同的路由表项时,最后一次执行的命令生效。

【举例】

# 在路由列表rtlist下添加例外路由192.168.0.0/16。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] ip-route-list rtlist

[Sysname-sslvpn-context-ctx1-route-list-rtlist] exclude 192.168.0.0 16

【相关命令】

·            include

1.1.20  execution (port forwarding item view)

execution命令用来配置端口转发表项对应的资源。

undo execution命令用来恢复缺省情况。

【命令】

execution script

undo execution

【缺省情况】

不存在端口转发表项对应的资源。

【视图】

端口转发表项视图

【缺省用户角色】

network-admin

context-admin

【参数】

script:端口转发表项对应的资源,为1~255个字符的字符串。

【使用指导】

SSL VPN网关管理员可以通过以下两种方式配置资源:

·            预定义模板方式:系统预定义了url('url-value')模板,SSL VPN网关管理员只需输入url('url-value'),便可以打开url-value对应的URL链接。url-value由协议类型、主机名称或地址、端口号、资源路径四部分组成,完整格式为“协议类型://主机名称或地址:端口号/资源路径”。

·            自定义方式:SSL VPN网关管理员可以自己编写任意一个可执行的JavaScript脚本,实现访问特定的资源。

每个端口转发表项只能配置一个对应的资源。配置本命令后,用户可以在Web页面上单击指定的链接访问资源。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置端口转发表项pfitem1对应的资源为url(‘http://127.0.0.1’)。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] port-forward-item pfitem1

[Sysname-sslvpn-context-ctx1-forward-item-pfitem1] execution url(‘http://127.0.0.1’)

1.1.21  execution (shortcut view)

execution命令用来配置快捷方式对应的资源。

undo execution命令用来恢复缺省情况。

【命令】

execution script

undo execution

【缺省情况】

不存在快捷方式对应的资源。

【视图】

快捷方式视图

【缺省用户角色】

network-admin

context-admin

【参数】

script:快捷方式对应的资源,为1~255个字符的字符串。

【使用指导】

SSL VPN网关管理员可以通过以下两种方式配置资源:

·            预定义模板方式:系统预定义了url('url-value')模板,SSL VPN网关管理员只需输入url('url-value'),便可以打开url-value对应的URL链接。url-value由协议类型、主机名称或地址、端口号、资源路径四部分组成,完整格式为“协议类型://主机名称或地址:端口号/资源路径”。

·            自定义方式:SSL VPN网关管理员可以自己编写任意一个可执行的JavaScript脚本,实现访问特定的资源。

配置本命令后,用户可以在Web页面上单击指定的快捷方式访问资源。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置快捷方式shortcut1对应的资源为url(‘http://10.0.0.1’)。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] shortcut shortcut1

[Sysname-sslvpn-context-ctx1-shortcut-shortcut1] execution url(‘http://10.0.0.1’)

1.1.22  file-policy

file-policy命令用来创建文件策略,并进入文件策略视图。如果指定的文件策略已经存在,则直接进入该文件策略视图。

undo file-policy命令用来删除指定的文件策略。

【命令】

file-policy policy-name

undo file-policy policy-name

【缺省情况】

不存在文件策略。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:文件策略名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

此命令创建的文件策略用于对Web接入方式访问的Web服务器网页文件进行匹配和改写。

同一个SSL VPN访问实例视图中可以配置多个文件策略。

【举例】

# 创建名称为fp的文件策略,并进入文件策略视图。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] file-policy fp

[Sysname-sslvpn-context-ctx-file-policy-fp]

【相关命令】

·            sslvpn context

1.1.23  filter ip-tunnel acl

filter ip-tunnel acl命令用来配置对IP接入进行高级ACL过滤。

undo filter ip-tunnel acl命令用来恢复缺省情况。

【命令】

filter ip-tunnel [ ipv6 ] acl advanced-acl-number

undo filter ip-tunnel [ ipv6 ] acl

【缺省情况】

禁止所有客户端访问IP接入资源。

【视图】

SSL VPN策略组视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6:指定引用的ACL类型为IPv6 ACL。若不指定该参数,则表示引用IPv4 ACL。

acl advanced-acl-number:用来过滤IP接入报文的高级ACL的编号。advanced-acl-number表示高级ACL,取值范围为3000~3999。引用的ACL规则中不能存在VPN实例,否则该规则不生效。

【使用指导】

用户访问资源时,匹配顺序为:

(1)       进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。

(2)       若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。

(3)       若高级ACL检查失败,则授权失败,用户不允许访问资源。如果引用的ACL不存在,则SSL VPN网关拒绝所有IP接入方式的访问。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置策略组pg1通过IPv4 ACL 3000和IPv6 ACL 3500过滤IP接入方式访问。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] policy-group pg1

[Sysname-sslvpn-context-ctx1-policy-group-pg1] filter ip-tunnel acl 3000

[Sysname-sslvpn-context-ctx1-policy-group-pg1] filter ip-tunnel ipv6 acl 3500

【相关命令】

·            filter ip-tunnel uri-acl

1.1.24  filter ip-tunnel uri-acl

filter ip-tunnel uri-acl命令用来配置对IP接入进行URI ACL过滤。

undo filter ip-tunnel uri-acl命令用来取消IP接入的URI ACL过滤。

【命令】

filter ip-tunnel uri-acl uri-acl-name

undo filter ip-tunnel uri-acl

【缺省情况】

禁止所有客户端访问IP接入资源。

【视图】

SSL VPN策略组视图

【缺省用户角色】

network-admin

context-admin

【参数】

uri-acl-name:URI ACL名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。

【使用指导】

用户访问资源时,匹配顺序为:

(1)       进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。

(2)       若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。

(3)       若高级ACL检查失败,则授权失败,用户不允许访问资源。如果引用的ACL不存在,则SSL VPN网关拒绝所有IP接入方式的访问。

配置对IP接入进行URI ACL过滤时,指定的URI ACL规则中不能包含HTTP和HTTPS协议,否则该规则不生效。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在SSL VPN策略组abcpg中,配置通过URI ACL abcuriacl过滤IP接入方式访问。

<Sysname> system-view

[Sysname] sslvpn context abc

[Sysname-sslvpn-context-abc] policy-group abcpg

[Sysname-sslvpn-context-abc-policy-group-abcpg] filter ip-tunnel uri-acl abcuriacl

1.1.25  filter tcp-access acl

filter tcp-access acl命令用来配置对TCP接入进行高级ACL过滤。

undo filter tcp-access acl命令用来恢复缺省情况。

【命令】

filter tcp-access [ ipv6 ] acl advanced-acl-number

undo filter tcp-access [ ipv6 ] acl

【缺省情况】

SSL VPN网关仅允许SSL VPN客户端访问端口转发列表下的资源。

【视图】

SSL VPN策略组视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6:指定引用的ACL类型为IPv6 ACL。如果不指定该参数,则表示引用IPv4 ACL。

acl advanced-acl-number:指定用于过滤TCP接入的高级ACL。advanced-acl-number表示高级ACL的编号,取值范围为3000~3999。引用的ACL规则中不能存在VPN实例,否则该规则不生效。

【使用指导】

对于手机版TCP客户端,用户访问资源时,匹配顺序为:

(1)       优先匹配端口转发资源列表,成功匹配后用户可以访问授权资源。

(2)       若端口转发资源列表匹配失败时,则进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。

(3)       若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。

(4)       若高级ACL检查失败,则授权失败,用户不允许访问资源。

对于PC版TCP客户端,仅当成功匹配端口转发资源列表后用户可以访问授权资源,否则禁止所有客户端访问TCP接入资源。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置策略组pg1通过IPv4 ACL 3000和IPv6 ACL 3500过滤TCP接入。

<Sysname> system-view

[Sysname]sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] policy-group pg1

[Sysname-sslvpn-context-ctx1-policy-group pg1] filter tcp-access acl 3000

[Sysname-sslvpn-context-ctx1-policy-group pg1] filter tcp-access ipv6 acl 3500

【相关命令】

·            filter tcp-access uri-acl

1.1.26  filter tcp-access uri-acl

filter tcp-access uri-acl命令用来配置对TCP接入进行URI ACL过滤。

undo filter tcp-access uri-acl命令用来取消TCP接入的URI ACL的过滤。

【命令】

filter tcp-access uri-acl uri-acl-name

undo filter tcp-access uri-acl

【缺省情况】

SSL VPN网关仅允许SSL VPN客户端访问被授权URL列表下的资源。

【视图】

SSL VPN策略组视图

【缺省用户角色】

network-admin

context-admin

【参数】

uri-acl-name:URI ACL名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。

【使用指导】

对于手机版TCP客户端,用户访问资源时,匹配顺序为:

(1)       优先匹配端口转发资源列表,成功匹配后用户可以访问授权资源。

(2)       若端口转发资源列表匹配失败时,则进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。

(3)       若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。

(4)       若高级ACL检查失败,则授权失败,用户不允许访问资源。

对于PC版TCP客户端,仅当成功匹配端口转发资源列表后用户可以访问授权资源,否则禁止所有客户端访问TCP接入资源。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在SSL VPN策略组abcpg中,配置通过URI ACL abcuriacl2过滤TCP接入方式访问。

<Sysname> system-view

[Sysname] sslvpn context abc

[Sysname-sslvpn-context-abc] policy-group abcpg

[Sysname-sslvpn-context-abc-policy-group-abcpg] filter tcp-access uri-acl abcuriacl2

【相关命令】

·            filter tcp-access acl

1.1.27  filter web-access acl

filter web-access acl命令用来配置对Web接入进行高级ACL过滤。

undo filter web-access acl命令用来恢复缺省情况。

【命令】

filter web-access [ ipv6 ] acl advanced-acl-number

undo filter web-access [ ipv6 ] acl

【缺省情况】

SSL VPN网关仅允许SSL VPN客户端访问被授权URL列表下的资源。

【视图】

SSL VPN策略组视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6:指定引用的ACL类型为IPv6 ACL。如果不指定该参数,则表示引用IPv4 ACL。

acl advanced-acl-number:指定用于过滤Web接入的高级ACL。advanced-acl-number表示高级ACL的编号,取值范围为3000~3999。引用的ACL规则中不能存在VPN实例,否则该规则不生效。

【使用指导】

用户访问资源时,匹配顺序为:

(1)       优先匹配被授权URL列表下的资源,成功匹配后用户可以访问授权资源。

(2)       若被授权URL列表下的资源匹配失败时,则进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。

(3)       若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。

(4)       若高级ACL检查失败,则授权失败,用户不允许访问资源。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置策略组pg1通过IPv4 ACL 3000和IPv6 ACL 3500过滤Web接入。

<Sysname> system-view

[Sysname]sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] policy-group pg1

[Sysname-sslvpn-context-ctx1-policy-group pg1] filter web-access acl 3000

[Sysname-sslvpn-context-ctx1-policy-group pg1] filter web-access ipv6 acl 3500

【相关命令】

·            filter web-access uri-acl

1.1.28  filter web-access uri-acl

filter web-access uri-acl命令用来配置对Web接入进行URI ACL过滤。

undo filter web-access uri-acl命令用来取消Web接入的URI ACL的过滤。

【命令】

filter web-access uri-acl uri-acl-name

undo filter web-access uri-acl

【缺省情况】

SSL VPN网关仅允许SSL VPN客户端访问被授权URL列表下的资源。

【视图】

SSL VPN策略组视图

【缺省用户角色】

network-admin

context-admin

【参数】

uri-acl-name:URI ACL名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。

【使用指导】

用户访问资源时,匹配顺序为:

(1)       优先匹配被授权URL列表下的资源,成功匹配后用户可以访问授权资源。

(2)       若被授权URL列表下的资源匹配失败时,则进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。

(3)       若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。

(4)       若高级ACL检查失败,则授权失败,用户不允许访问资源。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在SSL VPN策略组abc中,配置通过URI ACL abcuriacl1过滤Web接入方式访问。

<Sysname> system-view

[Sysname] sslvpn context abc

[Sysname-sslvpn-context-abc] policy-group abcpg

[Sysname-sslvpn-context-abc-policy-group-abcpg] filter web-access uri-acl abcuriacl1

【相关命令】

·            filter web-access acl

1.1.29  force-logout

force-logout命令用来强制在线用户下线。

【命令】

force-logout [ all | session session-id | user user-name ]

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

all:强制所有用户下线。

session session-id:强制指定会话的用户下线。session-id表示用户会话标识,取值范围为1~4294967295。

user user-name:强制指定用户名的用户下线。user-name表示SSL VPN用户名称,为1~63个字符的字符串,区分大小写。

【举例】

# 强制会话标识为1的用户下线。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] force-logout session 1

1.1.30  force-logout max-onlines enable

force-logout max-onlines enable命令用来开启达到最大在线数时的用户强制下线功能。

undo force-logout max-onlines enable命令用来关闭达到最大在线数时的用户强制下线功能。

【命令】

force-logout max-onlines enable

undo force-logout max-onlines enable

【缺省情况】

达到最大在线数时的用户强制下线功能处于关闭状态。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

当某个用户达到同一用户名同时最大在线数,该用户再次登录时,如果开启了本功能,则从该用户的在线连接中选择一个空闲时间最长的,强制其下线,新登录用户上线;如果未开启本功能,则不允许新用户登录。

【举例】

# 开启达到最大在线数再登录时强制下线功能。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] force-logout max-onlines enable

1.1.31  gateway

gateway命令用来配置SSL VPN访问实例引用SSL VPN网关。

undo gateway命令用来删除指定的SSL VPN网关。

【命令】

gateway gateway-name [ domain domain-name | virtual-host virtual-host-name ]

undo gateway [ gateway-name ]

【缺省情况】

未引用SSL VPN网关。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

gateway-name:SSL VPN网关名称。为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。

domain domain-name:域名,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”,不区分大小写。

virtual-host virtual-host-name:虚拟主机名称,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。

【使用指导】

多个SSL VPN访问实例引用同一个SSL VPN网关时,可以通过以下方法判断远端接入用户所属的SSL VPN访问实例:

·            为不同的SSL VPN访问实例指定不同的域名。远端用户登录SSL VPN网关时,指定自己所在的域,SSL VPN网关根据用户指定的域判断该用户所属的SSL VPN访问实例。

·            为不同的SSL VPN访问实例、指定不同的虚拟主机名称。远端用户访问SSL VPN网关时,输入虚拟主机名称,SSL VPN网关根据虚拟主机名称判断该用户所属的SSL VPN访问实例。

如果SSL VPN访问实例引用SSL VPN网关时没有指定域名和虚拟主机名称,那么其他的SSL VPN访问实例就不能再引用该SSL VPN网关。

在同一个SSL VPN访问实例视图下,最多可以引用10个SSL VPN网关。

【举例】

# 配置名为ctx1的SSL VPN访问实例引用SSL VPN网关gw1,域名为domain1。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] gateway gw1 domain domain1

【相关命令】

·            display sslvpn context

1.1.32  heading

heading命令用来配置URL列表标题。

undo heading命令用来删除URL列表标题。

【命令】

heading string

undo heading

【缺省情况】

URL列表的标题为“Web”。

【视图】

URL列表视图

【缺省用户角色】

network-admin

context-admin

【参数】

string:URL列表标题,为1~31个字符的文本字符串,区分大小写。

【举例】

# 配置URL列表的标题为urlhead。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] url-list url

[Sysname-sslvpn-context-ctx1-url-list-url] heading urlhead

【相关命令】

·            sslvpn context

·            url-list

1.1.33  http-redirect

http-redirect命令用来开启HTTP流量的重定向功能。

undo http-redirect命令用来关闭HTTP流量的重定向功能。

【命令】

http-redirect [ port port-number ]

undo http-redirect

【缺省情况】

HTTP流量的重定向功能处于关闭状态,SSL VPN网关不会处理HTTP流量。

【视图】

SSL VPN网关视图

【缺省用户角色】

network-admin

context-admin

【参数】

port-number:需要重定向的HTTP流量的端口号,取值范围为80、1025~65535,缺省值为80。

【使用指导】

配置该命令后,SSL VPN网关将监听指定的端口号,并把指定端口号的HTTP流量重定向到HTTPS服务监听的端口,向客户端发送重定向报文,让客户端重新以HTTPS方式登录。

【举例】

# 为端口号为1025的HTTP流量开启重定向功能。

<Sysname> system-view

[Sysname] sslvpn gateway gateway1

[Sysname-sslvpn-gateway-gateway1] http-redirect port 1025

1.1.34  idle-cut traffic-threshold

idle-cut traffic-threshold命令用来配置SSL VPN会话保持空闲状态的流量阈值。

undo idle-cut traffic-threshold命令用来恢复缺省情况。

【命令】

idle-cut traffic-threshold kilobytes

undo idle-cut traffic-threshold

【缺省情况】

未配置SSL VPN会话保持空闲状态的流量阈值。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

kilobytes:表示SSL VPN会话保持空闲状态的流量阈值,取值范围为1~4294967295,单位为千字节。

【使用指导】     

配置该命令后,SSL VPN网关将会对SSL VPN会话保持空闲状态的流量进行统计,如果在timeout idle命令配置的时间范围内SSL VPN用户发送至SSL VPN网关的流量未达到配置的流量阈值,则SSL VPN网关将断开该会话。

若修改本命令或timeout idle命令配置的值,则会清空已统计的流量。

【举例】

# 在SSL VPN访问实例ctx1下配置流量阈值为1000千字节。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] idle-cut traffic-threshold 1000

【相关命令】

·            timeout idle

1.1.35  include

include命令用来在路由列表中添加路由。

undo include命令用来删除路由列表中的路由。

【命令】

include ip-address { mask | mask-length }

undo include ip-address { mask | mask-length }

【缺省情况】

不存在路由。

【视图】

路由列表视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:路由的目的地址,不能是组播、广播、环回地址。

mask:路由目的地址的掩码。

mask-length:路由的掩码长度,取值范围为0~32。

【使用指导】

本命令指定的目的网段需要是企业内部服务器所在的网络。策略组引用路由列表后,SSL VPN网关将路由列表中的路由表项下发给客户端。客户端在本地添加这些路由表项,以便客户端将访问企业网络内部服务器的报文通过虚拟网卡发送给SSL VPN网关,防止这些报文进入Internet。

多次执行本命令,可以在路由列表中添加多条路由。

通过include命令和exclude命令指定相同的路由表项时,最后一次执行的命令生效。

【举例】

# 在路由列表rtlist下添加路由10.0.0.0/8。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] ip-route-list rtlist

[Sysname-sslvpn-context-ctx1-route-list-rtlist] include 10.0.0.0 8

【相关命令】

·            exclude

1.1.36  interface sslvpn-ac

interface sslvpn-ac命令用来创建SSL VPN AC接口,并进入SSL VPN AC接口视图。如果指定的SSL VPN AC接口已经存在,则直接进入SSL VPN AC接口视图。

undo interface sslvpn-ac命令用来删除指定的SSL VPN AC接口。

【命令】

interface sslvpn-ac interface-number

undo interface sslvpn-ac interface-number

【缺省情况】

不存在SSL VPN AC接口。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

interface-number:SSL VPN AC接口的编号,取值范围为0~4095。

【举例】

# 创建SSL VPN AC接口1000,并进入SSL VPN AC接口视图。

<Sysname>system-view

[Sysname]interface SSLVPN-AC 1000

[Sysname-SSLVPN-AC1000]

1.1.37  ip address

ip address命令用来配置SSL VPN网关的IPv4地址和端口号。

undo ip address命令用来恢复缺省情况。

【命令】

ip address ip-address [ port port-number ]

undo ip address

【缺省情况】

SSL VPN网关的IP地址为0.0.0.0,端口号为443。

【视图】

SSL VPN网关视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:SSL VPN网关的IPv4地址,为点分十进制格式。

port port-number:指定SSL VPN网关的端口号。port-number取值范围为443、1025~65535,缺省值为443。

【使用指导】

远端接入用户可以通过本命令配置的IPv4地址和端口号访问SSL VPN网关。当配置的IP地址为非缺省IP地址时,本命令指定的IP地址应为SSL VPN网关上接口的IP地址,并需要保证该IP地址路由可达。

SSL VPN网关使用缺省地址时,端口号不能与设备的HTTPS管理地址的端口号相同。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置SSL VPN网关的IPv4地址为10.10.1.1、端口号为8000。

<Sysname> system-view

[Sysname] sslvpn gateway gw1

[Sysname-sslvpn-gateway-gw1] ip address 10.10.1.1 port 8000

【相关命令】

·            display sslvpn gateway

1.1.38  ip-route-list

ip-route-list命令用来创建路由列表,并进入路由列表视图。如果指定的路由列表已经存在,则直接进入路由列表视图。

undo ip-route-list命令用来删除指定的路由列表。

【命令】

ip-route-list list-name

undo ip-route-list list-name

【缺省情况】

不存在路由列表。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

list-name:路由列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。

【使用指导】

若路由列表被策略组引用,则不允许删除该路由列表。请先通过undo ip-tunnel access-route命令取消引用,再执行本命令删除路由列表。

【举例】

# 在名为ctx1的SSL VPN访问实例下,创建路由列表rtlist,并进入路由列表视图。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] ip-route-list rtlist

[Sysname-sslvpn-context-ctx1-route-list-rtlist]

【相关命令】

·            ip-tunnel access-route

1.1.39  ip-tunnel access-route

ip-tunnel access-route命令用来配置下发给客户端的路由表项。

undo ip-tunnel access-route命令用来恢复缺省情况。

【命令】

ip-tunnel access-route { ip-address { mask-length | mask } | force-all | ip-route-list list-name }

undo ip-tunnel access-route

【缺省情况】

未指定下发给客户端的路由表项。

【视图】

SSL VPN策略组视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address { mask-length | mask }:将指定路由下发给客户端。ip-address为路由的目的地址,不能是组播、广播、环回地址;mask-length为路由的掩码长度,取值范围为0~32;mask为路由的掩码。

force-all:强制将客户端的流量转发给SSL VPN网关。

ip-route-list list-name:将指定路由列表中的路由表项下发给客户端。list-name表示路由列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。本参数指定的路由列表必须先通过ip-route-list命令创建。

【使用指导】

客户端通过IP接入方式访问网关时,网关将指定的路由下发给客户端。客户端若访问该网段内的服务器,报文就会通过虚拟网卡发送给SSL VPN网关,防止报文进入Internet。

通过指定路由列表,可以同时将路由列表中的多条路由下发给客户端。若只需要为客户端下发一条路由,则可以直接配置ip-address { mask-length | mask }参数,无需指定路由列表。

执行本命令时如果指定了force-all参数,则SSL VPN网关将在客户端上添加优先级最高的缺省路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到路由表项的流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端,不允许SSL VPN客户端删除此缺省路由,且不允许SSL VPN客户端添加优先级高于此路由的缺省路由。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在策略组pg1下,配置将路由列表rtlist中的路由下发给客户端。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] ip-route-list rtlist

[Sysname-sslvpn-context-ctx1-route-list-rtlist] include 10.0.0.0 8

[Sysname-sslvpn-context-ctx1-route-list-rtlist] include 20.0.0.0 8

[Sysname-sslvpn-context-ctx1-route-list-rtlist] quit

[Sysname-sslvpn-context-ctx1] policy-group pg1

[Sysname-sslvpn-context-ctx1-policy-group-pg1] ip-tunnel access-route ip-route-list rtlist

【相关命令】

·            ip-route-list

1.1.40  ip-tunnel address-pool (SSL VPN context view)

ip-tunnel address-pool命令用来配置IP接入引用地址池。

undo ip-tunnel address-pool命令用来恢复缺省情况。

【命令】

ip-tunnel address-pool pool-name mask { mask-length | mask }

undo ip-tunnel address-pool

【缺省情况】

IP接入未引用地址池。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

pool-name:引用的地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。

mask { mask-length | mask }:指定地址池的掩码或掩码长度。mask-length表示地址池的掩码长度,取值范围为1~30;mask表示地址池的掩码。

【使用指导】

客户端使用IP接入方式访问SSL VPN网关时,网关需要为客户端分配IP地址。SSL VPN访问实例引用的地址池,若用户被授权的策略组没有引用地址池,则从此地址池为用户分配地址。若地址池中无可用地址,则分配失败。

本命令可以引用不存在的地址池。但此时SSL VPN网关无法为客户端分配IP地址。只有创建地址池后,SSL VPN网关才可以为客户端分配IP地址。

每个SSL VPN访问实例视图下只能引用一个地址池。多次执行本命令,最后一次执行的命令生效。

为了不影响用户接入,请管理员合理规划IP地址,避免地址池中的地址与设备上其他地址冲突。

【举例】

# 配置IP接入引用地址池pool1。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] ip-tunnel address-pool pool1 mask 24

【相关命令】

·            sslvpn ip address-pool

1.1.41  ip-tunnel address-pool (SSL VPN policy group view)

ip-tunnel address-pool命令用来配置IP接入引用地址池。

undo ip-tunnel address-pool命令用来恢复缺省情况。

【命令】

ip-tunnel address-pool pool-name mask { mask-length | mask }

undo ip-tunnel address-pool

【缺省情况】

策略组下IP接入未引用地址池。

【视图】

SSL VPN策略组视图

【缺省用户角色】

network-admin

context-admin

【参数】

pool-name:引用的地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。

mask { mask-length | mask }:指定地址池的掩码或掩码长度。mask-length表示地址池的掩码长度,取值范围为1~30;mask表示地址池的掩码。

【使用指导】

客户端使用IP接入方式访问SSL VPN网关时,网关需要为客户端分配IP地址。本命令指定了SSL VPN策略组引用的IP地址池,当用户被授权了该策略组之后,将从此地址池中为用户分配地址。

当SSL VPN访问实例和策略组下同时引用地址池时,将从策略组下的地址池分配地址,若地址池中无可用地址,则分配失败。当策略组中未引用地址池时,从访问实例的地址池中分配地址。

本命令可以引用不存在的地址池,但是不能从该地址池分配地址,只有创建地址池后,SSL VPN网关才可以为使用该地址池为客户端分配IP地址。

每个SSL VPN策略组下只能引用一个地址池。多次执行本命令,最后一次执行的命令生效。

为了不影响用户接入,请管理员合理规划IP地址,避免地址池中的地址与设备上其他地址冲突。

【举例】

# 在策略组pg1下配置用户IP接入引用地址池pool1。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] policy-group pg1

[Sysname-sslvpn-context-ctx1-policy-group-pg1] ip-tunnel address-pool pool1 mask 24

【相关命令】

·            sslvpn ip address-pool

1.1.42  ip-tunnel bind address

ip-tunnel bind address命令用来配置SSL VPN用户绑定IP地址。

undo ip-tunnel bind address命令用来恢复缺省情况。

【命令】

ip-tunnel bind address { ip-address-list | auto-allocate number }

undo ip-tunnel bind address

【缺省情况】

SSL VPN用户未绑定IP地址。

【视图】

SSL VPN用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address-list:为该用户绑定分配的IP地址列表,为1~255个字符的字符串,只能包含数字、“.”、“,”和“-”,列表中不能包含组播、广播、环回地址。列表中可以包含IP地址和地址范围,地址或地址范围之间以“,”隔开,地址范围中的起始和结束地址用“-”隔开。例如:10.1.1.5,10.1.1.10-10.1.1.20。列表中包含的IP地址个数最多为10000个。

auto-allocate number:SSL VPN网关为客户端自动分配空闲的IP地址。number表示自动分配的IP地址的数目,取值范围为1~10。

【使用指导】

客户端使用IP接入方式访问SSL VPN网关时,网关需要为客户端分配IP地址。通过本命令可以指定SSL VPN网关为客户端分配的IP地址:

·            若指定了参数ip-address-list,则当网关从地址池中为客户端分配IP地址时,优先分配绑定的IP地址。如果IP地址列表中的地址已被分配给其他用户,则断开其他用户的连接并释放其IP地址。

·            若指定了参数auto-allocate number,则网关会从地址池中获取number个空闲IP地址,为该用户绑定。

当SSL VPN策略组中引用了地址池时,配置SSL VPN用户绑定的IP地址必须是此地址池中的IP地址。

当SSL VPN策略组中未引用地址池时,配置SSL VPN用户绑定的IP地址必须是此SSL VPN访问实例引用的地址池中的IP地址。

未关联VPN实例或在同一VPN实例中,不同SSL VPN用户不能绑定相同的IP地址。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 为用户user1绑定分配的IP地址为10.1.1.5,10.1.1.10~10.1.1.20和10.1.1.30。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] user user1

[Sysname-sslvpn-context-ctx-user-user1] ip-tunnel bind address 10.1.1.5,10.1.1.10-10.1.1.20,10.1.1.30

【相关命令】

·            user

1.1.43  ip-tunnel dns-server

ip-tunnel dns-server命令用来配置为客户端指定的内网DNS服务器地址。

undo ip-tunnel dns-server命令用来恢复缺省情况。

【命令】

ip-tunnel dns-server { primary | secondary } ip-address

undo ip-tunnel dns-server { primary | secondary }

【缺省情况】

未配置为客户端指定的DNS服务器地址。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

primary:指定主DNS服务器。

secondary:指定备DNS服务器。

ip-address:DNS服务器的IPv4地址,不能是组播、广播、环回地址。

【举例】

# 配置为客户端指定的主DNS服务器地址为1.1.1.1。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] ip-tunnel dns-server primary 1.1.1.1

1.1.44  ip-tunnel interface

ip-tunnel interface命令用来配置IP接入引用的SSL VPN AC接口。

undo ip-tunnel interface命令用来恢复缺省情况。

【命令】

ip-tunnel interface sslvpn-ac interface-number

undo ip-tunnel interface

【缺省情况】

IP接入未引用SSL VPN AC接口。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

sslvpn-ac interface-number:引用的SSL VPN AC接口。interface-number为SSL VPN AC接口编号,取值范围为设备上已创建的SSL VPN AC接口的编号。指定的SSL VPN AC接口必须在设备上已经存在。

【使用指导】

当SSL VPN用户使用IP接入方式访问SSL VPN网关时,网关使用指定的SSL VPN AC接口与客户端通信。网关从SSL VPN AC接口接收到客户端发送的报文后,将报文转发到远端服务器;服务器做出响应后,网关会把应答报文通过SSL VPN AC接口发给客户端。

【举例】

# 指定IP接入引用的接口为SSL VPN AC 100。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] ip-tunnel interface sslvpn-ac 100

【相关命令】

·            interface sslvpn-ac

1.1.45  ip-tunnel keepalive

ip-tunnel keepalive命令用来配置保活报文的发送时间间隔。

undo ip-tunnel keepalive命令用来恢复缺省情况。

【命令】

ip-tunnel keepalive seconds

undo ip-tunnel keepalive

【缺省情况】

保活报文的发送时间间隔为30秒。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

seconds:保活报文的发送间隔时间,取值范围为0~600,单位为秒。如果保活报文发送时间间隔配置为0,则客户端不发送保活报文。

【使用指导】

保活报文由客户端发送给网关,用于维持客户端和网关之间的会话。

如果SSL VPN会话的空闲时间超过timeout idle命令指定的时间,即在该命令指定的时间内,既没有收到客户端发送的数据报文,也没有收到保活报文,则会断开客户端与网关之间的会话。

通常情况下,配置的保活报文发送时间间隔应该小于timeout idle命令配置的最大空闲时间。

【举例】

# 在SSL VPN访问实例ctx下配置保活报文的发送时间间隔为50秒。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] ip-tunnel keepalive 50

1.1.46  ip-tunnel log connection-close

ip-tunnel log connection-close命令用来开启IP接入连接关闭的日志生成功能。

undo ip-tunnel log connection-close命令用来关闭IP接入连接关闭的日志生成功能。

【命令】

ip-tunnel log connection-close

undo ip-tunnel log connection-close

【缺省情况】

IP接入连接关闭的日志生成功能处于关闭状态。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启本功能后,通过IP接入SSL VPN时建立的连接被关闭时,SSL VPN网关会生成日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 开启IP接入连接关闭的日志生成功能。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] ip-tunnel log connection-close

【相关命令】

·            sslvpn context

1.1.47  ip-tunnel web-resource auto-push

ip-tunnel web-resource auto-push命令用来开启IP方式成功登录SSL VPN网关后自动推送资源列表功能。

undo ip-tunnel web-resource auto-push命令用来关闭IP方式成功登录SSL VPN网关后自动推送资源列表功能。

【命令】

ip-tunnel web-resource auto-push

undo ip-tunnel web-resource auto-push

【缺省情况】

IP方式成功登录SSL VPN网关后自动推送资源列表功能处于关闭状态。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【使用指导】     

开启此功能,SSL VPN用户通过IP方式成功登录SSL VPN网关后,设备会自动推送资源列表,以便用户通过Web方式访问所授权的资源。

为使设备推送的资源列表上有内容,需要保证设备上已创建Web接入服务资源。

【举例】

# 在SSL VPN访问实例ctx1下开启IP方式成功登录SSL VPN网关后自动推送资源列表功能。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] ip-tunnel web-resource auto-push

1.1.48  ip-tunnel wins-server

ip-tunnel wins-server命令用来配置为客户端指定的内网WINS服务器地址。

undo ip-tunnel wins-server命令用来恢复缺省情况。

【命令】

ip-tunnel wins-server { primary | secondary } ip-address

undo ip-tunnel wins-server { primary | secondary }

【缺省情况】

未配置为客户端指定的WINS服务器地址。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

primary:配置主WINS服务器。

secondary:配置备WINS服务器。

ip-address:WINS服务器的IPv4地址,不能是组播、广播、环回地址。

【举例】

# 配置为客户端指定的内网主WINS服务器地址为1.1.1.1。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] ip-tunnel wins-server primary 1.1.1.1

1.1.49  ipv6 address

ipv6 address命令用来配置SSL VPN网关的IPv6地址和端口号。

undo ipv6 address命令用来恢复缺省情况。

【命令】

ipv6 address ipv6-address [ port port-number ]

undo ipv6 address

【缺省情况】

未配置SSL VPN网关的IPv6地址和端口号。

【视图】

SSL VPN网关视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6-address:SSL VPN网关的IPv6地址,为以冒号(:)分隔的一连串16比特的十六进制数。

port port-number:指定SSL VPN网关的端口号。port-number取值范围为443、1025~65535,缺省值为443。

【使用指导】

远端接入用户可以通过本命令配置的IPv6地址和端口号访问SSL VPN网关。本命令指定的IPv6地址应为SSL VPN网关上接口的IPv6地址,并需要保证该IPv6地址路由可达。

SSL VPN网关的IPv6地址不能与设备的管理地址相同。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置SSL VPN网关的IPv6地址为200::1、端口号为8000。

<Sysname> system-view

[Sysname] sslvpn gateway gw1

[Sysname-sslvpn-gateway-gw1] ipv6 address 200::1 port 8000

【相关命令】

·            display sslvpn gateway

1.1.50  local-port

local-port命令用来添加一个端口转发实例。

undo local-port命令用来删除指定的端口转发实例。

【命令】

local-port local-port-number local-name local-name remote-server remote-server remote-port remote-port-number [ description text ]

undo local-port

【缺省情况】

不存在端口转发实例。

【视图】

端口转发表项视图

【缺省用户角色】

network-admin

context-admin

【参数】

local-port-number:企业网内的TCP服务映射的本地端口号,取值范围为1~65535。

local-name local-name:指定企业网内的TCP服务映射的本地地址或本地主机名称。local-name为1~253个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。如果local-name为IPv6地址,需要为该地址增加一个中括号,例如:local-name [1234::5678]

remote-server remote-server:指定企业网内TCP服务的IP地址或完整域名。remote-server为为1~253个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。如果remote-server为IPv6地址,需要为该地址增加一个中括号,例如:remote-server [1234::5678]

remote-port remote-port-number:指定企业网内TCP服务的端口号。remote-port-number取值范围为1~65535。

description text:指定端口转发实例的描述信息。description-string为1~63个字符的字符串,区分大小写。

【使用指导】

本命令用来将企业网内的基于TCP的服务(如Telnet、SSH、POP3)映射为SSL VPN客户端上的本地地址和本地端口,以便SSL VPN客户端通过本地地址和本地端口访问企业网内的服务器。例如,执行如下命令,表示在SSL VPN客户端上通过127.0.0.1、端口80可以访问企业网内的HTTP服务器192.168.0.213。

local-port 80 local-name 127.0.0.1 remote-server 192.168.0.213 remote-port 80

添加端口转发实例时,需要注意的是,

·            配置的local-port-number不能与本地已有服务的端口号相同。

·            如果将企业网内的TCP服务映射为本地地址,则建议将本地地址配置为127.0.0.0/8网段的地址;如果映射为本地主机名,SSL VPN的TCP接入客户端软件会在主机文件hosts(C:\Windows\System32\drivers\etc\hosts)中添加主机名对应的IP地址,并在用户退出时恢复原来的主机文件hosts。

·            每个端口转发表项只能添加一个端口转发实例。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置端口转发实例:将企业网内的HTTP服务器192.168.0.213映射为本地地址127.0.0.1、本地端口80。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] port-forward-item pfitem1

[Sysname-sslvpn-context-ctx1-port-forward-item-pfitem1] local-port 80 local-name 127.0.0.1 remote-server 192.168.0.213 remote-port 80 description http

【相关命令】

·            port-forward-item

1.1.51  log resource-access enable

log resource-access enable命令用来开启用户访问资源日志生成功能。

undo log resource-access enable命令用来关闭用户访问资源日志生成功能。

【命令】

log resource-access enable [ brief | filtering ] *

undo log resource-access enable

【缺省情况】

用户访问资源日志生成功能处于关闭状态。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

brief:开启用户访问资源日志摘要功能。当开启该功能后,仅显示访问资源的地址及其端口号,增强日志的可读性。若不指定该参数,当用户访问资源时,日志信息会包含大量网页的构成元素信息。

filtering:开启用户访问资源日志过滤功能。当开启该功能后,1分钟内同一用户重复访问相同资源时仅生成一条日志信息。若不指定该参数,则表示同一用户重复访问相同资源时,均生产日志信息。

【使用指导】

开启本功能后,用户访问资源信息时,SSL VPN网关会生成日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。

用户访问资源日志不会输出到控制台和监视终端。当信息中心配置的规则将用户访问资源日志输出到控制台和监视终端时,若仍需要查看用户访问资源日志,可通过执行display logbuffer命令查看。有关信息中心和display logbuffer命令的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 开启用户访问资源日志生成功能。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] log resource-access enable

1.1.52  log user-login enable

log user-login enable命令用来开启用户上下线日志生成功能。

undo log user-login enable命令用来关闭用户上下线日志生成功能。

【命令】

log user-login enable

undo log user-login enable

【缺省情况】

用户上下线日志生成功能处于关闭状态。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启本功能后,用户上线下线时,SSL VPN网关会生成日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 开启用户上下线生成日志功能。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] log user-login enable

1.1.53  login-message

login-message命令用来配置SSL VPN登录页面的欢迎信息。

undo login-message命令用来恢复缺省情况。

【命令】

login-message { chinese chinese-message | english english-message }

undo login-message { chinese | english }

【缺省情况】

英文登录页面的欢迎信息为“Welcome to SSL VPN”,中文登录页面的欢迎信息为“欢迎进入SSL VPN”。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

chinese chinese-message:指定中文页面的欢迎信息。chinese-message为1~255个字符的字符串,区分大小写。

english english-message:指定英文页面的欢迎信息。english-message为1~255个字符的字符串,区分大小写。

【举例】

# 配置SSL VPN英文页面的欢迎信息为“hello”,中文页面的欢迎信息为“你好”。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] login-message english hello

[Sysname-sslvpn-context-ctx1] login-message chinese 你好

1.1.54  logo

logo命令用来配置SSL VPN页面上显示的logo。

undo logo命令用来恢复缺省情况。

【命令】

logo { file file-name | none }

undo logo

【缺省情况】

SSL VPN页面上显示“H3C”logo图标。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

file file-name:指定logo图标文件。file-name为1~255字符的字符串,不区分大小写。filename指定的logo图标文件必须为gif、jpg或png格式,且不能超过100KB,建议图片尺寸在110*30像素左右。

none:不显示logo图标。

【使用指导】

指定的logo图标文件必须是本地已经存在的文件。

如果指定logo图标文件后,删除该文件,则仍然会显示该文件对应的logo图标。

【举例】

# 配置SSL VPN页面上显示的logo为flash:/mylogo.gif文件对应的logo图标。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] logo file flash:/mylogo.gif

1.1.55  max-onlines

max-onlines命令用来配置同一用户名的同时最大在线数。

undo max-onlines命令用来恢复缺省情况。

【命令】

max-onlines number

undo max-onlines

【缺省情况】

同一用户名的同时最大在线数为32。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

number:SSL VPN的同一用户名同时最大在线数,取值范围为0~1048575,取值为0时表示不限制同一用户的同时最大在线数。

【使用指导】

在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置同一用户名的同时最大在线数为50。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] max-onlines 50

1.1.56  max-users

max-users命令用来配置SSL VPN访问实例的最大会话数。

undo max-users命令用来恢复缺省情况。

【命令】

max-users max-number

undo max-users

【缺省情况】

SSL VPN访问实例的最大会话数为1048575。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

max-number:SSL VPN访问实例的最大会话数,取值范围为1~1048575。

【使用指导】

SSL VPN访问实例下的会话数目达到本命令配置的值后,新的用户将无法登录。

【举例】

# 配置SSL VPN访问实例的最大会话数为500。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] max-users 500

【相关命令】

·            display sslvpn context

1.1.57  message-server

message-server命令用来配置为客户端指定的Message服务器。

undo message-server命令用来恢复缺省情况。

【命令】

message-server address { host-name | ipv4-address } port port-number

undo message-server

【缺省情况】

没有配置为客户端指定的Message服务器。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

address:指定Message服务器的主机名或IPv4地址。

host-name:Message服务器的主机名,为1~127个字符的字符串,可以包含字母、数字、下划线、“-”和“.”,不区分大小写。

ipv4-address:Message服务器的IPv4地址,为点分十进制格式,不能是组播、广播、环回地址。

port port-number:指定Message服务器使用的端口号。port-number取值范围为1025~65535。

【使用指导】

Message服务器用来为移动客户端提供服务。执行本命令后,SSL VPN网关会将配置的Message服务器信息下发给客户端,以便客户端访问Message服务器。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置SSL VPN Context的Message服务器。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] message-server address 10.10.1.1 port 8000

【相关命令】

·            sslvpn context

1.1.58  mtu

mtu命令用来配置接口的MTU值。

undo mtu命令用来恢复缺省情况。

【命令】

mtu size

undo mtu

【缺省情况】

接口的MTU值为1500字节。

【视图】

SSL VPN AC接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

size:接口的MTU值,取值范围为100~64000,单位为字节。

【举例】

# 配置接口SSL VPN AC 1000的MTU值为1430字节。

<Sysname> system-view

[Sysname] interface sslvpn-ac 1000

[Sysname-SSLVPN-AC1000] mtu 1430

1.1.59  new-content

new-content命令用来配置改写之后的文件内容。

undo new-content命令用来恢复缺省情况。

【命令】

new-content string

undo new-content

【缺省情况】

未配置改写之后的文件内容。

【视图】

改写规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

string:改写之后的文件内容,为1~256个字符的字符串,区分大小写。

【使用指导】

在对网页文件进行改写的过程中,首先通过old-content命令配置的string对文件内容进行匹配,匹配成功之后,采用本命令配置的string对文件内容进行替换。

如果改写的文件内容中存在空格,需要使用双引号把文件内容引起来。

【举例】

# 配置改写之后的文件内容。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] file-policy fp

[Sysname-sslvpn-context-ctx-file-policy-fp] rewrite-rule rule1

[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1] new-content sslvpn_rewrite_htmlcode(d)

【相关命令】

·            old-content

1.1.60  oa address

oa address命令用来配置OA认证服务器的IPv4地址和端口号。

undo oa address命令用来恢复缺省情况。

【命令】

oa address ip-address port port-number [ vpn-instance vpn-instance-name ]

undo oa address

【缺省情况】

未配置OA认证服务器的IPv4地址和端口号。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:OA认证服务器的IPv4地址,为点分十进制格式。

port port-number:指定OA认证服务器的端口号,取值范围为1~65535。

vpn-instance vpn-instance-name:OA认证服务器所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该OA认证服务器属于公网。

【使用指导】

在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。

只有在SSL VPN访问实例视图下执行oa enable命令后,本命令所配置的OA认证服务器的IPv4地址和端口号等参数才能生效。

【举例】

# 在SSL VPN访问实例ctx1下配置OA认证服务器的IPv4地址为192.168.10.1,端口号为2000,所属的VPN实例为vpn1。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] oa address 192.168.10.1 port 2000 vpn-instance vpn1

【相关命令】

·            oa enable

1.1.61  oa enable

oa enable命令用来开启OA认证功能。

undo oa enable命令用来关闭OA认证功能。

【命令】

oa enable

undo oa enable

【缺省情况】

OA认证功能处于关闭状态。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启本功能前,需要在SSL VPN访问实例视图下执行oa address命令配置OA认证服务器的IPv4地址和端口号等参数。

开启本功能后,设备会使用OA认证方式对登录SSL VPN网关的用户进行认证,不再进行AAA认证。

【举例】

# 在SSL VPN访问实例ctx1下开启OA认证功能。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] oa enable

【相关命令】

·            oa address

1.1.62  old-content

old-content命令用来配置需要改写的文件内容。

undo old-content命令用来恢复缺省情况。

【命令】

old-content string

undo old-content

【缺省情况】

未配置需要改写的文件内容。

【视图】

改写规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

string:需要改写的文件内容,为1~256个字符的字符串,区分大小写。

【使用指导】

在对网页文件改写的过程中,首先通过本命令配置的string对文件内容进行匹配,匹配成功之后,采用new-content命令配置的改写之后的文件内容对其进行替换。

如果改写的文件内容中存在空格,需要使用双引号把文件内容引起来。

同一文件策略中的不同规则下需要改写的文件内容不能相同。

【举例】

# 配置需要改写的文件内容。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] file-policy fp

[Sysname-sslvpn-context-ctx-file-policy-fp] rewrite rule rule1

[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1] old-content "a.b.c.innerHTML = d;"

【相关命令】

·            new-content

1.1.63  password-authentication enable

password-authentication enable命令用来开启用户名/密码认证功能。

undo password-authentication enable命令用来关闭用户名/密码认证功能。

【命令】

password-authentication enable

undo password-authentication enable

【缺省情况】

用户名/密码认证功能处于开启状态。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 关闭SSL VPN访问实例的用户名/密码认证功能。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] undo password-authentication enable

【相关命令】

·            certificate-authentication enable

·            display sslvpn context

1.1.64  policy-group

policy-group命令用来创建策略组,并进入SSL VPN策略组视图。如果指定的策略组已经存在,则直接进入策略组视图。

undo policy-group命令用来删除指定的策略组。

【命令】

policy-group group-name

undo policy-group group-name

【缺省情况】

不存在策略组。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

group-name:策略组名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。

【使用指导】

策略组包含一系列规则,这些规则为用户定义了资源的访问权限。

一个SSL VPN访问实例下可以配置多个策略组。远端接入用户访问SSL VPN访问实例时,AAA服务器将授权给该用户的策略组信息下发给SSL VPN网关。该用户可以访问的资源由授权的策略组决定。如果AAA服务器没有为该用户进行授权,则用户可以访问的资源由缺省策略组决定。

【举例】

# 创建名为pg1的策略组,并进入SSL VPN策略组视图。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] policy-group pg1

[Sysname-sslvpn-context-ctx1-policy-group-pg1]

【相关命令】

·            default-policy-group

1.1.65  port-forward

port-forward命令用来创建端口转发列表,并进入端口转发列表视图。如果指定的端口转发列表已经存在,则直接进入端口转发列表视图。

undo port-forward命令用来删除指定的端口转发列表。

【命令】

port-forward port-forward-name

undo port-forward port-forward-name

【缺省情况】

不存在端口转发列表。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

port-forward-name:端口转发列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。

【使用指导】

端口转发列表用来为SSL VPN用户提供TCP接入服务。

在转发列表视图下,通过port-forward-item命令可以创建端口转发表项。一个端口转发列表中可以配置多个端口转发表项。

在SSL VPN策略组视图下,通过resources port-forward命令可以配置策略组引用的端口转发列表。SSL VPN用户被授权访问某个策略组后,该策略组引用的端口转发列表指定的TCP接入服务将同时授权给SSL VPN用户,SSL VPN用户可以访问这些TCP接入服务。

【举例】

# 创建端口转发列表pflist1,并进入端口转发列表视图。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] port-forward pflist1

[Sysname-sslvpn-context-ctx1-port-forward-pflist1]

【相关命令】

·            local-port

·            resources port-forward

1.1.66  port-forward-item

port-forward-item命令用来创建端口转发表项,并进入端口转发表项视图。如果指定的端口转发表项已经存在,则直接进入端口转发表项视图。

undo port-forward-item命令用来删除指定的端口转发表项。

【命令】

port-forward-item item-name

undo port-forward-item item-name

【缺省情况】

不存在端口转发表项。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

item-name:端口转发表项名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

端口转发表项用来为SSL VPN用户提供TCP接入服务。

在端口转发表项视图下,需要进行以下配置:

·            通过local-port命令可以创建端口转发实例。端口转发实例将企业网内的基于TCP的服务(如Telnet、SSH、POP3)映射为SSL VPN客户端上的本地地址和本地端口,以便SSL VPN客户端通过本地地址和本地端口访问企业网内的服务器。

·            通过execution命令创建访问企业网内的服务器的资源。

一个端口转发列表中可以配置多个端口转发表项。

在同一端口转发表项视图下,通过execution命令指定的资源必须与local-port命令创建的端口转发实例所对应的资源相同,否则用户无法在Web页面上单击对应的链接访问服务器资源。

【举例】

# 创建端口转发表项pfitem1,并进入端口转发表项视图。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] port-forward-item pfitem1

[Sysname-sslvpn-context-ctx1-port-forward-item-pfitem1]

【相关命令】

·            execution

·            local-port

·            resources port-forward-item

1.1.67  reset counters interface sslvpn-ac

reset counters interface sslvpn-ac命令用来清除SSL VPN AC接口的统计信息。

【命令】

reset counters interface [ sslvpn-ac [ interface-number ] ]

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

interface-number:SSL VPN AC接口的编号,取值范围为0~4095。

【使用指导】

在某些情况下,需要统计一定时间内某接口的流量,这就需要在统计开始前清除该接口原有的统计信息,重新进行统计。

如果不指定接口类型sslvpn-ac,则清除所有接口的统计信息。

如果指定接口类型,不指定接口编号interface-number,则清除所有SSL VPN AC接口的统计信息。

如果同时指定接口类型和接口编号,则清除指定SSL VPN AC接口的统计信息。

【举例】

# 清除接口SSL VPN AC 1000的统计信息。

<Sysname> reset counters interface sslvpn-ac 1000

【相关命令】

·            display interface sslvpn-ac

1.1.68  reset sslvpn ip-tunnel statistics

reset sslvpn ip-tunnel statistics命令用来清除通过IP接入的SSL VPN用户的报文统计信息。

【命令】

reset sslvpn ip-tunnel statistics [ context context-name [ session session-id ] ]

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

context context-name:清除指定SSL VPN访问实例下通过IP接入的SSL VPN用户的报文统计信息。context-name表示SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则清除所有SSL VPN访问实例下通过IP接入的SSL VPN用户的报文统计信息。

session session-id:清除指定会话ID的SSL VPN用户的IP接入报文统计信息。session-id表示SSL VPN用户会话标识,取值范围为1~4294967295。如果不指定本参数,则清除指定的SSL VPN访问实例下所有通过IP接入的SSL VPN用户的报文统计信息。

【使用指导】

SSL VPN访问实例名和会话ID可以通过display sslvpn session来查看。如果不指定任何参数,则表示清除所有SSL VPN访问实例下的所有用户的IP接入报文统计信息。

【举例】

# 清除所有SSL VPN访问实例下通过IP接入的SSL VPN用户的报文统计信息。

<Sysname> reset sslvpn ip-tunnel statistics

# 清除SSL VPN访问实例ctx1下通过IP接入的SSL VPN用户的报文统计信息。

<Sysname> reset sslvpn ip-tunnel statistics context ctx1

# 清除SSL VPN访问实例ctx1下会话ID为1的SSL VPN用户的IP接入报文统计信息。

<Sysname> reset sslvpn ip-tunnel statistics context ctx1 session 1

【相关命令】

·            display sslvpn ip-tunnel statistics

·            display sslvpn session

1.1.69  resources port-forward

resources port-forward命令用来配置策略组引用端口转发列表。

undo resources port-forward命令用来取消策略组引用端口转发列表。

【命令】

resources port-forward port-forward-name

undo resources port-forward

【缺省情况】

策略组没有引用任何端口转发列表。

【视图】

SSL VPN策略组视图

【缺省用户角色】

network-admin

context-admin

【参数】

port-forward-name:端口转发列表名称,为1~31个字符的字符串,支持输入中文字符,且必须已经存在。

【使用指导】

SSL VPN用户被授权访问某个策略组后,该策略组引用的端口转发列表指定的TCP接入服务将同时授权给SSL VPN用户,SSL VPN用户可以访问这些TCP接入服务。

【举例】

# 配置策略组pg1引用端口转发列表pflist1。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] policy-group pg1

[Sysname-sslvpn-context-ctx1-policy-group-pg1] resources port-forward pflist1

【相关命令】

·            local-port

·            port-forward

1.1.70  resources port-forward-item

resources port-forward-item命令用来配置端口转发列表引用端口转发表项。

undo resources port-forward-item命令用来取消端口转发列表引用的端口转发表项。

【命令】

resources port-forward-item item-name

undo resources port-forward-item item-name

【缺省情况】

端口转发列表未引用任何端口转发表项。

【视图】

端口转发列表视图

【缺省用户角色】

network-admin

context-admin

【参数】

item-name:端口转发表项名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

本命令引用的端口转发表项必须先通过port-forward-item命令创建。

一个端口转发列表可以引用多条端口转发表项。

【举例】

# 配置端口转发列表pflist1引用端口转发表项pfitem1。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] port-forward-item pfitem1

[Sysname-sslvpn-context-ctx1-port-forward-pflist1-port-forward-item-pfitem1] quit

[Sysname-sslvpn-context-ctx1] port-forward pflist1

[Sysname-sslvpn-context-ctx1-port-forward-pflist1] resources port-forward-item pfitem1

【相关命令】

·            port-forward-item

1.1.71  resources shortcut

resources shortcut命令用来配置快捷方式列表引用快捷方式。

undo resources shortcut命令用来取消快捷方式列表引用的快捷方式。

【命令】

resources shortcut shortcut-name

undo resources shortcut shortcut-name

【缺省情况】

快捷方式列表未引用任何快捷方式。

【视图】

快捷方式列表视图

【缺省用户角色】

network-admin

context-admin

【参数】

shortcut-name:快捷方式名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

在快捷方式列表视图下,可以引用多条快捷方式。

【举例】

# 配置快捷方式列表list1引用快捷方式shortcut1。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] shortcut shortcut1

[Sysname-sslvpn-context-ctx1-shortcut-shortcut1] quit

[Sysname-sslvpn-context-ctx1] shortcut-list list1

[Sysname-sslvpn-context-ctx1-shortcut-list-list1] resources shortcut shortcut1

1.1.72  resources shortcut-list

resources shortcut-list命令用来配置策略组引用快捷方式列表。

undo resources shortcut-list命令用来恢复缺省情况。

【命令】

resources shortcut-list list-name

undo resources shortcut-list

【缺省情况】

策略组未引用任何快捷方式列表。

【视图】

SSL VPN策略组视图

【缺省用户角色】

network-admin

context-admin

【参数】

list-name:快捷方式列表名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

SSL VPN用户被授权访问某个策略组后,该策略组引用的快捷方式列表将显示在SSL VPN用户的Web页面上,SSL VPN用户可以单击这些快捷方式访问资源。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置策略组pg1引用快捷方式列表list1。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] shortcut-list list1

[Sysname-sslvpn-context-ctx1-shortcut-list-list1] quit

[Sysname-sslvpn-context-ctx1] policy-group pg1

[Sysname-sslvpn-context-ctx1-policy-group-pg1] resources shortcut-list list1

1.1.73  resources uri-acl

resources uri-acl命令用来配置过滤URL资源的URI ACL。

undo resources uri-acl命令用来删除过滤URL资源的URI ACL。

【命令】

resources uri-acl uri-acl-name

undo resources uri-acl

【缺省情况】

不对URL资源进行过滤。

【视图】

URL表项视图

【缺省用户角色】

network-admin

context-admin

【参数】

uri-acl-name:指定过滤URL内容的URI ACL的名称,为1~31个字符的字符串,不区分大小写。引用的URI ACL必须已经存在。

【使用指导】

此命令用于对访问的URL资源进行更精细的控制。

【举例】

# 配置过滤URL资源的URI ACL为abc。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] url-item serverA

[Sysname-sslvpn-context-ctx1-url-item-serverA] resources uri-acl abc

【相关命令】

·            uri-acl

1.1.74  resources url-item

resources url-item命令用来配置URL列表引用的URL表项。

undo resources url-item命令用来删除URL列表引用的URL表项。

【命令】

resources url-item url-item-name

undo resources url-item url-item-name

【缺省情况】

未引用URL表项。

【视图】

URL列表视图

【缺省用户角色】

network-admin

context-admin

【参数】

url-item-name:表示URL表项的名称,为1~31个字符的字符串,不区分大小写。引用的URL表项必须已存在。

【使用指导】

一个URL列表可以引用多个URL表项。

【举例】

# 创建URL列表list1,引用名为serverA的表项。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] url-list list1

[Sysname-sslvpn-context-ctx1-url-list-list1] resources url-item serverA

【相关命令】

·            url-item

1.1.75  resources url-list

resources url-list命令用来配置策略组引用URL列表。

undo resources url-list命令用来取消策略组引用URL列表。

【命令】

resources url-list url-list-name

undo resources url-list url-list-name

【缺省情况】

策略组没有引用任何URL列表。

【视图】

SSL VPN策略组视图

【缺省用户角色】

network-admin

context-admin

【参数】

url-list-name:URL列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符,且必须已经存在。

【使用指导】

在Web接入模式下,配置策略组引用URL列表后,远端用户可以使用浏览器访问URL列表下的URL资源。

【举例】

# 配置策略组pg1引用URL列表url1。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] policy-group pg1

[Sysname-sslvpn-context-ctx1-policy-group-pg1] resources url-list url1

【相关命令】

·            sslvpn context

·            policy-group

·            url-list

1.1.76  rewrite-rule

rewrite-rule命令用来创建改写规则,并进入改写规则视图。如果指定的改写规则已经存在,则直接进入该改写规则视图。

undo rewrite-rule命令用来删除指定的改写规则。

【命令】

rewrite-rule rule-name

undo rewrite-rule rule-name

【缺省情况】

不存在改写规则。

【视图】

文件策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-name:改写规则名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

同一个文件策略视图中可以配置多个改写规则。

【举例】

# 创建改写规则rule1,并进入改写规则视图。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] file-policy fp

[Sysname-sslvpn-context-ctx-file-policy-fp] rewrite-rule rule1

[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1]

1.1.77  rule

rule命令用来创建URI ACL规则。

undo rule命令用来删除指定的URI ACL规则。

【命令】

rule [ rule-id ] { deny | permit } uri uri-pattern-string

undo rule rule-id

【缺省情况】

不存在URL ACL规则。

【视图】

URI ACL视图

【缺省用户角色】

network-admin

context-admin

【参数】

deny:表示拒绝符合条件的报文。

permit:表示允许符合条件的报文。

rule-id:规则ID,取值范围为0~65534,步长为5。若未指定本参数,自动分配一个大于现有最大编号的最小编号。例如现有规则的最大编号为28,那么自动分配的新编号将是30。

uri:指定URI形式字符串。

uri-pattern-string:URI匹配字段,为不超过256个字符的字符串。格式为protocol://host:port/pathprotocolhost必须指定。格式中各字段详细的取值情况,见表1-13

表1-13 URI匹配字段说明

字段

描述

protocol

协议名称,取值包括:

·         http

·         https

·         tcp

·         udp

·         icmp

·         ip

host

主机IP地址或域名

1.       支持的主机地址格式如下:

·         IPv4地址或IPv6地址,例如:192.168.1.1

·         使用字符-表示的IPv4地址或IPv6地址地址范围,例如:3.3.3.1-3.3.3.200

·         指定子网掩码长度的IPv4地址或指定前缀长度的IPv6地址,例如2.2.2.2/24

以上三种格式的组合,使用逗号分隔,例如:192.168.1.1,3.3.3.1-3.3.3.200,2.2.2.2/24

2.       支持的域名格式如下:

·         精确的主机域名,例如www.domain.com

·         包含通配符的主机域名。支持的通配符包括:

¡  *:匹配零个或多个任意字符,例如:*.com

¡  ?:匹配单个任意字符,例如:www.do?main.com

¡  %:匹配本级域名为任意字符,例如:www.%.com

port

主机端口。若未指定,则使用该协议的缺省端口号。支持的端口格式如下:

·         单个端口,例如:1002

·         使用字符-表示的端口范围,例如:8080-8088

以上两种格式的组合,使用逗号分隔,例如:1002,90,8080-8088

path

主机上的文件或目录,以一个或多个/或\分隔的路径。路径支持的通配符包括:

·         *:匹配零个或多个任意字符,例如:/path1/*

·         ?:匹配单个任意字符,例如:/path?/

·         %:匹配本级域名为任意字符,例如:/path1/%/

 

【使用指导】

URI ACL在匹配过滤时会按照规则ID从小到大的顺序依次匹配报文,一旦匹配上某条规则便结束匹配过程。

【举例】

# 在URI ACL视图下,配置一条URI ACL规则。

<Sysname> system-view

[Sysname] sslvpn context abc

[Sysname-sslvpn-context-abc] uri-acl uriacla

[Sysname-sslvpn-context-abc-uri-acl-uriacla] rule 1 permit uri http://*.abc.com:80,443,2000-5000/path/

1.1.78  service enable (SSL VPN context view)

service enable命令用来开启SSL VPN访问实例。

undo service enable命令用来关闭SSL VPN访问实例。

【命令】

service enable

undo service enable

【缺省情况】

SSL VPN访问实例处于关闭状态。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 开启名为ctx1的SSL VPN访问实例。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] service enable

【相关命令】

·            display sslvpn context

1.1.79  service enable (SSL VPN gateway view)

service enable命令用来开启SSL VPN网关。

undo service enable命令用来关闭SSL VPN网关。

【命令】

service enable

undo service enable

【缺省情况】

SSL VPN网关处于关闭状态。

【视图】

SSL VPN网关视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 开启SSL VPN网关。

<Sysname> system-view

[Sysname] sslvpn gateway gw1

[Sysname-sslvpn-gateway-gw1] service enable

【相关命令】

·            display sslvpn gateway

1.1.80  session-connections

session-connections命令用来配置每个会话的最大连接数。

undo session-connections命令用来恢复缺省情况。

【命令】

session-connections number

undo session-connections

【缺省情况】

每个会话的同时最大连接数为64。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

number:SSL VPN访问实例下,单个会话的最大连接数,取值范围为0、10~1000。取值为0时表示不限制单个会话的最大连接数。

【使用指导】

SSL VPN会话收到报文时,如果收到报文的单板/设备上该会话的连接数超过单个会话的最大连接数,则回应客户端503 Service Unavailable,并关闭该连接。

在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置SSL VPN的单个会话的最大连接数为10。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] session-connections 10

1.1.81  shortcut

shortcut命令用来创建快捷方式,并进入快捷方式视图。如果指定的快捷方式已经存在,则直接进入快捷方式视图。

undo shortcut命令用来删除指定的快捷方式。

【命令】

shortcut shortcut-name

undo shortcut shortcut-name

【缺省情况】

不存在快捷方式。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

shortcut-name:快捷方式名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

在快捷方式视图下,通过execution命令配置访问的资源后,SSL VPN用户在Web页面上通过该快捷方式可以快速该访问资源。

【举例】

# 创建快捷方式shortcut1,并进入快捷方式视图。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] shortcut shortcut1

[Sysname-sslvpn-context-ctx1-shortcut-shortcut1]

1.1.82  shortcut-list

shortcut-list命令用来创建快捷方式列表,并进入快捷方式列表视图。如果指定的快捷方式列表已经存在,则直接进入快捷方式列表视图。

undo shortcut-list命令用来删除指定的快捷方式列表。

【命令】

shortcut-list list-name

undo shortcut-list list-name

【缺省情况】

不存在快捷方式列表。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

list-name:快捷方式列表名称,为1~31个字符的字符串,不区分大小写。

【举例】

# 创建快捷方式列表list1,并进入快捷方式列表视图。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] shortcut-list list1

[Sysname-sslvpn-context-ctx1-shortcut-list-list1]

1.1.83  shutdown

shutdown命令用来关闭接口。

undo shutdown命令用来开启接口。

【命令】

shutdown

undo shutdown

【缺省情况】

SSL VPN AC接口均处于开启状态。

【视图】

SSL VPN AC接口视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 关闭接口SSL VPN AC 1000。

<Sysname> system-view

[Sysname] interface sslvpn-ac 1000

[Sysname-SSLVPN-AC1000] shutdown

1.1.84  sms-imc address

sms-imc address命令用来配置短信验证使用的iMC服务器的IP地址和端口号。

undo sms-imc address命令用来恢复缺省情况。

【命令】

sms-imc address ip-address port port-number [ vpn-instance vpn-instance-name ]

undo sms-imc address

【缺省情况】

未配置短信验证使用的iMC服务器的IP地址和端口号。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:短信验证使用的iMC服务器的IP地址,为点分十进制格式。

port port-number:短信验证使用的iMC服务器的端口号,取值范围为1~65535。

vpn-instance vpn-instance-name:短信验证使用的iMC服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示该iMC服务器属于公网。

【使用指导】

在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置ctx1下用户进行短信验证使用的iMC服务器的IP地址为192.168.10.1,端口号为2000,关联VPN实例vpn1。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] sms-imc address 192.168.10.1 port 2000 vpn-instance vpn1

【相关命令】

·            sms-imc enable

1.1.85  sms-imc enable

sms-imc enable命令用来开启iMC短信验证服务。

undo sms-imc enable命令用来关闭iMC短信验证服务。

【命令】

sms-imc enable

undo sms-imc enable

【缺省情况】

iMC短信验证服务处于关闭状态。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

本功能需要在iMC服务器上提前配置好短信验证功能。

开启iMC短信验证服务后,当用户采用Web或IP接入方式,登录SSL VPN网关进行身份验证时,可以在Web页面或iNode客户端获取短信验证码。具体过程为:

(1)       SSL VPN网关从登录请求中获取验证码请求发给iMC服务器。

(2)       iMC服务器将短信验证码通过短信发到用户手机。

(3)       用户在登录时输入获取的短信验证码及用户名和密码,通过iMC服务器进行身份验证。

【举例】

# 开启iMC短信验证服务。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] sms-imc enable

【相关命令】

·            sms-imc address

1.1.86  ssl client-policy

ssl client-policy命令用来配置SSL VPN访问实例引用的SSL客户端策略。

undo ssl client-policy命令用来恢复缺省情况。

【命令】

ssl client-policy policy-name

undo ssl client-policy

【缺省情况】

缺省情况下,SSL客户端策略支持的加密套件为dhe_rsa_aes_128_cbc_shadhe_rsa_aes_256_cbc_sharsa_3des_ede_cbc_sharsa_aes_128_cbc_sharsa_aes_256_cbc_sha

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:表示SSL客户端策略名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

执行本配置后,SSL VPN网关将使用指定的SSL客户端策略与HTTPS类型的Web服务器建立连接。

SSL VPN访问实例只能引用一个SSL客户端策略。多次执行本命令,最后一次执行的命令生效,但新的配置不会立即生效。请先通过undo service enable命令关闭SSL VPN访问实例,再执行service enable命令开启SSL VPN访问实例后,新的配置才会生效。

有关SSL客户端策略的详细介绍,请参见“安全配置指导”中的“SSL”。

【举例】

# 配置SSL VPN访问实例ctx1引用SSL客户端策略abc。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] ssl client-policy abc

1.1.87  ssl server-policy

ssl server-policy命令用来配置SSL VPN网关引用SSL服务器端策略。

undo ssl server-policy命令用来取消SSL VPN网关引用SSL服务器端策略。

【命令】

ssl server-policy policy-name

undo ssl server-policy

【缺省情况】

SSL VPN网关引用自签名证书的SSL服务器端策略。

【视图】

SSL VPN网关视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:SSL VPN网关引用的SSL服务器端策略名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

通过本命令指定SSL VPN网关引用的SSL服务器端策略后,SSL VPN网关将采用该策略下的参数与远端接入用户建立SSL连接。

SSL VPN网关只能引用一个SSL服务器端策略。多次执行本命令,最后一次执行的命令生效,但新的配置不会立即生效。只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令开启SSL VPN网关后,新的配置才会生效。

当修改引用的SSL服务器端策略的相关属性后,只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令开启SSL VPN网关后,新的策略才会生效。

【举例】

# 配置SSL VPN网关gw1引用SSL服务器端策略CA_CERT。

<Sysname> system-view

[Sysname] sslvpn gateway gw1

[Sysname-sslvpn-gateway-gw1] ssl server-policy CA_CERT

【相关命令】

·            display sslvpn gateway

1.1.88  sslvpn context

sslvpn context命令用来创建SSL VPN访问实例,并进入SSL VPN访问实例视图。如果指定的SSL VPN访问实例已经存在,则直接进入SSL VPN访问实例视图。

undo sslvpn context命令用来删除指定的SSL VPN访问实例。

【命令】

sslvpn context context-name

undo sslvpn context context-name

【缺省情况】

不存在SSL VPN访问实例。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

context-name:SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。

【使用指导】

SSL VPN访问实例用来管理用户会话、用户可以访问的资源、用户认证方式等。一个SSL VPN网关可以被多个SSL VPN访问实例引用,不同SSL VPN访问实例对应不同的资源。远端接入用户登录SSL VPN网关后可以访问的资源,由该用户所属的SSL VPN访问实例决定。

【举例】

# 创建名为ctx1的SSL VPN访问实例,并进入SSL VPN访问实例视图。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1]

【相关命令】

·            display sslvpn context

1.1.89  sslvpn gateway

sslvpn gateway命令用来创建SSL VPN网关,并进入SSL VPN网关视图。如果指定的SSL VPN网关已经存在,则直接进入SSL VPN网关视图。

undo sslvpn gateway命令用来删除指定的SSL VPN网关。

【命令】

sslvpn gateway gateway-name

undo sslvpn gateway gateway-name

【缺省情况】

不存在SSL VPN网关。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

gateway-name:SSL VPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。

【使用指导】

SSL VPN网关位于远端接入用户和企业内部网络之间,负责在二者之间转发报文。SSL VPN网关与远端接入用户建立SSL连接,并对接入用户进行身份认证。远端接入用户的访问请求只有通过SSL VPN网关的安全检查和认证后,才会被SSL VPN网关转发到企业网络内部,从而实现对企业内部资源的保护。

在SSL VPN网关视图下,需要进行以下配置:

·            通过ip address命令指定SSL VPN网关的IP地址和端口号,以便远端接入用户通过该IP地址和端口号访问SSL VPN网关。

·            通过ssl server-policy命令指定SSL VPN网关引用的SSL服务器端策略,以便SSL VPN网关采用该策略下的参数与远端接入用户建立SSL连接。

·            通过service enable命令开启SSL VPN网关。

如果SSL VPN网关被SSL VPN访问实例引用,则该SSL VPN网关不能被删除。请先通过undo gateway命令取消引用,再执行本命令删除SSL VPN网关。

【举例】

# 创建SSL VPN网关gw1,并进入SSL VPN网关视图。

<Sysname> system-view

[Sysname] sslvpn gateway gw1

[Sysname-sslvpn-gateway-gw1]

【相关命令】

·            display sslvpn gateway

1.1.90  sslvpn ip address-pool

sslvpn ip address-pool命令用来创建地址池。

undo sslvpn ip address-pool命令用来删除指定的地址池。

【命令】

sslvpn ip address-pool pool-name start-ip-address end-ip-address

undo sslvpn ip address-pool pool-name

【缺省情况】

不存在地址池。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

pool-name:地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。

start-ip-address end-ip-address:表示地址池的起始地址和结束地址,结束地址必须大于起始地址。起始地址和结束地址均不能是组播、广播、环回地址。

【使用指导】

本命令创建的地址池可以被SSLVPN访问实例和策略组引用,SSL VPN网关将从引用的地址池中选择地址、分配给IP接入方式的客户端。

【举例】

# 创建地址池pool1,指定地址范围为10.1.1.1~10.1.1.254。

<Sysname> system-view

[Sysname] sslvpn ip address-pool pool1 10.1.1.1 10.1.1.254

【相关命令】

·            ip-tunnel address-pool (SSL VPN context view)

·            ip-tunnel address-pool (SSL VPN policy group view)

1.1.91  sslvpn log enable

sslvpn log enable命令用来开启SSL VPN全局日志生成功能。

undo sslvpn log enable命令用来关闭SSL VPN全局日志生成功能。

【命令】

sslvpn log enable

undo sslvpn log enable

【缺省情况】

SSL VPN全局日志生成功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启本功能后,SSL VPN网关会生成一些全局日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。

目前触发SSL VPN生成全局日志的事件有:

·            不存在可以访问的访问实例。

·            访问未使能的访问实例。

【举例】

# 开启SSL VPN全局日志生成功能。

<Sysname> system-view

[Sysname] sslvpn log enable

1.1.92  sslvpn webpage-customize

sslvpn webpage-customize命令用来设置SSL VPN全局页面模板。

undo sslvpn webpage-customize命令用来恢复缺省情况。

【命令】

sslvpn webpage-customize template-name

undo sslvpn webpage-customize

【缺省情况】

SSL VPN页面为系统缺省页面。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

template-name:页面模板的名称,为1~31的字符串,不能包括下列任何字符“/”、“\”、“|”、“:”、“*”、““”、“?”、“<”和“>”。

【使用指导】

本功能用来设置SSL VPN网关登录页面和资源页面使用的全局页面模板,该模板可以是预定义页面模板,也可以是自定义页面模板。

需要通过Web网管页面上传和下载页面模板。可以通过下载预定义的模板,来编辑自定义的模板。

通过display sslvpn webpage-customize template命令可以查看目前系统中所有的SSL VPN页面模板。

当在访问实例下配置了定制页面时,优先使用访问实例下的配置。

【举例】

# 设置SSL VPN页面使用的页面模板为template1。

<Sysname> system-view

[Sysname] sslvpn webpage-customize template1

【相关命令】

·            display sslvpn webpage-customize template

·            webpage-customize

1.1.93  timeout idle

timeout idle命令用来配置SSL VPN会话保持空闲状态的最长时间。

undo timeout idle命令用来恢复缺省情况。

【命令】

timeout idle minutes

undo timeout idle

【缺省情况】

SSL VPN会话保持空闲状态的最长时间为30分钟。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

minutes:SSL VPN会话保持空闲状态的最长时间,取值范围为1~1440,单位为分钟。

【使用指导】

如果SSL VPN会话保持空闲状态的时间超过本命令配置的值,则将断开该会话。

【举例】

# 配置SSL VPN会话保持空闲状态的最长时间为50分钟。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] timeout idle 50

【相关命令】

·            display sslvpn policy-group

1.1.94  title

title命令用来配置SSL VPN页面的标题信息。

undo title命令用来恢复缺省情况。

【命令】

title { chinese chinese-title | english english-title }

undo title { chinese | english }

【缺省情况】

SSL VPN页面的标题为“SSL VPN”。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

chinese chinese-title:指定中文页面的标题信息。chinese-title为1~255个字符的字符串,区分大小写。

english english-title:指定英文页面的标题信息。english-title为1~255个字符的字符串,区分大小写。

【举例】

# 配置SSL VPN英文页面的标题信息为“SSL VPN service for company A”,中文页面的标题信息为“公司A的SSL VPN服务”。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] title english SSL VPN service for company A

[Sysname-sslvpn-context-ctx1] title chinese公司A的SSL VPN服务

1.1.95  uri-acl

uri-acl命令用来创建URI ACL,并进入URI ACL视图。如果指定的URI ACL已经存在,则直接进入URI ACL视图。

undo uri-acl命令用来删除指定的URI ACL。

【命令】

uri-acl uri-acl-name

undo uri-acl uri-acl-name

【缺省情况】

不存在URI ACL。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

uri-acl-name:URI ACL名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

此命令创建URI形式的ACL,用于对SSL VPN的各种接入方式进行更精细的控制。对URL进行匹配,符合要求的URL请求可以访问对应的资源。

在一个SSL VPN访问实例视图中可以配置多个URI ACL。

【举例】

# 创建名称为uriacla的URI ACL,并进入URI ACL视图。

<Sysname> system-view

[Sysname] sslvpn context abc

[Sysname-sslvpn-context-abc] uri-acl uriacla

[Sysname-sslvpn-context-abc-uri-acl-uriacla]

1.1.96  url (file policy view)

url命令用来配置文件策略应用的URL地址。

undo url命令用来恢复缺省情况。

【命令】

url url

undo url

【缺省情况】

不存在文件策略应用的URL地址。

【视图】

文件策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

url:表示文件策略应用的完整路径,为1~256个字符的字符串,不区分大小写。

【使用指导】

只有配置的url与网关正在处理的网页文件的URL相同时,才会根据文件策略中的配置对该网页文件内容进行改写。

完整URL的语法为scheme://user:password@host:port/path,其含义如下:

·            scheme:表示访问服务器以获取资源时使用的协议类型,目前支持HTTP和HTTPS。

·            user:password:访问资源时需要提供的用户名和密码。

·            host:资源服务器的主机名或IPv4/IPv6地址。如果URL中包含IPv6地址,需要为该IPv6地址增加一个中括号,例如:http://[1234::5678]:8080/a.html。

·            port:资源服务器正在监听的端口号。大多数协议类型都有默认的端口号(例如:HTTP为80、HTTPS为443等)。

·            path:服务器上资源的本地路径。

每个文件策略只能创建一个URL。同一SSL VPN访问实例下不同文件策略下的URL不能相同。

【举例】

# 配置文件策略fp应用的URL地址。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] file-policy fp

[Sysname-sslvpn-context-ctx-file-policy-fp] url http://192.168.1.1:8080/js/test.js

1.1.97  url (url item view)

url命令用来配置资源的URL。

undo url命令用来删除资源的URL。

【命令】

url url

undo url

【缺省情况】

URL表项中不存在资源的URL。

【视图】

URL表项视图

【缺省用户角色】

network-admin

context-admin

【参数】

url:表示URL表项中资源的URL,为1~253个字符的字符串,不区分大小写。

【使用指导】

一个URL由协议类型、主机名或地址、端口号、资源路径四部分组成,完整格式为“协议类型://主机名称或地址:端口号/资源路径”。

协议类型目前仅支持HTTP和HTTPS,如果没有指定,协议类型缺省为HTTP。

每一种协议类型都有一个缺省的端口号,例如HTTP缺省端口号为80,HTTPS缺省端口号为443。

如果URL中包含IPv6地址,需要为该IPv6地址增加一个中括号,例如http://[1234::5678]:8080。

多次执行本命令,最后一次执行的生效。

【举例】

# 在URL表项serverA中配置资源的URL为www.abc.com。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] url-item serverA

[Sysname-sslvpn-context-ctx1-url-item-serverA] url www.abc.com

1.1.98  url-item

url-item命令用来创建URL表项,并进入URL表项视图。如果指定的URL表项已经存在,则直接进入URL表项视图。

undo url-item命令用来删除指定的URL表项。

【命令】

url-item url-item-name

undo url-item url-item-name

【缺省情况】

SSL VPN访问实例下不存在URL表项。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

url-item-name:表示URL表项的名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

可以在同一个SSL VPN访问实例下创建多个URL表项,被URL列表引用的URL表项无法被删除。

URL表项名称即URL对应的链接名。

【举例】

# 创建名称为serverA的URL表项,并进入URL表项视图。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] url-item serverA

[Sysname-sslvpn-context-ctx1-url-item-serverA]

1.1.99  url-list

url-list命令用来创建URL列表并进入URL列表视图。如果指定的URL列表已经存在,则直接进入URL列表视图。

undo url-list命令用来删除URL列表。

【命令】

url-list name

undo url-list name

【缺省情况】

不存在URL列表。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

name:URL列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。

【举例】

# 创建名为url1的URL列表,并进入URL列表视图。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] url-list url1

[Sysname-sslvpn-context-ctx1-url-list-url1]

【相关命令】

·            sslvpn context

1.1.100  url-mapping

url-mapping命令用来配置URL资源的映射方式。

undo url-mapping命令用来恢复缺省情况。

【命令】

url-mapping { domain-mapping domain-name | port-mapping gateway gateway-name [ virtual-host virtual-host-name ] } [ rewrite-enable ]

undo url-mapping

【缺省情况】

URL资源的映射方式为常规映射。

【视图】

URL表项视图

【缺省用户角色】

network-admin

context-admin

【参数】

domain-mapping domain-name:域名映射方式,domain-name表示映射的域名,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。配置的映射域名不能和SSL VPN网关的域名相同。

port-mapping gateway gateway-name:端口映射方式,gateway-name表示引用的SSL VPN网关名,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。引用的SSL VPN网关名必须已存在。

virtual-host virtual-host-name:虚拟主机名称,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。若不指定此参数,则表示对SSL VPN网关的引用方式为独占引用。

rewrite-enable:开启改写功能。开启此功能后,若内网服务器的回应报文中存在其他授权给用户的内网服务器的URL,则SSL VPN网关会使用这些URL自身的映射方式改写回应报文的内容。缺省情况下SSL VPN网关不对服务器应答报文中的URL进行改写。建议用户开启此功能。

【使用指导】

缺省情况下SSL VPN网关会对URL进行常规映射,目前仅支持对HTML、CSS和JS类型的文件进行映射。常规映射可能会造成URL映射遗漏和映射错误等问题,从而导致SSL VPN客户端不能访问内网资源。因此可以通过配置域名映射或端口映射的方式解决此问题。

在配置域名映射时,需保证SSL VPN客户端可以解析到配置的映射域名(通过DNS解析或者在客户端上添加相应Hosts条目等方式皆可),映射域名对应的IP地址为当前SSL VPN网关的IP地址。

在配置端口映射时,引用的SSL VPN网关可以为任意已存在的SSL VPN网关。但若以独占方式引用SSL VPN网关,则该网关不允许被其他访问实例或URL表项引用。

多次执行本命令,最后一次执行的生效。

【举例】

# 配置表项名为serverA,URL为www.server.com,访问方式为域名映射,映射的域名为www.domain.com,同时开启URL改写功能。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] url-item serverA

[Sysname-sslvpn-context-ctx1-url-item-serverA] url www.server.com

[Sysname-sslvpn-context-ctx1-url-item-serverA] url-mapping domain-mapping www.domain.com rewrite-enable

# 配置表项名为serverB,URL为www.server.com,访问方式为端口映射,以虚拟主机名方式引用网关gw1,同时开启URL改写功能。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] url-item serverB

[Sysname-sslvpn-context-ctx1-url-item-serverB] url www.server.com

[Sysname-sslvpn-context-ctx1-url-item-serverB] url-mapping port-mapping gateway gw1 virtual-host host1 rewrite-enable

【相关命令】

·            url-item

·            url

1.1.101  user

user命令用来创建SSL VPN用户,并进入SSL VPN用户视图。如果指定的SSL VPN用户已经存在,则直接进入该SSL VPN用户视图。

undo user命令用来删除指定的SSL VPN用户。

【命令】

user username

undo user username

【缺省情况】

不存在SSL VPN用户。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

username:表示SSL VPN用户名,为1~63个字符的字符串,区分大小写,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”。

【使用指导】

一个SSL VPN访问实例中可以配置多个SSL VPN用户。

【举例】

# 创建名为user1的SSL VPN用户,并进入SSL VPN用户视图。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] user user1

[Sysname-sslvpn-context-ctx-user-user1]

1.1.102  verify-code

verify-code enable命令用来开启验证码验证功能。

undo verify-code enable命令用来关闭验证码验证功能。

【命令】

verify-code enable

undo verify-code enable

【缺省情况】

验证码验证功能处于关闭状态。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启验证码验证后,用户登录时需要输入验证码。只有验证码验证成功后,才允许用户登录SSL VPN页面。

【举例】

# 开启验证码验证功能。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] verify-code enable

1.1.103  vpn-instance (SSL VPN context view)

vpn-instance命令用来配置SSL VPN访问实例关联的VPN实例。

undo vpn-instance命令用来恢复缺省情况。

【命令】

vpn-instance vpn-instance-name

undo vpn-instance

【缺省情况】

SSL VPN访问实例关联公网。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

vpn-instance-name:SSL VPN访问实例关联的VPN实例名称,为1~31个字符的字符串,区分大小写。

【使用指导】

执行本命令后,SSL VPN访问实例包含的资源将属于关联的VPN实例。

每个SSL VPN访问实例只能关联一个VPN实例。

SSL VPN访问实例可以关联不存在的VPN实例,但该SSL VPN访问实例会处于未生效的状态。待VPN实例创建后,SSL VPN访问实例进入生效状态。

如果配置修改关联的VPN实例,则该访问实例下的所有用户绑定IP地址的配置均会被删除。

【举例】

# 配置名为contex1的SSL VPN访问实例关联VPN实例vpn1。

<Sysname> System-view

[Sysname] sslvpn context context1

[Sysname-sslvpn-context-context1] vpn-instance vpn1

1.1.104  vpn-instance (SSL VPN gateway view)

vpn-instance命令用来配置SSL VPN网关所属的VPN实例。

undo vpn-instance命令用来恢复缺省情况。

【命令】

vpn-instance vpn-instance-name

undo vpn-instance

【缺省情况】

SSL VPN网关属于公网。

【视图】

SSL VPN网关视图

【缺省用户角色】

network-admin

context-admin

【参数】

vpn-instance-name:SSL VPN网关所属的VPN实例名称,为1~31个字符的字符串,区分大小写。

【使用指导】

每个SSL VPN网关只能属于一个VPN实例。SSL VPN所属的VPN实例又称为front VPN instance。

本命令指定的VPN实例可以不存在,但此时SSL VPN网关处于不生效的状态。待VPN实例创建后,SSL VPN网关进入生效状态。

【举例】

# 配置SSL VPN网关gateway1属于VPN实例vpn1。

<Sysname> system-view

[Sysname] sslvpn gateway gateway1

[Sysname-sslvpn-gateway-gateway1] vpn-instance vpn1

1.1.105  web-access ip-client auto-activate

web-access ip-client auto-activate命令用来开启Web方式成功登录SSL VPN网关后自动启动IP客户端功能。

undo web-access ip-client auto-activate命令用来关闭Web方式成功登录SSL VPN网关后自动启动IP客户端功能。

【命令】

web-access ip-client auto-activate

undo web-access ip-client auto-activate

【缺省情况】

Web方式成功登录SSL VPN网关后自动启动IP客户端功能处于关闭状态。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启此功能,SSL VPN用户通过Web方式成功登录SSL VPN网关后,设备会自动启动用户主机上的IP客户端,且会自动连接SSL VPN网关,连接成功后SSL VPN用户可以使用IP接入方式访问授权的资源。若用户主机上未安装IP客户端,则先提示用户下载并安装IP客户端,安装完成后IP客户端会自动启动。

为使IP客户端自启动后成功连接SSL VPN网关,需要保证设备上已创建IP接入服务资源。

开启本功能时如果用户在PC上已经通过IP客户端成功登录,则无法通过浏览器直接访问SSL VPN网关,需通过点击IP客户端的“打开资源列表”选项,在浏览器中访问SSL VPN网关。

【举例】

# 在SSL VPN访问实例ctx1下开启Web方式成功登录SSL VPN网关后自动启动IP客户端功能。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] web-access ip-client auto-activate

1.1.106  webpage-customize

webpage-customize命令用来设置SSL VPN页面模板。

undo webpage-customize命令用来恢复缺省情况。

【命令】

webpage-customize template-name

undo webpage-customize

【缺省情况】

使用SSL VPN全局页面模板。

【视图】

SSL VPN访问实例视图

【缺省用户角色】

network-admin

context-admin

【参数】

template-name:页面模板的名称,为1~31的字符串,不能包括下列任何字符“/”、“\”、“|”、“:”、“*”、““”、“?”、“<”和“>”。

【使用指导】

本功能用来设置SSL VPN网关登录页面和资源页面使用的页面模板,该模板可以是预定义页面模板,也可以是自定义页面模板。

需要通过Web网管页面上传和下载页面模板。可以通过下载预定义的模板,来编辑自定义的模板。

通过display sslvpn webpage-customize template命令可以查看目前系统中所有的SSL VPN页面模板。

SSL VPN访问实例视图下设置的SSL VPN页面模板优先级高于系统视图下设置的全局SSL VPN页面模板。

若在SSL VPN访问实例视图下设置了自定义页面模板,则SSL VPN访问实例视图下定制的页面信息不再生效。

【举例】

# 设置SSL VPN访问实例ctx使用的页面模板为template1。

<Sysname> system-view

[Sysname] sslvpn context ctx

[Sysname-sslvpn-context-ctx] webpage-customize template1

【相关命令】

·            display sslvpn webpage-customize template

·            sslvpn webpage-customize

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!