- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-SSL VPN命令
本章节下载: 04-SSL VPN命令 (786.05 KB)
目 录
1.1.2 authentication server-type
1.1.5 certificate username-attribute
1.1.6 certificate-authentication enable
1.1.8 display interface sslvpn-ac
1.1.10 display sslvpn ip-tunnel statistics
1.1.11 display sslvpn online-users
1.1.12 display sslvpn prevent-cracking frozen-ip
1.1.13 display sslvpn webpage-template
1.1.15 force-logout max-onlines per-account enable
1.1.18 idle-cut traffic-threshold
1.1.21 ip-tunnel access-route (SSL VPN gateway view)
1.1.22 ip-tunnel access-route (SSL VPN role view)
1.1.23 ip-tunnel access-route force-all (SSL VPN gateway view)
1.1.24 ip-tunnel access-route force-all (SSL VPN role view)
1.1.25 ip-tunnel address-pool (SSL VPN gateway view)
1.1.26 ip-tunnel address-pool (SSL VPN role view)
1.1.30 ip-tunnel exclude-route (SSL VPN gateway view)
1.1.31 ip-tunnel exclude-route (SSL VPN role view)
1.1.33 ip-tunnel ipv6 access-route (SSL VPN gateway view)
1.1.34 ip-tunnel ipv6 access-route (SSL VPN role view)
1.1.35 ip-tunnel ipv6 access-route force-all (SSL VPN gateway view)
1.1.36 ip-tunnel ipv6 access-route force-all (SSL VPN role view)
1.1.37 ip-tunnel ipv6 address-pool (SSL VPN gateway view)
1.1.38 ip-tunnel ipv6 address-pool (SSL VPN role view)
1.1.39 ip-tunnel ipv6 dns-server
1.1.40 ip-tunnel ipv6 exclude-route (SSL VPN gateway view)
1.1.41 ip-tunnel ipv6 exclude-route (SSL VPN role view)
1.1.43 ip-tunnel message-server
1.1.45 ip-tunnel web-resource auto-push
1.1.48 log resource-access enable
1.1.52 max-onlines per-account
1.1.53 max-online-users per-gateway
1.1.56 password-authentication enable
1.1.58 password-changing enable (SSL VPN gateway view)
1.1.59 password-changing enable (SSL VPN user view)
1.1.60 password-complexity-message
1.1.61 prevent-cracking freeze-ip
1.1.62 prevent-cracking freeze-ip enable
1.1.63 prevent-cracking unfreeze-ip
1.1.64 prevent-cracking verify-code
1.1.65 prevent-cracking verify-code enable
1.1.70 reset counters interface sslvpn-ac
1.1.71 reset sslvpn ip-tunnel statistics
1.1.73 response-custom-template
1.1.77 rewrite server-response-message
1.1.80 self-service imc address
1.1.86 sslvpn custom-authentication scheme
1.1.88 sslvpn ip-client download-path
1.1.89 sslvpn smp-authentication scheme
1.1.90 sslvpn webpage-template
1.1.98 web-access ip-client auto-activate
access-deny-client命令用来配置禁用的SSL VPN接入客户端软件类型。
undo access-deny-client命令用来恢复禁用的SSL VPN接入客户端软件类型。
【命令】
access-deny-client { browser | mobile-inode | pc-inode } *
undo access-deny-client { browser | mobile-inode | pc-inode } *
【缺省情况】
不限制SSL VPN用户登录SSL VPN网关使用的接入客户端软件类型。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
browser:表示使用浏览器客户端登录SSL VPN网关。
mobile-inode:表示使用移动iNode客户端登录SSL VPN网关。
pc-inode:表示使用PC iNode客户端登录SSL VPN网关。
【使用指导】
当需要限制用户通过某些类型的接入客户端软件登录SSL VPN网关时,可通过本命令配置禁用的SSL VPN接入客户端软件类型。
浏览器被禁用后,已登录用户和新用户均无法使用浏览器登录SSL VPN网关;当浏览器解除禁用后,用户需要刷新登录页面重新登录。其他类型接入客户端软件被禁用后,仅对新登录用户生效,已登录用户不受影响。
在同一个SSL VPN网关下,多次执行本命令配置的多个接入客户端软件类型均会生效。
【举例】
# 在SSL VPN网关gw下,配置禁用的SSL VPN接入客户端软件类型为浏览器客户端。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] access-deny-client browser
authentication server-type命令用来配置SSL VPN认证服务器类型。
undo authentication server-type命令用来恢复缺省情况。
【命令】
authentication server-type { aaa domain-name | custom custom-scheme-name | smp smp-scheme-name }
undo authentication server-type
【缺省情况】
未配置SSL VPN认证服务器类型。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
aaa domain-name:表示SSL VPN认证服务器类型为AAA认证服务器。domain-name表示ISP域名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
custom custom-scheme-name:表示SSL VPN认证服务器类型为自定义认证服务器,非缺省vSystem不支持本参数。custom-scheme-nam表示自定义认证方案名,为1~31个字符的字符串,不区分大小写。
smp smp-scheme-name:表示SSL VPN认证服务器类型为SMP认证服务器。smp-scheme-name表示SMP认证方案名,为1~31个字符的字符串,不区分大小写。
【使用指导】
若选择自定义认证服务器,则用户需要在系统视图下创建对应的自定义认证方案,并在该自定义认证方案视图中,配置自定义认证的服务器URL地址、HTTP请求方式、HTTP应答报文的应答字段等参数。
若选择认证服务器类型为AAA认证服务器,请配置AAA的相关内容。有关AAA的详细介绍,请参见“安全配置指导”中的“AAA”。
若选择SMP认证服务器,则用户需要在系统视图下创建对应的SMP认证方案,并在该SMP认证方案视图中,配置SMP对接的第三方认证平台类型、配置SMP主机名、SSL VPN网关与SMP建立连接时使用的密钥等参数。
【举例】
# 在SSL VPN网关gw1下配置SSL VPN认证服务器类型为自定义认证服务器,方案名为custom1。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] authentication server-type custom custom1
authentication use命令用来配置SSL VPN用户登录网关的认证模式。
undo authentication use命令用来恢复缺省情况。
【命令】
authentication use { all | any-one }
undo authentication use
【缺省情况】
SSL VPN用户登录网关的认证模式为all。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
all:表示SSL VPN用户登录网关的认证模式为已配置的所有认证方式。
any-one:表示SSL VPN用户登录网关的认证模式为已配置的所有认证方式中的任意一种。
【使用指导】
可以通过配置authentication use命令来控制对SSL VPN用户的认证模式。用户名/密码认证功能和证书认证功能都开启的情况下,若认证模式选用any-one,则用户只需要通过其中一种认证即可登录SSL VPN网关;若认证模式选用all,则用户必须通过这两种认证(即用户名/密码和证书的组合认证)方可登录SSL VPN网关。
【举例】
# 配置SSL VPN用户登录网关的认证模式为已配置的所有认证方式中的任意一种。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] authentication use any-one
【相关命令】
· certificate-authentication enable
· password-authentication enable
bandwidth命令用来配置接口的期望带宽。
undo bandwidth命令用来恢复缺省情况。
【命令】
bandwidth bandwidth-value
undo bandwidth
【缺省情况】
接口的期望带宽为64kbps。
【视图】
SSL VPN AC接口视图
【缺省用户角色】
network-admin
【参数】
bandwidth-value:接口的期望带宽,取值范围为1~400000000,单位为kbps。
【使用指导】
接口的期望带宽会对下列内容有影响:
· CBQ队列带宽。具体介绍请参见“ACL和QoS配置指导”中的“QoS”。
· 链路开销值。具体介绍请参见“三层技术-IP路由配置指导”中的“OSPF”、“OSPFv3”和“IS-IS”。
【举例】
# 配置接口SSL VPN AC 1000的期望带宽为10000kbps。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] bandwidth 10000
certificate username-attribute命令用来配置SSL VPN用户证书中的指定字段取值作为SSL VPN用户名。
undo certificate username-attribute命令用来恢复缺省情况。
【命令】
certificate username-attribute { cn | email-prefix | oid extern-id }
undo certificate username-attribute
【缺省情况】
使用SSL VPN用户证书中主题部分内的CN字段取值作为SSL VPN用户名。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
cn:将用户证书中主题部分内的CN字段的值作为SSL VPN用户名。
email-prefix:将用户证书中主题部分内的邮件地址前缀,即邮件地址中“@”字符前的字符串,作为SSL VPN用户名。
oid extern-id:将用户证书中OID为extern-id的字段的值作为SSL VPN用户名,其中OID为对象标识符,以点分十进制的形式表示。
【使用指导】
只有执行certificate-authentication enable命令开启证书认证功能后,本命令指定的SSL VPN用户名才会生效。
【举例】
# 配置SSL VPN用户证书中OID为1.1.1.1的字段的值作为SSL VPN用户名。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] certificate username-attribute oid 1.1.1.1
【相关命令】
· certificate-authentication enable
certificate-authentication enable命令用来开启证书认证功能。
undo certificate-authentication enable命令用来关闭证书认证功能。
【命令】
certificate-authentication enable
undo certificate-authentication enable
【缺省情况】
证书认证功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【使用指导】
开启证书认证功能后,需要同时在SSL服务器端策略视图下执行client-verify命令。SSL VPN网关会对SSL客户端(SSL VPN用户)进行基于数字证书的身份验证,并检查SSL VPN用户的用户名是否与SSL VPN用户的数字证书中的用户名信息一致。若不一致,则认证不通过,不允许SSL VPN用户登录。
【举例】
# 开启SSL VPN网关的证书认证功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] certificate-authentication enable
【相关命令】
· client-verify enable(安全命令参考/SSL)
· client-verify optional(安全命令参考/SSL)
description命令用来配置接口的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
接口的描述信息为“接口名 Interface”,例如:SSLVPN-AC1000 Interface。
【视图】
SSL VPN AC接口视图
【缺省用户角色】
network-admin
【参数】
text:接口的描述信息,为1~255个字符的字符串,区分大小写。
【使用指导】
当设备上存在多个接口时,可以根据接口的连接信息或用途来配置接口的描述信息,以便区别和管理各接口。
本命令仅用于标识某接口,并无特别的功能。使用display interface等命令可以看到设置的描述信息。
【举例】
# 配置接口SSL VPN AC 1000的描述信息为“SSL VPN A”。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] description SSL VPN A
display interface sslvpn-ac命令用来显示SSL VPN AC接口的相关信息。
【命令】
display interface [ sslvpn-ac [ interface-number ] ] [ brief [ description | down ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
sslvpn-ac interface-number:显示指定SSL VPN AC接口的相关信息。interface-number表示SSL VPN AC接口的编号,取值范围为0~4095。如果不指定sslvpn-ac参数,将显示除VA(Virtual Access,虚拟访问)接口外的所有接口的相关信息;如果不指定interface-number,则显示所有SSL VPN AC接口的信息。有关VA接口的详细介绍,请参见“二层技术-广域网接入配置指导”中的“PPP”。
brief:显示接口的概要信息。如果不指定该参数,则显示接口的详细信息。
description:用来显示用户配置的接口的全部描述信息。如果某接口的描述信息超过27个字符,不指定该参数时,只显示描述信息中的前27个字符,超出部分不显示;指定该参数时,可以显示全部描述信息。
down:显示当前物理状态为down的接口的信息以及down的原因。如果不指定该参数,则不会根据接口物理状态来过滤显示信息。
【举例】
# 显示接口SSL VPN AC 1000的相关信息。
<Sysname> display interface sslvpn-ac 1000
SSLVPN-AC1000
Current state: UP
Line protocol state: DOWN
Description: SSLVPN-AC1000 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Internet protocol processing: Disabled
Link layer protocol is SSLVPN
Last clearing of counters: Never
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 0 packets, 0 bytes, 0 drops
Output: 0 packets, 0 bytes, 0 drops
表1-1 display interface sslvpn-ac命令显示信息描述表
|
字段 |
描述 |
|
SSLVPN-AC1000 |
接口SSL VPN AC 1000的相关信息 |
|
Current state |
接口的物理状态和管理状态,取值包括: · Administratively DOWN:表示该接口已经通过shutdown命令被关闭,即管理状态为关闭 · DOWN:该接口的管理状态为开启,但物理状态为关闭 · UP:该接口的管理状态和物理状态均为开启 |
|
Line protocol state |
接口的链路层协议状态,取值包括: · UP:表示该接口的链路层协议状态为开启 · UP (spoofing):表示该接口的链路层协议状态为开启,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立。通常NULL、LoopBack等接口会具有该属性 · DOWN:表示该接口的链路层协议状态为关闭 |
|
Description |
接口的描述信息 |
|
Bandwidth |
接口的期望带宽,单位为kbps |
|
Maximum transmission unit |
接口的最大传输单元 |
|
Internet protocol processing |
接口的IP地址。如果没有为接口配置IP地址,则该字段显示为Internet protocol processing: Disabled,表示不能处理IP报文 |
|
Internet address: ip-address/mask-length (Type) |
接口IP地址。Type表示地址获取方式,取值如下: · Primary:手动配置的主地址 · Sub:手动配置的从地址。当配置了主地址时,仅显示主地址;仅配置从地址时,才显示本信息 · DHCP-allocated:通过DHCP获取的IP地址,详细介绍请参见“三层技术-IP业务配置指导”中的“DHCP” · BOOTP-allocated:通过BOOTP获取的IP地址,详细介绍请参见“三层技术-IP业务配置指导”中的“DHCP” · PPP-negotiated:PPP协商过程中由Server端分配的IP地址,详细介绍请参见“二层技术-广域网接入配置指导”中的“PPP” · Unnumbered:借用其他接口的IP地址 · Cellular-allocated:通过Modem私有协议获取的IP地址,详细介绍请参见“二层技术-广域网接入配置指导”中的“3G Modem和4G Modem管理” · MAD:成员设备上配置的MAD IP地址,详细介绍请参见“虚拟化技术配置指导”中的“IRF” · MTunnel:组播隧道接口的IP地址(采用的是MD源接口的IP地址),关于MD源接口的详细介绍请参见“IP组播配置指导”中的“组播VPN”
Type的取值情况与接口类型有关,请以实际情况为准 |
|
Link layer protocol |
链路层协议类型 |
|
Last clearing of counters |
最近一次使用reset counters interface命令清除接口下的统计信息的时间(如果从设备启动一直没有执行reset counters interface命令清除过该接口下的统计信息,则显示Never) |
|
Last 300 seconds input rate |
最近300秒钟的平均输入速率:bytes/sec表示平均每秒输入的字节数,bits/sec表示平均每秒输入的比特数,packets/sec表示平均每秒输入的包数 |
|
Last 300 seconds output rate |
最近300秒钟的平均输出速率:bytes/sec表示平均每秒输出的字节数,bits/sec表示平均每秒输出的比特数,packets/sec表示平均每秒输出的包数 |
|
Input: 0 packets, 0 bytes, 0 drops |
总计输入的报文数,总计输入的字节,总计丢弃的输入报文数 |
|
Output: 0 packets, 0 bytes, 0 drops |
总计输出的报文数,总计输出的字节,总计丢弃的输出报文数 |
# 显示所有SSL VPN AC类型接口的概要信息。
<Sysname> display interface sslvpn-ac brief
Brief information of interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
SSLVPN-AC1000 UP DOWN --
# 显示接口SSL VPN AC 1000的概要信息,包括用户配置的全部描述信息。
<Sysname> display interface sslvpn-ac 1000 brief description
Brief information of interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
SSLVPN-AC1000 UP UP 1.1.1.1 SSLVPN-AC1000 Interface
# 显示当前状态为down的接口的信息以及DOWN的原因。
<Sysname> display interface sslvpn-ac brief down
Brief information of interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Interface Link Cause
SSLVPN-AC1000 ADM
SSLVPN-AC1001 ADM
表1-2 display interface sslvpn-ac brief命令显示信息描述表
|
字段 |
描述 |
|
Brief information of interfaces in route mode: |
三层模式下(route)的接口的概要信息,即三层接口的概要信息 |
|
Link: ADM - administratively down; Stby - standby |
· 如果某接口的Link属性值为“ADM”,则表示该接口被管理员通过shutdown命令关闭,需要在该接口下执行undo shutdown命令才能恢复接口本身的物理状态 · 如果某接口的Link属性值为“Stby”,则表示该接口是一个处于Standby状态的备份接口,使用display interface-backup state命令可以查看该备份接口对应的主接口 |
|
Protocol: (s) - spoofing |
如果某接口的Protocol属性值中带有“(s)”字符串,则表示该接口的网络层协议状态显示是UP的,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立 |
|
Interface |
接口名称缩写 |
|
Link |
接口物理连接状态,取值包括: · UP:表示本链路物理上是连通的 · DOWN:表示本链路物理上是不通的 · ADM:表示本链路被管理员通过shutdown命令关闭,需要执行undo shutdown命令才能恢复接口真实的物理状态 · Stby:表示该接口是一个处于Standby状态的备份接口 |
|
Protocol |
接口的链路层协议状态,取值包括: · UP:表示该接口的链路层协议状态为开启 · UP (s):表示该接口的链路层协议状态为开启,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立。通常NULL、LoopBack等接口会具有该属性 · DOWN:表示该接口的链路层协议状态为关闭 |
|
Primary IP |
接口主IP地址 |
|
Description |
接口的描述信息 |
|
Cause |
接口物理连接状态为down的原因,取值为: · Administratively:表示本链路被手工关闭了(配置了shutdown命令),需要执行undo shutdown命令才能恢复真实的物理状态 · Not connected:表示物理层不通 |
【相关命令】
· reset counters interface
display sslvpn gateway命令用来显示SSL VPN网关的信息。
【命令】
display sslvpn gateway [ brief | name gateway-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示所有SSL VPN网关的简要信息。如果不指定本参数,则显示SSL VPN网关的详细信息。
name gateway-name:显示指定SSL VPN网关的详细信息。gateway-name表示SSL VPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN网关的信息。
【举例】
# 显示所有SSL VPN网关的详细信息。
<Sysname> display sslvpn gateway
Gateway name: gw
IPv4 Service: Enabled
IPv4 Operation state: UP
IPv4 Down reason: Administratively down
IPv6 Service: Disabled
IPv6 Operation state: Down
IPv6 Down reason: Administratively down
AAA domain: Not specified
Certificate authentication: Disabled
Password authentication: Enabled
Authentication use: All
Code verification: Disabled
Associated SSL VPN Interface: -
SSL server policy configured: sslvpn
IPv4 SSL server policy in use: ssl
HTTPS port: 443
Maximum users allowed: 1048575
Idle timeout: 30 min
HTTP redirect port: 2000
Password changing: Enabled
Denied client types: Not configured
表1-3 display sslvpn gateway命令显示信息描述表
|
字段 |
描述 |
|
Gateway name |
SSL VPN网关的名称 |
|
IPv4 Service |
SSL VPN网关的IPv4服务是否处于使能状态 |
|
IPv4 Operation state |
SSL VPN网关的操作状态,取值包括: · Up:SSL VPN网关的IPv4服务处于运行状态 · Down:SSL VPN网关的IPv4服务未处于运行状态 |
|
IPv4 Down reason |
SSL VPN网关IPv4服务处于down状态的原因,取值包括: · Administratively down:管理down,即没有通过service enable命令开启SSL VPN网关 · Applying SSL server policy failed:为SSL VPN网关应用SSL服务器端策略失败 · No IP address obtained from the interface:SSL VPN网关获取不到接口下的IPv4或IPv6地址,即接口下没有配置该类型的地址 · Interface down:接口关闭,即能从接口获取到该类型的地址,但由于为SSL VPN网关配置的接口均处于未开启状态,SSL VPN网关依然未运行 |
|
IPv6 Service |
SSL VPN网关的IPv6服务是否处于使能状态 |
|
IPv6 Operation state |
SSL VPN网关的操作状态,取值包括: · Up:SSL VPN网关的IPv6服务处于运行状态 · Down:SSL VPN网关的IPv6服务未处于运行状态 |
|
IPv6 Down reason |
SSL VPN网关的IPv6服务处于down状态的原因,取值包括: · Administratively down:管理down,即没有通过service enable命令开启SSL VPN网关 · Applying SSL server policy failed:为SSL VPN网关应用SSL服务器端策略失败 · No IP address obtained from the interface:SSL VPN网关获取不到接口下的IPv4或IPv6地址,即接口下没有配置该类型的地址 · Interface down:接口关闭,即能从接口获取到该类型的地址,但由于为SSL VPN网关配置的接口均处于未开启状态,SSL VPN网关依然未运行 |
|
AAA domain |
SSL VPN网关使用的ISP域 |
|
Certificate authentication |
SSL VPN网关是否开启证书认证功能,取值包括: · Enabled:证书认证功能开启 · Disabled:证书认证功能未开启 |
|
Password authentication |
SSL VPN网关是否开启用户名/密码认证功能,取值包括: · Enabled:用户名/密码认证功能开启 · Disabled:用户名/密码认证功能未开启 |
|
Authentication use |
SSL VPN用户登录网关的认证模式,取值包括: · All:通过所有的认证方式 · Any-one:通过任意一种认证方式 |
|
Code verification |
SSL VPN网关是否开启验证码验证功能 |
|
Associated SSL VPN Interface |
SSL VPN网关引用的接口 |
|
Associated SSL VPN AC Interface |
SSL VPN网关引用的SSL VPN AC接口 |
|
SSL server policy configured |
配置的SSL服务器端策略名称。配置的SSL服务器端策略在重启SSL VPN网关的IPv4或IPv6服务后才能生效 |
|
IPv4 SSL server policy in use |
生效的IPv4 SSL服务器端策略名称 |
|
IPv6 SSL server policy in use |
生效的IPv6 SSL服务器端策略名称 |
|
HTTPS port |
SSL VPN网关的HTTPS端口号 |
|
Maximum users allowed |
SSL VPN网关的最大在线用户数 |
|
Idle timeout |
SSL VPN在线用户可以保持空闲状态的最长时间,单位为分钟 |
|
HTTP redirect port |
HTTP重定向端口号 |
|
Password changing |
修改SSL VPN登录密码功能是否开启,取值包括: · Enabled:修改密码功能开启 · Disabled:修改密码功能关闭 |
|
Denied client types |
禁用的SSL VPN客户端,取值包括: · Browsers:浏览器客户端 · PC-iNode:PC版iNode客户端 · Mobile-iNode:移动版iNode客户端 · Not configured:未配置禁用的SSL VPN客户端 |
# 显示所有SSL VPN网关的简要信息。
<Sysname> display sslvpn gateway brief
Gateway name IP type Admin Operation
gw1 IPv4 Up Up
IPv6 Down Down (Administratively down)
gw2 IPv4 Up Down (Interface down)
IPv6 Up Down (No IP address obtained from the interface)
gw3 IPv4 Up Up
IPv6 Up Up
表1-4 display sslvpn gateway brief命令显示信息描述表
|
字段 |
描述 |
|
Gateway name |
SSL VPN网关的名称 |
|
IP type |
IP类型 |
|
Admin |
SSL VPN网关的管理状态,取值包括: · Up:已通过service ipv4 enable或service ipv6 enable命令开启SSL VPN网关的相应服务 · Down:未通过service ipv4 enable或service ipv6 enable命令开启SSL VPN网关的相应服务 |
|
Operation |
SSL VPN网关的操作状态,取值包括: · Up:SSL VPN网关处于运行状态 · Down (Administratively down):管理down,即没有通过service ipv4 enable或service ipv6 enable命令开启SSL VPN网关 · Down (Applying SSL server policy failed):为SSL VPN网关应用SSL服务器端策略失败 · Down(No IP address obtained from the interface):SSL VPN网关获取不到接口下的IPv4或IPv6地址,即接口下没有配置该类型的地址 · Down(Interface down):接口关闭,即能从接口获取到该类型的地址,但由于为SSL VPN网关配置的接口均处于未开启状态,SSL VPN网关依然未运行 |
display sslvpn ip-tunnel statistics命令用来显示通过IP接入的SSL VPN用户的报文统计信息。
【命令】
display sslvpn ip-tunnel statistics [ gateway gateway-name ] [ user user-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
gateway gateway-name:显示指定SSL VPN网关下通过IP接入的SSL VPN用户的报文统计信息。gateway-name表示SSL VPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN网关下通过IP方式接入的SSL VPN用户的报文统计信息。
user user-name:显示指定或所有SSL VPN网关下指定SSL VPN用户对应的报文统计信息。user-name表示SSL VPN用户名称,为1~63个字符的字符串,不区分大小写。如果不指定本参数,则显示指定或所有SSL VPN网关下所有通过IP接入的SSL VPN用户的报文统计信息。
【使用指导】
如果未指定任何参数,则显示所有SSL VPN网关下的通过IP接入的报文统计信息。
【举例】
# 显示所有SSL VPN网关下通过IP接入的SSL VPN用户的报文统计信息。
<Sysname> display sslvpn ip-tunnel statistics
IP-tunnel statistics in SSL VPN gateway gw1:
Client:
In bytes : 125574 Out bytes : 1717349
Server:
In bytes : 1717349 Out bytes : 116186
IP-tunnel statistics in SSL VPN gateway gw2:
Client:
In bytes : 521 Out bytes : 1011
Server:
In bytes : 1011 Out bytes : 498
# 显示SSL VPN网关gw1下通过IP接入的报文统计信息和登录该网关的每个SSL VPN用户的报文统计信息。
<Sysname> display sslvpn ip-tunnel statistics gateway gw1
IP-tunnel statistics in SSL VPN gateway gw1:
Client:
In bytes : 125574 Out bytes : 1717349
Server:
In bytes : 1717349 Out bytes : 116186
SSL VPN user IP-tunnel statistics:
Gateway : gw1
User : user1
User ID : 1
User IPv4 address : 192.168.56.1
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalive replies : 1
Received configuration updates: 0
Sent configuration updates : 0
Gateway : gw1
User : user2
User ID : 2
User IPv6 address : 1234::5001
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalive replies : 1
Received configuration updates: 0
Sent configuration updates : 0
# 显示SSL VPN用户user1通过IP接入的报文统计信息。
<Sysname> display sslvpn ip-tunnel statistics user user1
SSL VPN user IP-tunnel statistics:
Gateway : gw1
User : user1
User ID : 1
User IPv4 address : 192.168.56.1
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalive replies : 1
Received configuration updates: 0
Sent configuration updates : 0
Gateway : gw2
User : user1
User ID : 2
User IPv6 address : 1234::5001
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalives replies : 1
Received configuration updates: 0
Sent configuration updates : 0
# 显示SSL VPN网关gw1下SSL VPN用户user1通过IP接入的报文统计信息。
<Sysname> display sslvpn ip-tunnel statistics gateway gw1 user user1
SSL VPN user IP-tunnel statistics:
Gateway : gw1
User : user1
User ID : 1
User IPv4 address : 192.168.56.1
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalive replies : 1
Received configuration updates: 0
Sent configuration updates : 0
Gateway : gw1
User : user1
User ID : 2
User IPv6 address : 1234::5001
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalives replies : 1
Received configuration updates: 0
Sent configuration updates : 0
表1-5 display sslvpn ip-tunnel statistics命令显示信息描述表
|
字段 |
描述 |
|
Gateway |
SSL VPN用户所属的SSL VPN网关 |
|
User |
SSL VPN用户的登录名 |
|
User ID |
SSL VPN在线用户的标识 |
|
User IPv4 address |
SSL VPN用户的IPv4地址 |
|
User IPv6 address |
SSL VPN用户的IPv6地址 |
|
Received requests |
SSL VPN网关设备接收自SSL VPN用户的IP接入业务请求报文数 |
|
Sent requests |
SSL VPN网关设备转发给资源服务器的IP接入业务请求报文数 |
|
Dropped requests |
SSL VPN网关设备丢弃SSL VPN用户的IP接入业务请求报文数 |
|
Received replies |
SSL VPN网关设备接收资源服务器的IP接入业务应答报文数 |
|
Sent replies |
SSL VPN网关设备转发给SSL VPN用户的IP接入业务应答报文数 |
|
Dropped replies |
SSL VPN网关设备丢弃的IP接入业务应答报文数 |
|
Received keepalives |
SSL VPN网关设备接收自SSL VPN用户的保活报文数 |
|
Sent keepalives replies |
SSL VPN网关设备发送给SSL VPN用户的保活应答报文数 |
|
Received configuration updates |
SSL VPN网关设备接收自SSL VPN用户主动请求发送配置更新的报文数 |
|
Sent configuration updates |
SSL VPN网关设备发送给SSL VPN用户的配置更新报文数 |
|
Client |
SSL VPN网关设备与客户端之间的报文字节数统计,取值如下: · In bytes:SSL VPN网关设备接收自SSL VPN用户的IP接入业务请求报文字节数 · Out bytes:SSL VPN网关设备转发给SSL VPN用户的IP接入业务应答报文字节数 |
|
Server |
SSL VPN网关设备与服务器之间的统计信息,取值如下: · In bytes:SSL VPN网关设备接收资源服务器的IP接入业务应答报文字节数 · Out bytes:SSL VPN网关设备转发给资源服务器的IP接入业务请求报文字节数 |
display sslvpn online-users命令用来显示SSL VPN在线用户信息。
【命令】
display sslvpn online-users [ gateway gateway-name ] [ user user-name | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
gateway gateway-name:显示指定SSL VPN网关下的SSL VPN在线用户的简要信息。gateway-name表示SSL VPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN网关下的SSL VPN在线用户的简要信息。
user user-name:显示指定或所有SSL VPN网关下指定SSL VPN用户名对应的SSL VPN在线用户的详细信息。user-name表示SSL VPN用户名称,为1~80个字符的字符串,不区分大小写。如果不指定本参数,则显示指定或所有SSL VPN网关下SSL VPN在线用户的简要信息。
verbose:显示指定或所有SSL VPN网关下SSL VPN在线用户中所有用户的详细信息。如果不指定本参数,则显示指定或所有SSL VPN网关下SSL VPN在线用户的简要信息。
【举例】
# 显示SSL VPN用户user1对应的在线用户的详细信息。
<Sysname> display sslvpn online-users user user1
User : user1
Authentication method : Username/password authentication
Gateway : gw1
Role : role1,role2
Idle timeout : 30 min
Created at : 13:49:27 UTC Wed 05/14/2021
Lastest : 17:50:58 UTC Wed 05/14/2021
User IPv4 address : 192.0.2.1
Allocated client IPv4 : 2.2.2.1
Allocated client IPv6 : 2000::1
User ID : 1
Endpoint information : Internet Explorer
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
# 显示SSL VPN在线用户中所有用户的详细信息。
<Sysname> display sslvpn online-users verbose
User : user1
Authentication method : Username/password authentication
Gateway : gw1
Role : role1,role2
Idle timeout : 30 min
Created at : 13:49:27 UTC Wed 05/14/2021
Lastest : 17:50:58 UTC Wed 05/14/2021
User IPv4 address : 192.0.2.1
Allocated client IPv4 : 2.2.2.1
Allocated client IPv6 : 2000::1
User ID : 1
Endpoint information : Internet Explorer
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
User : user2
Authentication method : Username/password authentication
Gateway : gw1
Role : role3
Idle timeout : 2100 sec
Created at : 14:15:12 UTC Wed 05/14/2021
Lastest : 18:56:58 UTC Wed 05/14/2021
User IPv4 address : 192.0.2.2
Allocated client IPv4 : 2.2.2.2
Allocated client IPv6 : 2000::2
User ID : 5
Endpoint information : Internet Explorer
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
表1-6 display sslvpn online-users user和display sslvpn online-users verbose命令显示信息描述表
|
字段 |
描述 |
|
User |
SSL VPN用户的登录名 |
|
Authentication method |
SSL VPN用户登录SSL VPN网关的认证方式,取值包括: · Username/password authentication:用户名密码认证 · Certificate authentication:证书认证 · Code verification:验证码验证 · SMS authentication:短信认证 · Custom authentication:自定义认证 以上认证方式可以组合使用,每一种组合认证方式下必须至少包含用户名密码认证和证书认证中的一种方式,且自定义认证和短信认证不可以同时使用。除了验证码验证,其他认证方式均可以单独使用。 |
|
Gateway |
SSL VPN用户所属的SSL VPN网关 |
|
Role |
SSL VPN用户所属的角色 |
|
Idle timeout |
SSL VPN超时时间 |
|
Created at |
SSL VPN在线用户的创建时间 |
|
Lastest |
用户最近一次访问时间 |
|
User IPv4 address |
SSL VPN在线用户使用的IPv4地址 |
|
Allocated client IPv4 |
iNode客户端分配到的IPv4地址,通过iNode登录的用户,会显示该字段信息 |
|
Allocated client IPv6 |
iNode客户端分配到的IPv6地址,通过iNode登录的用户,会显示该字段信息 |
|
User ID |
SSL VPN在线用户的标识 |
|
Endpoint information |
SSL VPN登录用户所用的浏览器或操作系统类型信息 |
|
Send rate |
SSL VPN会话的发送速率,单位取值包括: · B/s:字节/秒 · KB/s:千字节/秒 · MB/s:兆字节/秒 · GB/s:吉字节/秒 · TB/s:太字节/秒 · PB/s:拍字节/秒 |
|
Receive rate |
SSL VPN会话的接收速率,单位取值包括: · B/s:字节/秒 · KB/s:千字节/秒 · MB/s:兆字节/秒 · GB/s:吉字节/秒 · TB/s:太字节/秒 · PB/s:拍字节/秒 |
|
Sent bytes |
SSL VPN会话的总发送流量,单位取值包括: · B:字节 · KB:千字节 · MB:兆字节 · GB:吉字节 · TB:太字节 · PB:拍字节 |
|
Received bytes |
SSL VPN会话的总接收流量,单位取值包括: · B:字节 · KB:千字节 · MB:兆字节 · GB:吉字节 · TB:太字节 · PB:拍字节 |
display sslvpn prevent-cracking frozen-ip命令用来显示被防暴力破解功能冻结的IP地址信息。
【命令】
display sslvpn prevent-cracking frozen-ip { statistics | table } [ gateway gateway-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
statistics:表示被冻结的IP地址相关统计信息。
table:表示被冻结的IP地址表项信息。
gateway gateway-name:表示SSL VPN网关的名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN网关下被冻结的IP地址信息。
【举例】
# 显示所有SSL VPN网关下被冻结的IP地址统计信息。
<Sysname> display sslvpn prevent-cracking frozen-ip statistics
SSL VPN gateway: gw1
Total number of frozen IP addresses: 1
Total number of username/password authentication failures: 1
Total number of code verification failures: 1
Total number of SMS authentication failures: 1
Total number of custom authentication failures: 1
SSL VPN gateway: gw2
Total number of frozen IP addresses: 1
Total number of username/password authentication failures: 1
Total number of code verification failures: 1
Total number of SMS authentication failures: 1
Total number of custom authentication failures: 1
# 显示所有SSL VPN网关下被冻结的IP地址表项信息。
<Sysname> display sslvpn prevent-cracking frozen-ip table
SSL VPN gateway: gw1
IP address Authentication method Frozen at Unfrozen at
8.1.1.80 code verification 2019-10-08 08:30:01 2019-10-08 08:35:04
3.3.3.30 Username/password authentication 2019-10-08 08:35:01 2019-10-08 08:39:04
SSL VPN gateway: gw2
IP address Authentication method Frozen at Unfrozen at
121.5.5.32 Username/password authentication 2019-10-08 08:31:01 2019-10-08 08:45:04
123.3.3.3 code verification 2019-10-08 08:35:01 2019-10-08 08:55:04
表1-7 display sslvpn prevent-cracking frozen-ip命令显示信息描述表
|
字段 |
描述 |
|
SSL VPN gateway |
SSL VPN网关名称 |
|
Total number of frozen IP addresses |
网关下所有被冻结的IP地址总数目 |
|
Total number of username/password authentication failures |
网关下用户名密码认证失败总数目 |
|
Total number of code verification failures |
网关下验证码验证失败总数目 |
|
Total number of SMS authentication failures |
网关下短信认证失败总数目 |
|
Total number of custom authentication failures |
网关下自定义认证失败总数目 |
|
IP address |
被冻结的IP地址 |
|
Authentication method |
防暴力破解统计的SSL VPN用户登录网关的认证方式包括: · Username/password authentication:用户名密码认证 · Code verification:验证码验证 · SMS authentication:短信认证 · Custom authentication:自定义认证 以上认证方式可以组合使用,每一种组合认证方式下必须包含用户名密码认证方式,且自定义认证和短信认证不可以同时使用。除了验证码验证,其他认证方式均可以单独使用 |
|
Frozen at |
IP地址被冻结的时间 |
|
Unfrozen at |
IP地址预计解冻时间,N/A表示永久冻结 |
display sslvpn webpage-template命令用来显示SSL VPN页面模板信息。
【命令】
display sslvpn webpage-template
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示所有页面模板信息。
<Sysname> display sslvpn webpage-template
Template name Type Status
default Pre-defined Normal
system Pre-defined Normal
User1 User-defined File login.html missing
User2 User-defined File home.html missing
表1-8 display sslvpn webpage-template命令显示信息描述表
|
字段 |
描述 |
|
Template name |
页面模板的名称 |
|
Type |
页面模板的类型,取值包括: · Pre-defined:表示该页面模板为预定义页面模板 · User-defined:表示该页面模板为用户自定义页面模板 |
|
Status |
页面模板的状态,取值包括: · Normal:表示该页面模板完整,可以使用 · File login.html missing:表示该页面模板缺少login.html文件 · File home.html missing:表示该页面模板缺少home.html文件 |
【相关命令】
· sslvpn webpage-template
· webpage-template
force-logout命令用来强制在线用户下线。
【命令】
force-logout { all | user-id user-id | username user-name }
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
all:强制所有在线用户下线。
user-id user-id:强制指定用户ID的在线用户下线。user-id表示在线用户的标识(通过display sslvpn online-users命令获取),取值范围为1~4294967295。
username user-name:强制指定用户名的在线用户下线。user-name表示SSL VPN用户名称,为1~80个字符的字符串,区分大小写。
【举例】
# 强制在线用户标识为1的在线用户下线。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] force-logout user-id 1
【相关命令】
· display sslvpn online-users
force-logout max-onlines per-account enable命令用来开启达到最大在线数时的用户强制下线功能。
undo force-logout max-onlines per-account enable命令用来关闭达到最大在线数时的用户强制下线功能。
【命令】
force-logout max-onlines per-account enable
undo force-logout max-onlines per-account enable
【缺省情况】
达到最大在线数时的用户强制下线功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【使用指导】
当某个用户达到同一用户名同时最大在线数,该用户再次登录时,如果开启了本功能,则从该用户的在线连接中选择一个空闲时间最长的,强制其下线,新登录用户上线;如果未开启本功能,则不允许新用户登录。
【举例】
# 开启达到最大在线数再登录时强制下线功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] force-logout max-onlines per-account enable
http-redirect命令用来开启HTTP流量的重定向功能。
undo http-redirect命令用来关闭HTTP流量的重定向功能。
【命令】
http-redirect [ port port-number ]
undo http-redirect
【缺省情况】
HTTP流量的重定向功能处于关闭状态,SSL VPN网关不会处理HTTP流量。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
port-number:需要重定向的HTTP流量的端口号,取值范围为80、1025~65535,缺省值为80。
【使用指导】
配置该命令后,SSL VPN网关将监听指定的端口号,并把指定端口号的HTTP流量重定向到HTTPS服务监听的端口,向客户端发送重定向报文,让客户端重新以HTTPS方式登录。
【举例】
# 为端口号为1025的HTTP流量开启重定向功能。
<Sysname> system-view
[Sysname] sslvpn gateway gateway1
[Sysname-sslvpn-gateway-gateway1] http-redirect port 1025
https-port命令用来配置SSL VPN网关使用的HTTPS端口号。
undo https-port命令用来恢复缺省情况。
【命令】
https-port port-number
undo https-port
【缺省情况】
SSL VPN网关使用的HTTPS端口号为443。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
port-number:SSL VPN网关的HTTPS端口号,取值范围为443、1025~65535,缺省值为443。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置SSL VPN网关gw1的HTTPS端口号为10443。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] https-port 10443
【相关命令】
· display sslvpn gateway
idle-cut traffic-threshold命令用来配置SSL VPN会话保持空闲状态的流量阈值。
undo idle-cut traffic-threshold命令用来恢复缺省情况。
【命令】
idle-cut traffic-threshold kilobytes
undo idle-cut traffic-threshold
【缺省情况】
未配置SSL VPN会话保持空闲状态的流量阈值,SSL VPN会话保持空闲状态的流量阈值为0千字节。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
kilobytes:表示SSL VPN会话保持空闲状态的流量阈值,取值范围为1~4294967295,单位为千字节。
【使用指导】
配置该命令后,SSL VPN网关将会对SSL VPN会话保持空闲状态的流量进行统计,如果在timeout idle命令配置的时间范围内SSL VPN用户发送至SSL VPN网关的流量未达到配置的流量阈值,则SSL VPN网关将断开该会话。
若修改本命令或timeout idle命令配置的值,则会清空已统计的流量。
【举例】
# 在SSL VPN网关gw1下配置流量阈值为1000千字节。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] idle-cut traffic-threshold 1000
【相关命令】
· timeout idle
interface命令用来配置SSL VPN网关使用的接口。
undo interface命令用来恢复缺省情况。
【命令】
interface interface-type interface-number
undo interface interface-type interface-number
【缺省情况】
未配置SSL VPN网关使用的接口。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:表示接口类型和接口编号。
【使用指导】
通过本命令指定SSL VPN网关使用的接口后,当SSL VPN用户使用IP接入方式访问SSL VPN网关时,网关使用指定的接口与客户端通信。网关从该接口接收到客户端发送的报文后,将报文转发到远端服务器;服务器做出响应后,网关会把应答报文通过该接口发给客户端。
多次执行本命令,可配置多个SSL VPN网关使用的接口。
【举例】
# 进入SSL VPN网关gw1,并配置SSL VPN网关使用的接口为GigabitEthernet 1/0/1。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] interface gigabitEthernet 1/0/1
【相关命令】
· display sslvpn gateway
interface sslvpn-ac命令用来创建SSL VPN AC接口,并进入SSL VPN AC接口视图。如果指定的SSL VPN AC接口已经存在,则直接进入SSL VPN AC接口视图。
undo interface sslvpn-ac命令用来删除指定的SSL VPN AC接口。
【命令】
interface sslvpn-ac interface-number
undo interface sslvpn-ac interface-number
【缺省情况】
不存在SSL VPN AC接口。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interface-number:SSL VPN AC接口的编号,取值范围为0~4095。
【举例】
# 创建SSL VPN AC接口1000,并进入SSL VPN AC接口视图。
<Sysname>system-view
[Sysname]interface SSLVPN-AC 1000
[Sysname-SSLVPN-AC1000]
ip-tunnel access-route命令用来配置下发给客户端的IPv4路由。
undo ip-tunnel access-route命令用来删除下发给客户端的IPv4路由。
【命令】
ip-tunnel access-route ipv4-address { mask | mask-length }
undo ip-tunnel access-route ipv4-address { mask | mask-length }
【缺省情况】
不存在下发给客户端的IPv4路由。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
ip-address:IPv4路由的目的地址,不能是组播、广播、环回地址。
mask:IPv4路由目的地址的掩码。
mask-length:IPv4路由目的地址的掩码长度,取值范围为0~32。
【使用指导】
客户端通过IP接入方式访问网关时,网关将指定的路由下发给客户端。客户端若访问该网段内的服务器,将通过虚拟网卡发送报文给SSL VPN网关,防止报文进入Internet。
多次执行本命令,可以添加多条下发给客户端的IPv4路由。
【举例】
# 在SSL VPN网关gw1下配置下发给客户端的IPv4路由的目的地址为10.0.0.0,掩码长度为8。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel access-route 10.0.0.0 8
【相关命令】
· display sslvpn gateway
ip-tunnel access-route命令用来配置下发给客户端的IPv4路由。
undo ip-tunnel access-route命令用来删除下发给客户端的IPv4路由。
【命令】
ip-tunnel access-route ipv4-address { mask | mask-length }
undo ip-tunnel access-route ipv4-address { mask | mask-length }
【缺省情况】
不存在下发给客户端的IPv4路由。
【视图】
角色视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:IPv4路由的目的地址,不能是组播、广播、环回地址。
mask:IPv4路由目的地址的掩码。
mask-length:IPv4路由目的地址的掩码长度,取值范围为0~32。
【使用指导】
客户端通过IP接入方式访问网关时,网关将指定的路由下发给客户端。客户端若访问该网段内的服务器,将通过虚拟网卡发送报文给SSL VPN网关,防止报文进入Internet。
多次执行本命令,可以添加多条下发给客户端的IPv4路由。
【举例】
# 在SSL VPN角色role1下配置下发给客户端的IPv4路由的目的地址为10.0.0.1,掩码长度为8。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] role role1
[Sysname-sslvpn-gateway-gw-role-role1] ip-tunnel access-route 10.0.0.1 8
ip-tunnel access-route force-all命令用来配置强制将客户端的IPv4流量转发给SSL VPN网关。
undo ip-tunnel access-route force-all命令用来恢复缺省情况。
【命令】
ip-tunnel access-route force-all
undo ip-tunnel access-route force-all
【缺省情况】
未配置强制将客户端的IPv4流量转发给SSL VPN网关。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
force-all:强制将客户端的IPv4流量转发给SSL VPN网关。
【使用指导】
执行本命令时SSL VPN网关将在客户端上添加优先级最高的缺省IPv4路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到IPv4路由表项的IPv4流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端,不允许SSL VPN客户端删除此缺省IPv4路由,且不允许SSL VPN客户端添加优先级高于此IPv4路由的缺省IPv4路由。
【举例】
# 在SSL VPN网关gw1下配置强制将客户端的IPv4流量转发给SSL VPN网关。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel access-route force-all
ip-tunnel access-route force-all命令用来配置强制将客户端的IPv4流量转发给SSL VPN网关。
undo ip-tunnel access-route force-all命令用来恢复缺省情况。
【命令】
ip-tunnel access-route force-all
undo ip-tunnel access-route force-all
【缺省情况】
未配置强制将客户端的IPv4流量转发给SSL VPN网关。
【视图】
角色视图
【缺省用户角色】
network-admin
【使用指导】
配置本功能后,SSL VPN网关将在客户端上添加优先级最高的缺省IPv4路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到IPv4路由表项的IPv4流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端,不允许SSL VPN客户端删除此缺省IPv4路由,且不允许SSL VPN客户端添加优先级高于此IPv4路由的缺省IPv4路由。
【举例】
# 在SSL VPN角色role1下,配置强制将客户端的IPv4流量转发给SSL VPN网关。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] role role1
[Sysname-sslvpn-gateway-gw-role-role1] ip-tunnel access-route force-all
ip-tunnel address-pool命令用来创建IPv4地址池。
undo ip-tunnel address-pool命令用来删除指定的IPv4地址池。
【命令】
ip-tunnel address-pool start-ipv4-address end-ipv4-address mask { mask | mask-length }
undo ip-tunnel address-pool start-ipv4-address end-ipv4-address
【缺省情况】
不存在IPv4地址池。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
start-ipv4-address end-ipv4-address:表示IPv4地址池的起始地址和结束地址,结束地址必须大于起始地址。起始地址和结束地址均不能是组播、广播、环回地址。
mask { mask | mask-length }:指定IPv4地址池的掩码或掩码长度。mask表示IPv4地址池的掩码;mask-length表示IPv4地址池的掩码长度,取值范围为1~30。
【使用指导】
SSL VPN网关将从本命令配置的地址池中选择地址,并分配给IP接入方式的客户端。
可以多次执行本命令配置多个不同的地址池,但不同地址池的地址范围不允许重叠。
当一个网关下配置多个不同网段的IPv4地址池时,网关分配给客户端的IPv4地址可能与SSL VPN AC接口的IPv4地址不在同一个网段,需要在网关设备中添加一条经过SSL VPN AC接口到达客户端的路由。
【举例】
# 在SSL VPN网关gw1下,指定地址池范围为10.1.1.1~10.1.1.254。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel address-pool 10.1.1.1 10.1.1.254 mask 24
【相关命令】
· display sslvpn gateway
ip-tunnel address-pool命令用来创建IPv4地址池。
undo ip-tunnel address-pool命令用来删除指定的IPv4地址池。
【命令】
ip-tunnel address-pool start-ipv4-address end-ipv4-address mask { mask | mask-length }
undo ip-tunnel address-pool start-ipv4-address end-ipv4-address
【缺省情况】
不存在IPv4地址池。
【视图】
角色视图
【缺省用户角色】
network-admin
【参数】
start-ipv4-address end-ipv4-address:表示IPv4地址池的起始地址和结束地址,结束地址必须大于起始地址。起始地址和结束地址均不能是组播、广播、环回地址。
mask { mask | mask-length }:指定IPv4地址池的掩码或掩码长度。mask表示IPv4地址池的掩码;mask-length表示IPv4地址池的掩码长度,取值范围为1~30。
【使用指导】
SSL VPN网关将从本命令配置的地址池中选择地址,并分配给IP接入方式的客户端。
多次执行本命令可配置多个不同的地址池,但不同地址池的地址范围不允许重叠。
当一个网关下配置多个不同网段的IPv4地址池时,网关分配给客户端的IPv4地址可能与SSL VPN AC接口的IPv4地址不在同一个网段,需要在网关设备中添加一条经过SSL VPN AC接口到达客户端的路由。
【举例】
# 创建IPv4地址池,起始地址为10.1.1.1、结束地址为10.1.1.254、掩码长度为24。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] role role1
[Sysname-sslvpn-gateway-gw-role-role1] ip-tunnel address-pool 10.1.1.1 10.1.1.254 mask 24
ip-tunnel dns-server命令用来配置为客户端指定的内网DNS服务器IPv4地址。
undo ip-tunnel dns-server命令用来恢复缺省情况。
【命令】
ip-tunnel dns-server { primary | secondary } ip-address
undo ip-tunnel dns-server { primary | secondary }
【缺省情况】
未配置为客户端指定的DNS服务器IPv4地址。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
primary:指定主DNS服务器。
secondary:指定备DNS服务器。
ip-address:DNS服务器的IPv4地址,不能是组播、广播、环回地址。
【举例】
# 在名称为SSL VPN网关gw1配置为客户端指定的主DNS服务器IPv4地址为1.1.1.1。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel dns-server primary 1.1.1.1
【相关命令】
· display sslvpn gateway
ip-tunnel emo-server命令用来配置为客户端指定的EMO(Endpoint Mobile Office,终端移动办公)服务器。
undo ip-tunnel emo-server命令用来恢复缺省情况。
【命令】
ip-tunnel emo-server address { host-name | ipv4-address } port port-number
undo ip-tunnel emo-server
【缺省情况】
未配置为客户端指定的EMO服务器。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
address:指定EMO服务器的主机名或IPv4地址。
host-name:EMO服务器的主机名,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。
ipv4-address:EMO服务器的IPv4地址,为点分十进制格式,不能是组播、广播、环回地址。
port port-number:指定EMO服务器使用的端口号。port-number取值范围为1025~65535。
【使用指导】
EMO服务器用来为移动客户端提供服务。执行本命令后,SSL VPN网关会将配置的EMO服务器信息下发给客户端,以便客户端访问EMO服务器。
在同一个SSL VPN网关视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN网关gw1下配置EMO服务器地址为10.10.1.1、端口号为9058。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel emo-server address 10.10.1.1 port 9058
【相关命令】
· display sslvpn gateway
ip-tunnel enable命令用来开启角色的IP接入功能。
undo ip-tunnel enable命令用来关闭角色的IP接入功能。
【命令】
ip-tunnel enable
undo ip-tunnel enable
【缺省情况】
角色的IP接入功能处于关闭状态。
【视图】
角色视图
【缺省用户角色】
network-admin
【使用指导】
在角色中开启IP接入功能后,属于该角色的SSL VPN用户将可以使用IP接入方式访问内网资源。
【举例】
# 在角色role1中,开启IP接入功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] role role1
[Sysname-sslvpn-gateway-gw-role-role1] ip-tunnel enable
ip-tunnel exclude-route命令用来配置下发给客户端的IPv4例外路由。
undo ip-tunnel exclude-route命令用来删除下发给客户端的IPv4例外路由。
【命令】
ip-tunnel exclude-route ipv4-address { mask | mask-length }
undo ip-tunnel exclude-route ipv4-address { mask | mask-length }
【缺省情况】
不存在下发给客户端的IPv4例外路由。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:IPv4路由的目的地址,不能是组播、广播、环回地址。
mask:IPv4路由目的地址的掩码。
mask-length:IPv4路由目的地址的掩码长度,取值范围为0~32。
【使用指导】
客户端通过IP接入方式访问网关时,SSL VPN网关将指定的例外路由表项下发给客户端。客户端在本地添加这些IPv4路由表项,匹配这些IPv4路由表项的报文将不会被发送给SSL VPN网关。客户端报文按照最长匹配原则选择匹配的IPv4例外路由。通过配置IPv4例外路由,可以防止访问指定网段的报文通过虚拟网卡发送给SSL VPN网关,便于网络管理员灵活设置路由表项。
多次执行本命令,可以添加多条下发给客户端的IPv4路由。
通过ip-tunnel exclude-route命令指定相同的IPv4路由表项时,最后一次执行的命令生效。
【举例】
# 在SSL VPN网关gw1下,配置下发给客户端的IPv4例外路由的目的地址为192.168.0.0,掩码长度16。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel exclude-route 192.168.0.0 16
ip-tunnel access-route命令用来配置下发给客户端的IPv4例外路由。
undo ip-tunnel access-route命令用来删除下发给客户端的IPv4例外路由。
【命令】
ip-tunnel exclude-route ipv4-address { mask | mask-length }
undo ip-tunnel exclude-route ipv4-address { mask | mask-length }
【缺省情况】
不存在下发给客户端的IPv4例外路由。
【视图】
SSL VPN角色视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:IPv4路由的目的地址,不能是组播、广播、环回地址。
mask:IPv4路由目的地址的掩码。
mask-length:IPv4路由目的地址的掩码长度,取值范围为0~32。
【使用指导】
客户端通过IP接入方式访问网关时,SSL VPN网关将指定的例外路由表项下发给客户端。客户端在本地添加这些IPv4路由表项,匹配这些IPv4路由表项的报文将不会被发送给SSL VPN网关。客户端报文按照最长匹配原则选择匹配的IPv4例外路由。通过配置IPv4例外路由,可以防止访问指定网段的报文通过虚拟网卡发送给SSL VPN网关,便于网络管理员灵活设置路由表项。
多次执行本命令,可以添加多条下发给客户端的IPv4路由。
通过ip-tunnel exclude-route命令指定相同的IPv4路由表项时,最后一次执行的命令生效。
【举例】
# 在SSL VPN角色role1下,配置下发给客户端的IPv4例外路由的目的地址为192.168.0.0,掩码长度16。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] role role1
[Sysname-sslvpn-gateway-gw-role-role1] ip-tunnel access-route 192.168.0.0 16
ip-tunnel interface命令用来配置IP接入引用的SSL VPN AC接口。
undo ip-tunnel interface命令用来恢复缺省情况。
【命令】
ip-tunnel interface sslvpn-ac interface-number
undo ip-tunnel interface
【缺省情况】
IP接入未引用SSL VPN AC接口。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
sslvpn-ac interface-number:引用的SSL VPN AC接口。interface-number为SSL VPN AC接口编号,取值范围为设备上已创建的SSL VPN AC接口的编号。指定的SSL VPN AC接口必须在设备上已经存在。
【使用指导】
当SSL VPN用户使用IP接入方式访问SSL VPN网关时,网关使用指定的SSL VPN AC接口与客户端通信。网关从SSL VPN AC接口接收到客户端发送的报文后,将报文转发到远端服务器;服务器做出响应后,网关会把应答报文通过SSL VPN AC接口发给客户端。
【举例】
# 在名称为SSL VPN网关gw1下配置IP接入引用的接口为SSL VPN AC 100。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel interface sslvpn-ac 100
【相关命令】
· interface sslvpn-ac
ip-tunnel ipv6 access-route命令用来配置下发给客户端的IPv6路由。
undo ip-tunnel ipv6 access-route命令用来删除下发给客户端的IPv6路由。
【命令】
ip-tunnel ipv6 access-route ipv6-address prefix-length
undo ip-tunnel ipv6 access-route ipv6-address prefix-length
【缺省情况】
未指定下发给客户端的IPv6路由。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
ipv6-address prefix-length:将指定IPv6路由下发给客户端。ipv6-address为IPv6路由的目的地址,不能是组播、广播、环回地址;prefix-length为IPv6路由目的地址的前缀长度,取值范围为0~128。
【使用指导】
客户端通过IP接入方式访问网关时,网关将指定的路由下发给客户端。客户端若访问该网段内的服务器,将通过虚拟网卡发送报文给SSL VPN网关,防止报文进入Internet。
多次执行本命令,可以添加多条下发给客户端的IPv6路由。
【举例】
# 在SSL VPN网关gw1下,配置下发给客户端的IPv6路由的目的地址为1234::100,前缀长度为64。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel ipv6 access-route 1234::100 64
【相关命令】
· display sslvpn gateway
ip-tunnel ipv6 access-route命令用来配置下发给客户端的IPv6路由表项。
undo ip-tunnel ipv6 access-route命令用来恢复缺省情况。
【命令】
ip-tunnel ipv6 access-route ipv6-address prefix-length
undo ip-tunnel ipv6 access-route
【缺省情况】
未指定下发给客户端的IPv6路由表项。
【视图】
角色视图
【缺省用户角色】
network-admin
【参数】
ipv6-address prefix-length:将指定IPv6路由下发给客户端。ipv6-address为IPv6路由的目的地址,只能是单播或任播地址,不能是多播、环回、本地链路单播地址;prefix-length为IPv6路由的前缀长度,取值范围为0~128。
【使用指导】
客户端通过IP接入方式访问网关时,网关将指定的IPv6路由下发给客户端。客户端若访问该网段内的服务器,报文就会通过虚拟网卡发送给SSL VPN网关,防止报文进入Internet。
【举例】
# 在SSL VPN角色role1下,配置下发给客户端的IPv6路由的目的地址为1::1,前缀长度为64。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] role role1
[Sysname-sslvpn-gateway-gw-role-role1] ip-tunnel ipv6 access-route 1::1 64
ip-tunnel ipv6 access-route force-all命令用来配置强制将客户端的IPv6流量转发给SSL VPN网关。
undo ip-tunnel ipv6 access-route force-all命令用来恢复缺省情况。
【命令】
ip-tunnel ipv6 access-route force-all
undo ip-tunnel ipv6 access-route force-all
【缺省情况】
未配置强制将客户端的IPv6流量转发给SSL VPN网关。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
force-all:强制将客户端的IPv6流量转发给SSL VPN网关。
【使用指导】
执行本命令时SSL VPN网关将在客户端上添加优先级最高的缺省IPv6路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到IPv6路由表项的IPv6流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端,不允许SSL VPN客户端删除此缺省IPv6路由,且不允许SSL VPN客户端添加优先级高于此IPv6路由的缺省IPv6路由。
【举例】
# 在SSL VPN网关gw1下配置强制将客户端的IPv6流量转发给SSL VPN网关。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel ipv6 access-route force-all
ip-tunnel ipv6 access-route force-all命令用来配置强制将客户端的IPv6流量转发给SSL VPN网关。
undo ip-tunnel ipv6 access-route force-all命令用来恢复缺省情况。
【命令】
ip-tunnel ipv6 access-route force-all
undo ip-tunnel ipv6 access-route force-all
【缺省情况】
未配置强制将客户端的IPv6流量转发给SSL VPN网关。
【视图】
角色视图
【缺省用户角色】
network-admin
【使用指导】
执行本命令后,SSL VPN网关将在客户端上添加优先级最高的缺省IPv6路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到IPv6路由表项的IPv6流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端,不允许SSL VPN客户端删除此缺省IPv6路由,且不允许SSL VPN客户端添加优先级高于此IPv6路由的缺省IPv6路由。
【举例】
# 在SSL VPN角色role1下,配置强制将客户端的IPv6流量转发给SSL VPN网关。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] role role1
[Sysname-sslvpn-gateway-gw-role-role1] ip-tunnel ipv6 access-route force-all
ip-tunnel ipv6 address-pool命令用来创建IPv6地址池。
undo ip-tunnel ipv6 address-pool命令用来删除指定的IPv6地址池。
【命令】
ip-tunnel ipv6 address-pool start-ipv6-address end-ipv6-address prefix prefix-length
undo ip-tunnel ipv6 address-pool start-ipv6-address end-ipv6-address
【缺省情况】
不存在IPv6地址池。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
start-ipv6-address end-ipv6-address:表示IPv6地址池的起始地址和结束地址,结束地址必须大于起始地址。起始地址和结束地址均不能是组播、广播、环回地址。
prefix prefix-length:指定IPv6地址池的前缀长度,取值范围为1~127。
【使用指导】
SSL VPN网关将从本命令配置的地址池中选择地址,并分配给IP接入方式的客户端。
可以多次执行本命令配置多个不同的地址池,但不同地址池的地址范围不允许重叠。
当一个网关下配置多个不同网段的IPv6地址池时,网关分配给客户端的IPv6地址可能与SSL VPN AC接口的IPv6地址不在同一个网段,需要在网关设备中添加一条经过SSL VPN AC接口到达客户端的路由。
【举例】
# 在SSL VPN网关gw1下,创建IPv6地址池,地址范围为1234::100~1234::200。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel ipv6 address-pool 1234::100~1234::200 prefix 120
【相关命令】
· display sslvpn gateway
ip-tunnel ipv6 address-pool命令用创建IPv6地址池。
undo ip-tunnel ipv6 address-pool命令用来恢复缺省情况。
【命令】
ip-tunnel ipv6 address-pool start-ipv6-address end-ipv6-address prefix prefix-length
undo ip-tunnel ipv6 address-pool
【缺省情况】
不存在IPv6地址池。
【视图】
角色视图
【缺省用户角色】
network-admin
【参数】
start-ipv6-address end-ipv6-address:表示IPv6地址池的起始地址和结束地址,结束地址必须大于起始地址。起始地址和结束地址均不能是组播、广播、环回地址。
prefix prefix-length:指定IPv6地址池的前缀长度,取值范围为1~127。
【使用指导】
SSL VPN网关将从本命令配置的地址池中选择地址,并分配给IP接入方式的客户端。
多次执行本命令可配置多个不同的地址池,但不同地址池的地址范围不允许重叠。
当一个角色下配置多个不同网段的IPv6地址池时,网关分配给客户端的IPv6地址可能与SSL VPN AC接口的IPv6地址不在同一个网段,需要在网关设备中添加一条经过SSL VPN AC接口到达客户端的路由。
【举例】
#在SSL VPN网关role1下,创建IPv6地址池,地址范围为1234::100~1234::200。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] role role1
[Sysname-sslvpn-gateway-gw-role-role1] ip-tunnel ipv6 address-pool 1234::100 1234::200 prefix 120
ip-tunnel ipv6 dns-server命令用来配置为客户端指定的内网DNS服务器IPv6地址。
undo ip-tunnel ipv6 dns-server 命令用来恢复缺省情况。
【命令】
ip-tunnel ipv6 dns-server { primary | secondary } ipv6-address
undo ip-tunnel ipv6 dns-server { primary | secondary }
【缺省情况】
未配置为客户端指定的DNS服务器的IPv6地址。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
primary:指定主DNS服务器。
secondary:指定备DNS服务器。
ipv6-address:DNS服务器的IPv6地址,不能是组播、广播、环回地址。
【举例】
# 在SSL VPN网关gw1下,配置为客户端指定的内网DNS服务器IPv6地址为1234::100。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel ipv6 dns-server primary 1234::100
【相关命令】
· display sslvpn gateway
ip-tunnel ipv6 exclude-route命令用来配置下发给客户端的IPv6例外路由。
undo ip-tunnel ipv6 exclude-route命令用来删除下发给客户端的IPv6例外路由。
【命令】
ip-tunnel ipv6 exclude-route ipv6-address prefix-length
undo ip-tunnel ipv6 exclude-route ipv6-address prefix-length
【缺省情况】
不存在下发给客户端的IPv6例外路由。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
ipv6-address prefix-length:将指定IPv6例外路由下发给客户端。ipv6-address为IPv6路由的目的地址,不能是组播、广播、环回地址;prefix-length为IPv6路由目的地址的前缀长度,取值范围为0~128。
【使用指导】
客户端通过IP接入方式访问网关时,SSL VPN网关将指定的例外路由表项下发给客户端。客户端在本地添加这些IPv6路由表项,匹配这些IPv6路由表项的报文将不会被发送给SSL VPN网关。客户端报文按照最长匹配原则选择匹配的IPv6例外路由。通过配置IPv6例外路由,可以防止访问指定网段的报文通过虚拟网卡发送给SSL VPN网关,便于网络管理员灵活设置路由表项。
多次执行本命令,可以添加多条下发给客户端的IPv6例外路由。
通过ip-tunnel ipv6 exclude-route命令指定相同的IPv6路由表项时,最后一次执行的命令生效。
【举例】
# 在SSL VPN网关gw1下,配置下发给客户端的IPv6例外路由的目的地址为1234::100,前缀长度为64。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel ipv6 exclude-route 1234::100 64
ip-tunnel ipv6 exclude-route命令用来配置下发给客户端的IPv6例外路由。
undo ip-tunnel ipv6 exclude-route命令用来删除下发给客户端的IPv6例外路由。
【命令】
ip-tunnel ipv6 exclude-route ipv6-address prefix-length
undo ip-tunnel ipv6 exclude-route ipv6-address prefix-length
【缺省情况】
不存在下发给客户端的IPv6例外路由。
【视图】
SSL VPN角色视图
【缺省用户角色】
network-admin
【参数】
ipv6-address prefix-length:将指定IPv6例外路由下发给客户端。ipv6-address为IPv6路由的目的地址,不能是组播、广播、环回地址;prefix-length为IPv6路由目的地址的前缀长度,取值范围为0~128。
【使用指导】
客户端通过IP接入方式访问网关时,SSL VPN网关将指定的例外路由表项下发给客户端。客户端在本地添加这些IPv6路由表项,匹配这些IPv6路由表项的报文将不会被发送给SSL VPN网关。客户端报文按照最长匹配原则选择匹配的IPv6例外路由。通过配置IPv6例外路由,可以防止访问指定网段的报文通过虚拟网卡发送给SSL VPN网关,便于网络管理员灵活设置路由表项。
多次执行本命令,可以添加多条下发给客户端的IPv6例外路由。
通过ip-tunnel ipv6 exclude-route命令指定相同的IPv6路由表项时,最后一次执行的命令生效。
【举例】
# 在SSL VPN角色role1下,配置下发给客户端的IPv6例外路由的目的地址为1::1,前缀长度为64。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] role role1
[Sysname-sslvpn-gateway-gw-role-role1] ip-tunnel ipv6 exclude-route 1::1 64
ip-tunnel keepalive命令用来配置保活报文的发送时间间隔。
undo ip-tunnel keepalive命令用来恢复缺省情况。
【命令】
ip-tunnel keepalive seconds
undo ip-tunnel keepalive
【缺省情况】
保活报文的发送时间间隔为30秒。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
seconds:保活报文的发送间隔时间,取值范围为0~600,单位为秒。如果保活报文发送时间间隔配置为0,则客户端不发送保活报文。
【使用指导】
保活报文由客户端发送给网关,用于维持客户端和网关之间的连接。
如果SSL VPN在线用户的空闲时间超过timeout idle命令指定的时间,即在该命令指定的时间内,既没有收到客户端发送的数据报文,也没有收到保活报文,则会断开客户端与网关之间的连接。
通常情况下,配置的保活报文发送时间间隔应该小于timeout idle命令配置的最大空闲时间。
【举例】
# 在名称为SSL VPN网关gw1下配置保活报文的发送时间间隔为50秒。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel keepalive 50
【相关命令】
· display sslvpn gateway
ip-tunnel message-server命令用来配置为客户端指定的Message服务器。
undo ip-tunnel message-server命令用来恢复缺省情况。
【命令】
ip-tunnel message-server address { host-name | ipv4-address } port port-number
undo ip-tunnel message-server
【缺省情况】
没有配置为客户端指定的Message服务器。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
address:指定Message服务器的主机名或IPv4地址。
host-name:Message服务器的主机名,为1~127个字符的字符串,可以包含字母、数字、下划线、“-”和“.”,不区分大小写。
ipv4-address:Message服务器的IPv4地址,为点分十进制格式,不能是组播、广播、环回地址。
port port-number:指定Message服务器使用的端口号。port-number取值范围为1025~65535。
【使用指导】
Message服务器用来为移动客户端提供服务。执行本命令后,SSL VPN网关会将配置的Message服务器信息下发给客户端,以便客户端访问Message服务器。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN网关gw1下配置Message服务器。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel message-server address 10.10.1.1 port 8000
【相关命令】
· display sslvpn gateway
ip-tunnel rate-limit命令用来开启IP接入方式的限速功能,并配置限速速率。
undo ip-tunnel rate-limit命令用来关闭指定方向的IP接入方式限速功能。
【命令】
ip-tunnel rate-limit { downstream | upstream } { kbps | pps } value
undo ip-tunnel rate-limit { downstream | upstream }
【缺省情况】
IP接入方式的限速功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
downstream:下行流量,即内网资源服务器发送给SSL VPN用户的流量。
upstream:上行流量,即SSL VPN用户访问内网资源服务器的流量。
kbps:表示限速速率单位为千比特每秒。
pps:表示限速速率单位为报文数每秒。
value:表示允许的最大速率,取值范围为1000~100000000。
【使用指导】
本功能用于限制SSL VPN网关的IP接入速率,超过此速率之后,网关收到的报文将被丢弃。管理员可根据需求和实际情况进行合理配置。
可多次执行本命令,分别对上行流量和下行流量进行限速。针对上行或下行流量,重复配置,最后一次配置生效。
【举例】
# 配置SSL VPN网关gw1下IP接入的上行流量最大速率限制为10000pps。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel rate-limit upstream pps 10000
ip-tunnel web-resource auto-push命令用来开启IP方式成功登录SSL VPN网关后自动推送资源列表功能。
undo ip-tunnel web-resource auto-push命令用来关闭IP方式成功登录SSL VPN网关后自动推送资源列表功能。
【命令】
ip-tunnel web-resource auto-push
undo ip-tunnel web-resource auto-push
【缺省情况】
IP方式成功登录SSL VPN网关后自动推送资源列表功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【使用指导】
开启此功能,SSL VPN用户通过IP方式(iNode客户端)成功登录SSL VPN网关后,设备会自动推送资源列表,以便用户通过Web方式访问所授权的资源。
本功能仅支持在Windows系统安装了iNode环境下使用,安装iNode客户端有如下两种方式:
· 通过浏览器登录SSL VPN网关后,下载并安装设备自带的iNode客户端。
· 安装官网下载的iNode客户端,这种方式下需要在定制iNode客户端时勾选“生成VPN网关iNode安装包”选项,否则会因为推送的Web页面无法检测iNode客户端是否已登录,而导致用户自动下线。
【举例】
# 在SSL VPN网关gw1下开启IP方式成功登录SSL VPN网关后自动推送资源列表功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel web-resource auto-push
ip-tunnel wins-server命令用来配置为客户端指定的内网WINS服务器IPv4地址。
undo ip-tunnel wins-server命令用来恢复缺省情况。
【命令】
ip-tunnel wins-server { primary | secondary } ip-address
undo ip-tunnel wins-server { primary | secondary }
【缺省情况】
未配置为客户端指定的WINS服务器IPv4地址。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
primary:配置主WINS服务器。
secondary:配置备WINS服务器。
ip-address:WINS服务器的IPv4地址,不能是组播、广播、环回地址。
【举例】
# 在名称为SSL VPN网关gw1下配置为客户端指定的内网主WINS服务器IPv4地址为1.1.1.1。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel wins-server primary 1.1.1.1
【相关命令】
· display sslvpn gateway
log ip-tunnel命令用来开启IP接入的日志生成功能。
undo log ip-tunne命令用来关闭IP接入的日志功能。
【命令】
log ip-tunnel { address-alloc-release | connection-close | packet-drop }
undo log ip-tunnel { address-alloc-release | connection-close | packet-drop }
【缺省情况】
IP接入的日志功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
address-alloc-release:IP接入客户端虚拟网卡IP地址分配和释放的日志开关。
connection-close:IP接入连接关闭日志的开关。
packet-drop:IP接入丢包日志开关。
【使用指导】
IP接入日志包括以下三种:
· 客户端虚拟网卡IP地址分配和释放日志:IP接入方式下,SSL VPN网关为客户端虚拟网卡分配和释放IP地址时,SSL VPN网关会生成日志信息。
· 连接关闭日志:IP接入建立的连接被关闭时,SSL VPN网关会生成日志信息。
· 丢包日志:IP接入建立的连接发生丢包时,SSL VPN网关会生成日志信息。
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 在SSL VPN网关gw1下开启丢包日志功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] log ip-tunnel connection-close
【相关命令】
· display sslvpn gateway
log resource-access enable命令用来开启用户访问资源日志生成功能。
undo log resource-access enable命令用来关闭用户访问资源日志生成功能。
【命令】
log resource-access enable [ brief | filtering ] *
undo log resource-access enable
【缺省情况】
用户访问资源日志生成功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
brief:开启用户访问资源日志摘要功能。当开启该功能后,仅显示访问资源的地址及其端口号,增强日志的可读性。若不指定该参数,当用户访问资源时,日志信息会包含大量网页的构成元素信息。
filtering:开启用户访问资源日志过滤功能。当开启该功能后,1分钟内同一用户重复访问相同资源时仅生成一条日志信息。若不指定该参数,则表示同一用户重复访问相同资源时,均生产日志信息。
【使用指导】
开启本功能后,用户访问资源信息时,SSL VPN网关会生成日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。
用户访问资源日志不会输出到控制台和监视终端。当信息中心配置的规则将用户访问资源日志输出到控制台和监视终端时,若仍需要查看用户访问资源日志,可通过执行display logbuffer命令查看。有关信息中心和display logbuffer命令的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 开启用户访问资源日志生成功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] log resource-access enable
log user-login enable命令用来开启用户上下线日志生成功能。
undo log user-login enable命令用来关闭用户上下线日志生成功能。
【命令】
log user-login enable
undo log user-login enable
【缺省情况】
用户上下线日志生成功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,用户上线下线时,SSL VPN网关会生成日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 开启用户上下线日志生成功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] log user-login enable
login-message命令用来配置SSL VPN登录页面的欢迎信息。
undo login-message命令用来恢复缺省情况。
【命令】
login-message { chinese chinese-message | english english-message }
undo login-message { chinese | english }
【缺省情况】
英文登录页面的欢迎信息为“Welcome to SSL VPN”,中文登录页面的欢迎信息为“欢迎进入SSL VPN”。
【视图】
SSL VPN页面定制视图
【缺省用户角色】
network-admin
【参数】
chinese chinese-message:指定中文页面的欢迎信息。chinese-message为1~255个字符的字符串,区分大小写。
english english-message:指定英文页面的欢迎信息。english-message为1~255个字符的字符串,区分大小写。
【举例】
# 配置SSL VPN英文页面的欢迎信息为“hello”,中文页面的欢迎信息为“你好”。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] webpage customization
[Sysname-sslvpn-gateway-gw1-webpage-customization] login-message english hello
[Sysname-sslvpn-gateway-gw1-webpage-customization] login-message chinese 你好
logo命令用来配置SSL VPN页面上显示的logo。
undo logo命令用来恢复缺省情况。
【命令】
logo { file file-name | none }
undo logo
【缺省情况】
SSL VPN页面上显示“H3C”logo图标。
【视图】
SSL VPN页面定制视图
【缺省用户角色】
network-admin
【参数】
file file-name:指定logo图标文件。file-name为1~255字符的字符串,不区分大小写。filename指定的logo图标文件必须为gif、jpg或png格式,且不能超过100KB,建议图片尺寸在110*30像素左右。
none:不显示logo图标。
【使用指导】
指定的logo图标文件必须是本地已经存在的文件。
如果指定logo图标文件后,删除该文件,则仍然会显示该文件对应的logo图标。
【举例】
# 配置SSL VPN页面上显示的logo为flash:/mylogo.gif文件对应的logo图标。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] webpage customization
[Sysname-sslvpn-gateway-gw1-webpage-customization] logo file flash:/mylogo.gif
max-onlines per-account命令用来配置同一用户名的同时最大在线数。
undo max-onlines per-account命令用来恢复缺省情况。
【命令】
max-onlines per-account number
undo max-onlines per-account
【缺省情况】
同一用户名的同时最大在线数为32。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
number:SSL VPN的同一用户名同时最大在线数,取值范围为0~1048575,取值为0时表示不限制同一用户的同时最大在线数。
【使用指导】
在同一个SSL VPN网关视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置同一用户名的同时最大在线数为50。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] max-onlines per-account 50
max-online-users per-gateway命令用来配置SSL VPN网关的最大在线用户数。
undo max-online-users per-gateway命令用来恢复缺省情况。
【命令】
max-online-users per-gateway max-number
undo max-online-users per-gateway
【缺省情况】
SSL VPN网关的最大在线用户数为1048575。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
per-gateway max-number:指定SSL VPN网关的最大在线用户数,max-number取值范围为1~1048575。
【使用指导】
SSL VPN网关下的在线用户数目达到本命令配置的值后,新的用户将无法登录该SSL VPN网关。
【举例】
# 在SSL VPN网关gw1下,配置SSL VPN网关的最大在线用户数为500。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] max-online-users per-gateway 500
【相关命令】
· display sslvpn gateway
mtu命令用来配置接口的MTU值。
undo mtu命令用来恢复缺省情况。
【命令】
mtu size
undo mtu
【缺省情况】
接口的MTU值为1500字节。
【视图】
SSL VPN AC接口视图
【缺省用户角色】
network-admin
【参数】
size:接口的MTU值,取值范围为100~64000,单位为字节。
【举例】
# 配置接口SSL VPN AC 1000的MTU值为1430字节。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] mtu 1430
notify-message命令用来配置公告信息。
undo notify-message命令用来恢复缺省情况。
【命令】
notify-message { login-page | resource-page } { chinese chinese-message | english english-message }
undo notify-message { login-page | resource-page } { chinese | english }
【缺省情况】
未配置公告消息。
【视图】
SSL VPN页面定制视图
【缺省用户角色】
network-admin
【参数】
login-page:指定SSL VPN登录页面公告信息。
resource-page:指定SSL VPN资源页面公告信息。
chinese chinese-message:指定中文页面公告信息。chinese-message为1~255个字符的字符串,区分大小写。
english english-message:指定英文页面公告信息。english-message为1~255个字符的字符串,区分大小写。
【使用指导】
本命令配置的公告信息为显示在SSL VPN登录页面和资源页面的公告信息。一般用于定期向用户推送修改密码的通知,提醒用户修改密码。
在同一个SSL VPN网关视图下,多次执行本命令配置相同界面相同语言的公告信息,最后一次执行的命令生效。
【举例】
# 配置SSL VPN中文登录页面的公告信息为“请及时修改密码”。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] webpage customization
[Sysname-sslvpn-gateway-gw1-webpage-customization] notify-message login-page chinese 请及时修改密码
password-authentication enable命令用来开启用户名/密码认证功能。
undo password-authentication enable命令用来关闭用户名/密码认证功能。
【命令】
password-authentication enable
undo password-authentication enable
【缺省情况】
用户名/密码认证功能处于开启状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【举例】
# 关闭SSL VPN网关的用户名/密码认证功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] undo password-authentication enable
【相关命令】
· certificate-authentication enable
· display sslvpn gateway
password-box hide命令用来隐藏SSL VPN Web登录页面的密码输入框。
undo password-box hide命令用来显示SSL VPN Web登录页面的密码输入框。
【命令】
password-box hide
undo password-box hide
【缺省情况】
SSL VPN Web登录页面显示密码输入框。
【视图】
SSL VPN页面定制视图
【缺省用户角色】
network-admin
【使用指导】
隐藏SSL VPN Web登录页面的密码输入框后,只有空密码用户可以登录,其余用户均无法登录。
为了保证设备的可用性和安全性,建议配合其他验证方式使用。
当管理员希望通过除用户名/密码以外的方式验证用户身份时,建议使用本功能。
【举例】
# 配置隐藏Web登录页面的密码输入框。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] webpage customization
[Sysname-sslvpn-gateway-gw1-webpage-customization] password-box hide
password-changing enable命令用来开启用户修改SSL VPN登录密码功能。
undo password-changing enable命令用来关闭用户修改SSL VPN登录密码功能。
【命令】
password-changing enable
undo password-changing enable
【缺省情况】
用户修改SSL VPN登录密码功能处于开启状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【使用指导】
本功能用于SSL VPN网关的管理员进行用户修改密码控制。当开启本功能时,用户登录SSL VPN网关后,进入SSL VPN资源页面,可以在页面点击修改密码按钮,修改SSL VPN登录密码;当关闭本功能时,SSL VPN资源页面的修改密码按钮将处于隐藏状态,用户无法修改密码。
本命令用于开启和关闭网关下所有用户修改SSL VPN登录密码功能。如果用户视图下配置了关闭用户修改SSL VPN登录密码功能,则用户视图下的配置生效。
【举例】
# 在SSL VPN网关gw1下开启用户修改SSL VPN登录密码功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] password-changing enable
【相关命令】
· display sslvpn gateway
· password-changing enable (SSL VPN user view)
password-changing enable命令用来开启用户修改SSL VPN登录密码功能。
undo password-changing enable命令用来关闭用户修改SSL VPN登录密码功能。
【命令】
password-changing enable
undo password-changing enable
【缺省情况】
用户修改SSL VPN登录密码功能处于开启状态。
【视图】
SSL VPN用户视图
【缺省用户角色】
network-admin
【使用指导】
本功能用于SSL VPN网关的管理员进行用户修改密码控制。当开启本功能时,用户登录SSL VPN网关后,进入SSL VPN资源页面,可以在页面点击修改密码按钮,修改SSL VPN登录密码;当关闭本功能时,SSL VPN资源页面的修改密码按钮将处于隐藏状态,用户无法修改密码。
本命令用于开启和关闭特定用户修改SSL VPN登录密码功能。
【举例】
# 开启用户user1修改SSL VPN登录密码功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] user user1
[Sysname-sslvpn-gateway-gw1-user-user1] password-changing enable
【相关命令】
· password-changing enable (SSL VPN gateway view)
password-complexity-message命令用来配置密码复杂度提示信息。
undo password-complexity-message命令用来恢复缺省情况。
【命令】
password-complexity-message { chinese chinese-message | english english-message }
undo password-complexity-message { chinese | english }
【缺省情况】
未配置密码复杂度提示信息。
【视图】
SSL VPN页面定制视图
【缺省用户角色】
network-admin
【参数】
chinese chinese-message:指定中文页面的密码复杂度提示信息。chinese-message为1~255个字符的字符串,区分大小写。
english english-message:指定英文页面的密码复杂度提示信息。english-message为1~255个字符的字符串,区分大小写。
【使用指导】
本命令配置的中英文页面密码复杂度提示信息将在SSL VPN修改密码页面显示,用于提示用户输入满足密码复杂度要求的新密码。
在同一个SSL VPN网关视图下,多次执行本命令配置相同语言的提示信息,最后一次执行的命令生效。
【举例】
# 在SSL VPN页面定制视图下,配置中文页面密码复杂度提示信息为“必须包含大小写字母”。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] webpage customization
[Sysname-sslvpn-gateway-gw1-webpage-customization] password-complexity-message chinese 必须包含大小写字母
prevent-cracking freeze-ip命令用来设置防暴力破解冻结IP地址功能参数。
undo prevent-cracking freeze-ip命令用来恢复缺省情况。
【命令】
prevent-cracking freeze-ip login-failures login-failures freeze-time freeze-time
undo prevent-cracking freeze-ip
【缺省情况】
允许同一IP地址连续登录网关失败的次数为64次,IP地址被冻结的时间为30秒。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
login-failures login-failures:表示允许同一IP地址连续登录网关失败的次数,取值范围为64~2048,单位为次。
freeze-time freeze-time:表示IP地址被冻结的时间,取值范围为30~1800,单位为秒。
【使用指导】
防暴力破解功能指,通过限制同一IP地址尝试登录SSL VPN网关的次数,降低登录信息被暴力破解的风险。
当同一IP地址连续登录SSL VPN网关失败(即两次登录失败的间隔在45秒内)的次数达到本命令配置的限制次数时,SSL VPN网关将冻结该IP地址,在冻结期间内,禁止该IP地址再次登录此SSL VPN网关。当达到冻结时间后,被冻结的IP地址将自动解冻。
在同一个SSL VPN网关视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN网关gw1下,配置同一IP地址连续登录SSL VPN网关失败的次数达到100次时冻结该IP地址,IP地址的冻结时间为60秒。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] prevent-cracking freeze-ip login-failures 100 freeze-time 60
【相关命令】
· display sslvpn prevent-cracking frozen-ip
prevent-cracking freeze-ip enable命令用来开启防暴力破解冻结IP地址功能。
undo prevent-cracking freeze-ip enable命令用来关闭防暴力破解冻结IP地址功能。
【命令】
prevent-cracking freeze-ip enable
undo prevent-cracking freeze-ip enable
【缺省情况】
防暴力破解冻结IP地址功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【举例】
# 开启防暴力破解冻结IP地址功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] prevent-cracking freeze-ip enable
【相关命令】
· display sslvpn prevent-cracking frozen-ip
prevent-cracking unfreeze-ip命令用来手工解冻防暴力破解冻结的IP地址。
【命令】
prevent-cracking unfreeze-ip { all | { ipv4 | ipv6 } ip-address }
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
all:表示手工解冻所有IP地址。
ipv4:表示指定IPv4地址。
ipv6:表示指定IPv6地址。
ip-address:表示手工解冻的IP地址。
【使用指导】
本命令用于解冻SSL VPN网关下防暴力破解冻结的IP地址,解冻后的IP地址将被允许再次登录该SSL VPN网关。
【举例】
# 在SSL VPN网关gw1下,解冻所有防暴力破解冻结的IP地址。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] prevent-cracking unfreeze-ip all
【相关命令】
· display sslvpn prevent-cracking frozen-ip
prevent-cracking verify-code命令用来设置防暴力破解验证码验证功能参数。
undo prevent-cracking verify-code命令用来恢复缺省情况。
【命令】
prevent-cracking verify-code login-failures login-failures
undo prevent-cracking verify-code
【缺省情况】
允许同一IP地址连续登录SSL VPN网关失败的次数为5次。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
login-failures login-failures:表示允许同一IP地址连续登录SSL VPN网关失败的次数,取值范围为1~63,单位为次。
【使用指导】
开启本功能后,当同一IP地址连续登录SSL VPN网关失败的次数超过SSL VPN网关管理员通过本命令配置的限制次数时,SSL VPN网关将启用验证码验证功能,使用该IP地址的SSL VPN用户只有通过验证码验证才能登录SSL VPN网关。
在同一个SSL VPN网关视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN网关gw1下,配置同一IP地址连续登录网关失败的次数超过10次,将启用验证码验证功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] prevent-cracking verify-code login-failures-times 10
prevent-cracking verify-code enable命令用来开启防暴力破解验证码验证功能。
undo prevent-cracking verify-code enable命令用来关闭防暴力破解验证码验证功能。
【命令】
prevent-cracking verify-code enable
undo prevent-cracking verify-code enable
【缺省情况】
防暴力破解验证码验证功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【举例】
# 开启防暴力破解验证码验证功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] prevent-cracking verify-code enable
rate-limit命令用来开启SSL VPN会话的限速功能,并配置限速速率。
undo rate-limit命令用来关闭指定方向的SSL VPN会话的限速功能。
【命令】
rate-limit { downstream | upstream } value
undo rate-limit { downstream | upstream }
【缺省情况】
SSL VPN会话的限速功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
downstream:SSL VPN用户的下行流量,即内网资源服务器发送给SSL VPN用户的流量。
upstream:SSL VPN用户的上行流量,即SSL VPN用户访问内网资源服务器的流量。
value:表示允许的最大速率,取值范围为1000~100000000,单位为kbps。
【使用指导】
本功能用于限制SSL VPN网关下SSL VPN会话的速率,超过此速率之后,此SSL VPN会话相应方向的报文将会被丢弃。管理员可根据需求和实际情况进行合理配置。
可多次执行本命令,分别对上行流量和下行流量进行限速。针对上行或下行流量,重复配置,最后一次配置生效。
【举例】
# 在SSL VPN网关gw1下,配置SSL VPN会话的上行流量最大速率限制为10000kbps。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] rate-limit upstream 10000
request-header-field命令用来配置自定义认证的HTTP请求报文首部字段。
undo request-header-field命令用来取消配置自定义认证的HTTP请求报文首部字段。
【命令】
request-header-field field-name value value
undo request-header-field field-name
【缺省情况】
自定义认证的HTTP请求报文首部字段内包含如下内容:Content-type:application/x-www-form-urlencoded
User-Agent:nodejs 4.1
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q
【视图】
自定义认证方案视图
【缺省用户角色】
network-admin
【参数】
field-name:自定义认证的HTTP请求报文首部字段属性名,为1~63个字符的字符串,不区分大小写,不包括如下字符:
· ()<>@,;:\"/[]?={}
· 空格符
· 水平制表符
· ASCII码中小于等于31、大于等于127的字符
value value:自定义认证的HTTP请求报文首部字段属性值,为1~255个字符的字符串,不支持正则元字符?。
【使用指导】
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备发送给自定义认证服务器的HTTP请求报文首部字段参数,该参数需要与自定义认证的HTTP请求方式、认证服务器的URL地址和认证信息请求模板等参数配合使用才能生效。
在同一个自定义认证方案视图下,多次执行本命令,如果field-name的值不同,则可以配置多个不同属性的值;如果field-name的值相同,则最后一次配置生效。
【举例】
# 在SSL VPN自定义认证方案custom1视图下配置自定义认证的HTTP请求首部的Host字段为192.168.56.2:8080。
<Sysname> system-view
[Sysname] sslvpn custom-authentication scheme custom1
[Sysname-sslvpn-custom-authentication-scheme-custom1] request-header-field host value 192.168.56.2:8080
【相关命令】
· authentication server-type
· request-method
· request-template
· url
request-method命令用来配置自定义认证的HTTP请求方式。
undo request-method命令用来恢复缺省情况。
【命令】
request-method { get | post }
undo request-method
【缺省情况】
自定义认证的HTTP请求方式为GET。
【视图】
自定义认证方案视图
【缺省用户角色】
network-admin
【参数】
get:表示HTTP请求方式为GET。
post:表示HTTP请求方式为POST。
【使用指导】
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备发送给自定义认证服务器的HTTP请求的方式,该设置需要与自定义认证的请求报文首部字段、认证服务器的URL地址和认证信息请求模板等参数配合使用才能生效。
在同一个自定义认证方案视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN自定义认证方案custom1视图下配置自定义认证的HTTP请求方式为POST。
<Sysname> system-view
[Sysname] sslvpn custom-authentication scheme custom1
[Sysname-sslvpn-custom-authentication-scheme-custom1] request-method post
【相关命令】
· authentication server-type
· request-template
· url
request-template命令用来配置自定义认证的认证信息请求模板。
undo request-template命令用来恢复缺省情况。
【命令】
request-template template
undo request-template
【缺省情况】
未配置自定义认证的认证信息请求模板。
【视图】
自定义认证方案视图
【缺省用户角色】
network-admin
【参数】
template:SSL VPN网关向自定义认证服务器发送用户名、密码等信息的认证信息请求模板,为1~255个字符的字符串,不区分大小写。
【使用指导】
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备发送给自定义认证服务器的认证信息请求模板,该设置需要与自定义认证的请求报文首部字段、认证服务器的URL地址和HTTP请求的方式等参数配合使用才能生效。
本命令支持的三种预定义请求模板格式如下:
· form表单格式:(请求方式为POST/GET)
username=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1234
· json格式:(请求方式为POST)
{“name”:”$$USERNAME$$”,“password”:”,$$PASSWORD$$”,“resid”:”1234”}
· xml格式:(请求方式为POST)
<uname>$$USERNAME$$</uname><psw>$$PASSWORD$$</psw>
以上模板格式中,两个$$符号之间的变量目前包括以下几种:
· USERNAME:用户名
· PASSWORD:密码
· PASSWORD_MD5:经过MD5加密的密码
SSL VPN用户登录SSL VPN网关时,SSL VPN网关会用SSL VPN用户登录时的用户名和密码替换认证信息请求模板中的USERNAME、PASSWORD_MD5等变量,并将认证信息请求模板发送至自定义认证服务器。
在同一个自定义认证方案视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN自定义认证方案custom1视图下配置自定义认证的认证信息请求模板为:username=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1952252223973828。
<Sysname> system-view
[Sysname] sslvpn custom-authentication scheme custom1
[Sysname-sslvpn-custom-authentication-scheme-custom1] request-template username=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1952252223973828
【相关命令】
· authentication server-type
· request-method
· url
reset counters interface sslvpn-ac命令用来清除SSL VPN AC接口的统计信息。
【命令】
reset counters interface [ sslvpn-ac [ interface-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
sslvpn-ac [ interface-number ]:指定接口的类型及编号。interface-number为SSL VPN AC接口的编号,取值范围为0~4095。如果不指定sslvpn-ac,则清除所有接口的统计信息,如果指定sslvpn-ac而不指定interface-number,则清除所有SSL VPN AC接口的统计信息。
【使用指导】
在某些情况下,需要统计一定时间内某接口的流量,这就需要在统计开始前清除该接口原有的统计信息,重新进行统计。
【举例】
# 清除接口SSL VPN AC 1000的统计信息。
<Sysname> reset counters interface sslvpn-ac 1000
【相关命令】
· display interface sslvpn-ac
reset sslvpn ip-tunnel statistics命令用来清除通过IP接入的SSL VPN在线用户的报文统计信息。
【命令】
reset sslvpn ip-tunnel statistics [ gateway gateway-name [ user-id user-id ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
gateway gateway-name:清除指定SSL VPN网关下通过IP接入的SSL VPN在线用户的报文统计信息。gateway-name表示SSL VPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则清除所有SSL VPN网关下通过IP接入的SSL VPN在线用户的报文统计信息。
user-id user-id:清除指定用户ID的SSL VPN在线用户的IP接入报文统计信息。user-id表示SSL VPN在线用户的标识,取值范围为1~4294967295。如果不指定本参数,则清除指定的SSL VPN网关下所有通过IP接入的SSL VPN在线用户的报文统计信息。
【使用指导】
SSL VPN网关名和用户ID可以通过display sslvpn online-users来查看。如果不指定任何参数,则表示清除所有SSL VPN网关下的所有在线用户的IP接入报文统计信息。
【举例】
# 清除所有SSL VPN网关下通过IP接入的SSL VPN在线用户的报文统计信息。
<Sysname> reset sslvpn ip-tunnel statistics
# 清除SSL VPN网关gw1下通过IP接入的SSL VPN在线用户的报文统计信息。
<Sysname> reset sslvpn ip-tunnel statistics gateway gw1
# 清除SSL VPN网关gw1下用户ID为1的SSL VPN在线用户的IP接入报文统计信息。
<Sysname> reset sslvpn ip-tunnel statistics gateway gw1 user-id 1
【相关命令】
· display sslvpn ip-tunnel statistics
resources-file命令用来配置供用户下载的资源文件。
undo resources-file命令用来恢复缺省情况。
【命令】
resources-file { chinese chinese-filename | english english- filename }
undo resources-file { chinese | english }
【缺省情况】
未配置供用户下载的资源文件。
【视图】
SSL VPN页面定制视图
【缺省用户角色】
network-admin
【参数】
chinese chinese-filename:指定中文页面供用户下载的文件名。chinese-filename为1~31个字符的字符串,区分大小写。
english english-filename:指定英文页面供用户下载的文件名。english-filename为1~31个字符的字符串,区分大小写。
【使用指导】
本命令配置的文件,将在SSL VPN资源页面显示,可供用户下载使用。文件需由SSL VPN网关管理员提前上传至设备的文件管理系统,且通过本命令配置该文件时需要输入文件的完整路径。
在同一个SSL VPN访问实例视图下,多次执行本命令配置相同语言的资源文件,最后一次执行的命令生效。
【举例】
# 在SSL VPN网关gw1下,指定中文页面服务器返回信息“认证成功”的改写内容为“用户身份认证成功”。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] webpage customization
[Sysname-sslvpn-gateway-gw1-webpage-customization] resources-file chinese flash:/sslvpnhelp.pdf
response-custom-template命令用来配置自定义认证的自定义应答模板。
undo response-custom-template命令用来恢复缺省情况。
【命令】
response-custom-template { message | result } template
undo response-custom-template { message | result }
【缺省情况】
未配置自定义认证的自定义应答模板。
【视图】
自定义认证方案视图
【缺省用户角色】
network-admin
【参数】
message:表示message字段后面为认证结果提示信息的自定义应答模板。
result:表示result字段后面为认证结果的自定义应答模板。
template:自定义应答模板,为1~63个字符的字符串,不区分大小写。
【使用指导】
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备解析自定义认证服务器应答的认证结果模板,该模板需要与HTTP应答报文格式等参数配合使用才能生效。例如,配置了认证结果字段result的模板为“result=$$value$$”,那么在解析custom格式的应答报文时就用“result=$$value$$”的格式去解析认证结果字段。
自定义应答模板中value前后的内容需要与认证服务器应答报文中的value值前后的内容保持一致。例如服务器应答的报文为“auth-result=true,”,则应答模板应该配置为“auth-result=$$value$$,”($$value$$前后的开始和结束标识符“auth-result=”和“,”应与true前后的内容保持一致)。
模板中的$$符用于程序检测开始和结束标识符,当程序检测到第一个$$时,则认为其前面的内容为解析报文时用到的开始标识符,当检测到第二个$$时,则将其后面的内容作为解析报文时用到的结束标识符。
【举例】
# 在SSL VPN自定义认证方案custom1视图下配置自定义认证的自定义应答模板为result=$$value$$,company=$$value$$,message=$$value$$。
<Sysname> system-view
[Sysname] sslvpn custom-authentication scheme custom1
[Sysname-sslvpn-custom-authentication-scheme-custom1] response-custom-template result result=$$value$$,
[Sysname-sslvpn-custom-authentication-scheme-custom1] response-custom-template message message=$$value$$
【相关命令】
· authentication server-type
· response-format
· response-success-value
response-field命令用来配置自定义认证的HTTP应答报文的应答字段名。
undo response-field命令用来恢复缺省情况。
【命令】
response-field { message message | result result }
undo response-field { message | result }
【缺省情况】
未配置HTTP应答报文的应答字段名。
【视图】
自定义认证方案视图
【缺省用户角色】
network-admin
【参数】
message message:HTTP应答报文中的提示信息字段名,表示应答报文中message字段后面的值为认证结果提示信息,为1~31个字符的字符串,不区分大小写。
result result:HTTP应答报文中的结果字段名,表示应答报文中result字段后面的值为认证结果,为1~31个字符的字符串,不区分大小写。
【使用指导】
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备解析自定义认证服务器应答的指定字段:
· 若指定了HTTP应答报文中的资源组字段名,如果自定义认证服务器在回应的HTTP应答报文中能够返回此用户对应的group字段,那么SSL VPN网关能够通过配置的group字段名,找到group字段对应的值。例如定义了资源组字段名为company,则company后面的内容为资源组名称。SSL VPN网关通过比较自定义认证服务器返回的授权资源组和本地配置的资源组,取两者的交集则为最终授权的资源组。如果服务器未返回授权资源组字段,或者SSL VPN网关没有配置资源组,则给用户授权缺省的策略组。
· 若指定了HTTP应答报文中的结果提示信息字段名,则SSL VPN会利用此字段提取认证结果提示信息,包括认证成功、认证失败等提示信息。
· 若指定了HTTP应答报文中的结果字段名,则SSL VPN会利用此字段提取应答值,并根据配置的应答值,判断用户认证是否成功。
在同一个自定义认证方案视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN自定义认证方案custom1视图下配置自定义认证的应答字段名为message:resultDescription。
<Sysname> system-view
[Sysname] sslvpn custom-authentication scheme custom1
[Sysname-sslvpn-custom-authentication-scheme-custom1] response-field message message resultDescription
【相关命令】
· authentication server-type
response-format命令用来配置自定义认证的HTTP应答报文格式。
undo response-format命令用来恢复缺省情况。
【命令】
response-format { custom | json | xml }
undo response-format
【缺省情况】
自定义认证的HTTP应答报文格式为JSON。
【视图】
自定义认证方案视图
【缺省用户角色】
network-admin
【参数】
custom:表示应答报文格式为用户自定义应答报文格式。
json:表示应答报文格式为JSON。
xml:表示应答报文格式为XML。
【使用指导】
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备解析自定义认证服务器应答的应答报文格式,该应答报文格式需要与HTTP应答报文的应答字段名等参数配合使用才能生效。
在同一个自定义认证方案视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN自定义认证方案custom1视图下配置自定义认证的HTTP应答报文格式为JSON。
<Sysname> system-view
[Sysname] sslvpn custom-authentication scheme custom1
[Sysname-sslvpn-custom-authentication-scheme-custom1] response-format json
【相关命令】
· authentication server-type
· response-custom-template
response-success-value命令用来配置自定义认证的HTTP应答报文中标识认证成功的应答值。
undo response-success-value命令用来恢复缺省情况。
【命令】
response-success-value success-value
undo response-success-value
【缺省情况】
未配置HTTP应答报文中标识认证成功的应答值。
【视图】
自定义认证方案视图
【缺省用户角色】
network-admin
【参数】
success-value:HTTP应答报文中标识认证成功的应答值,为1~31个字符的字符串,不区分大小写。
【使用指导】
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备解析自定义认证服务器应答的标识认证成功的应答值,该设置需要与自定义认证的请求报文首部字段、HTTP请求方式和认证信息请求模板等参数配合使用才能生效。
在同一个自定义认证方案视图下,多次执行本命令,最后一次执行的命令生效。
只有当自定义认证服务器返回的HTTP应答报文的应答结果为本命令指定的值时,SSL VPN网关才会认为用户认证成功。
【举例】
# 在SSL VPN自定义认证方案custom1视图下配置HTTP应答报文中标识认证成功的应答值为true。
<Sysname> system-view
[Sysname] sslvpn custom-authentication scheme custom1
[Sysname-sslvpn-custom-authentication-scheme-custom1] response-success-value true
【相关命令】
· authentication server-type
rewrite server-response-message命令用来改写服务器返回信息。
undo rewrite server-response-message命令用来恢复缺省情况。
【命令】
rewrite server-response-message server-response-message { chinese chinese-message | english english-message }
undo rewrite server-response-message server-response-message { chinese | english }
【缺省情况】
SSL VPN网关不改写服务器返回信息。
【视图】
SSL VPN页面定制视图
【缺省用户角色】
network-admin
【参数】
server-response-message:服务器返回信息的初始内容,为1~127个字符的字符串,区分大小写。若需输入空格,则需要将整个字符串包含在双引号中输入。
chinese chinese-message:指定中文页面服务器返回信息的改写内容。chinese-message为1~127个字符的字符串,区分大小写。
english english-message:指定英文页面服务器返回信息的改写内容。english-message为1~127个字符的字符串,区分大小写。
【使用指导】
由于某些服务器返回信息(包括认证、授权、计费等信息)内容可能过于简单或难以理解,SSL VPN网关管理员可以从服务器端获取相应的返回信息,判断哪些返回信息需要改写,并通过配置本命令对该类信息进行改写,设备将使用改写后的服务器返回信息向SSL VPN用户展示,提高用户体验。
在同一个SSL VPN网关视图下,多次执行本命令配置相同服务器返回信息初始内容相同语言的改写内容,最后一次执行的命令生效。
【举例】
# 在SSL VPN网关gw1下,指定中文页面服务器返回信息“认证成功”的改写内容为“用户身份认证成功”。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] webpage customization
[Sysname-sslvpn-gateway-gw1-webpage-customization] rewrite server-response-message 认证成功 chinese 用户身份认证成功
role命令用来创建角色,并进入角色视图。如果指定的角色已存在,则直接进入角色视图。
undo role命令用来删除指定的角色。
【命令】
role role-name
undo role role-name
【缺省情况】
不存在角色。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
role-name:角色名称,为1~63个字符的字符串,区分大小写。
【使用指导】
SSL VPN支持基于角色对用户进行资源授权与访问控制,相同角色的用户具有相同的访问权限。角色是连接用户和资源的桥梁,可以将权限相同的用户加入某个角色,并在角色中引用资源,以及配置用户对资源的访问方式。
在角色中配置资源及配置用户对资源的访问方式的具体方法如下:
· 通过ip-tunnel address-pool命令配置地址池,定义角色可分配的地址。
· 通过ip-tunnel access-route命令配置接入路由,定义角色可访问的内网路由。
· 通过ip-tunnel enable命令配置该角色中的用户对资源的IP接入访问方式。
SSL VPN用户成功登录SSL VPN网关后,SSL VPN网关通过身份识别模块查询该用户所属的身份识别角色信息,并查询所配置的SSL VPN网关中是否存在该角色,若存在该角色,则将该角色所拥有的资源授权给用户访问,并限定用户对资源的访问方式。当某个用户属于多个角色时,SSL VPN将对该用户进行合并授权,即该用户所具有的资源访问权限是多个角色内资源的合集。
如果SSL VPN网关通过身份识别模块查询到的用户所属身份识别角色在SSL VPN网关中没有配置,或者用户所属的身份识别角色中未配置任何资源,用户将无法通过角色授权方式访问资源。此时,用户仅可访问网关下的IP接入资源。
本命令配置的角色名称需要与身份识别模块配置的身份识别角色名称一一对应。
同一个SSL VPN网关视图下,可以通过多次执行本命令,配置多个角色。
【举例】
# 在SSL VPN网关视图下,创建角色role1,并进入角色视图。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] role role1
[Sysname-sslvpn-gateway-gw-role-role1]
【相关命令】
· ip-tunnel enable
secret-key命令用来配置SSL VPN网关与SMP建立连接时使用的密钥。
undo secret-key命令用来恢复缺省情况。
【命令】
secret-key { cipher | simple } string
undo secret-key
【缺省情况】
未配置SSL VPN网关与SMP建立连接时使用的密钥。
【视图】
SMP认证方案视图
【缺省用户角色】
network-admin
【参数】
cipher:表示以密文方式设置密钥。
simple:表示以明文方式设置密钥,该密钥将以密文形式存储。
string:明文密钥为1~63个字符的字符串,区分大小写;密文密钥为1~117个字符的字符串,区分大小写。
【使用指导】
SSL VPN网关与SMP建立连接时,SSL VPN网关需要向SMP提供本命令配置的密钥,SMP会使用该密钥验证SSL VPN网关的身份,验证通过后,才能建立连接。
此密钥由SMP提供。
【举例】
# 在SMP认证方案smp1视图下,配置SSL VPN网关与SMP建立连接时使用明文密钥为123456
<Sysname> system-view
[Sysname] sslvpn smp-authentication scheme smp1
[Sysname-sslvpn-smp-authentication-scheme-smp1] secret-key simple 123456
self-service imc address命令用来配置iMC认证用户自助修改密码使用的iMC服务器。
undo self-service imc address命令用来恢复缺省情况。
【命令】
self-service imc address { ip-address | ipv6 ipv6-address } port port-number [ vpn-instance vpn-instance-name ]
undo self-service imc address
【缺省情况】
未配置iMC认证用户自助修改密码使用的iMC服务器。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
ip-address:iMC服务器的IPv4地址,为点分十进制格式。
ipv6 ipv6-address:iMC服务器的IPv6地址,为冒号十六进制格式,只能是单播或任播地址,不能是未指定、多播、环回地址、链路本地地址。
port port-number:iMC服务器的端口号,取值范围为1~65535。
vpn-instance vpn-instance-name:iMC服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示该iMC服务器属于公网。
【使用指导】
如果用户登录SSL VPN网关时使用iMC认证服务器进行认证,且用户有修改密码的需求时,需要配置本命令指定改密使用的iMC服务器。用户认证通过后,可以在SSL VPN网关的Web页面上修改密码,并通过iMC服务器对需要修改的密码进行校验。如果校验通过,则SSL VPN用户再次登录时将使用修改后的密码。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN网关gw1下,配置iMC认证用户自助修改密码使用的iMC服务器的IPv4地址为192.168.10.1,端口号为443,关联VPN实例vpn1。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] self-service imc address 192.168.10.1 port 443 vpn-instance vpn1
server-host命令用来配置SMP的主机名或IP地址。
undo server-host命令用来恢复缺省情况。
【命令】
server-host host-name
undo server-host
【缺省情况】
未配SMP的主机名或IP地址。
【视图】
SMP认证方案视图
【缺省用户角色】
network-admin
【参数】
host-name:SMP的主机名,也可以为主机的IP地址,为1~127个字符的字符串,只能包含字母、数字、“_”、“-”和“.”,不区分大小写。
【使用指导】
SSL VPN网关将与本命令配置的SMP进行信息交互,从而对SSL VPN用户进行身份认证。
此SMP的主机名由SMP提供,需要联系SMP管理员获取。
不同的SSL VPN访问实例下可以配置相同的SMP主机名或IP地址。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SMP认证方案smp1视图下,配置SMP的IP地址为10.10.10.10。
<Sysname> system-view
[Sysname] sslvpn smp-authentication scheme smp1
[Sysname-sslvpn-smp-authentication-scheme-smp1] server-host 10.10.10.10
service enable命令用来开启SSL VPN网关的IPv4和IPv6服务。
undo service enable命令用来关闭SSL VPN网关的IPv4和IPv6服务。
【命令】
service { ipv4 | ipv6 } * enable
undo service { ipv4 | ipv6 } * enable
【缺省情况】
SSL VPN网关的IPv4和IPv6服务处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示SSL VPN网关的IPv4服务。
ipv6:表示SSL VPN网关的IPv6服务。
【使用指导】
开启SSL VPN网关的IPv4服务后,SSL VPN网关将与远端接入用户建立SSL连接,转发远端用户和内网服务器之间的IPv4流量。
开启SSL VPN网关的IPv6服务后,SSL VPN网关将与远端接入用户建立SSL连接,转发远端用户和内网服务器之间的IPv6流量。
【举例】
# 开启SSL VPN网关的IPv4服务。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] service ipv4 enable
【相关命令】
· display sslvpn gateway
shutdown命令用来关闭接口。
undo shutdown命令用来开启接口。
【命令】
shutdown
undo shutdown
【缺省情况】
SSL VPN AC接口均处于开启状态。
【视图】
SSL VPN AC接口视图
【缺省用户角色】
network-admin
【使用指导】
执行本命令会导致使用该接口转发的业务流量中断,不能通信,请谨慎使用。
【举例】
# 关闭接口SSL VPN AC 1000。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] shutdown
smp-platform type命令用来配置SMP对接的第三方认证平台类型。
undo smp-platform type命令用来恢复缺省情况。
【命令】
smp-platform type paraview
undo smp-platform type
【缺省情况】
未配置SMP对接的第三方认证平台类型。
【视图】
SMP认证方案视图
【缺省用户角色】
network-admin
【参数】
paraview:表示SMP对接的第三方认证平台类型为派拉软件。
【使用指导】
本命令用于配置SMP对接的第三方认证平台类型。SSL VPN网关通过SMP对SSL VPN用户进行身份认证时,SSL VPN网关将通知SMP需要对接的第三方认证平台类型。SMP与该认证平台对接成功后,由该平台对SSL VPN用户进行身份认证,并将认证结果返回给SMP,SMP再将认证结果返回给SSL VPN网关。
【举例】
# 在SMP认证方案smp1视图下,配置SMP对接的第三方认证平台类型为paraview。
<Sysname> system-view
[Sysname] sslvpn smp-authentication scheme smp1
[Sysname-sslvpn-smp-authentication-scheme-smp1] smp-platform type paraview
ssl server-policy命令用来配置SSL VPN网关服务引用的SSL服务器端策略。
undo ssl server-policy命令用来取消SSL VPN网关服务引用的SSL服务器端策略。
【命令】
ssl server-policy policy-name
undo ssl server-policy [ policy-name ]
【缺省情况】
SSL VPN网关引用自签名证书的SSL服务器端策略。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
policy-name:SSL VPN网关服务引用的SSL服务器端策略名称,为1~31个字符的字符串,不区分大小写。执行undo ssl server-policy命令时,若不指定本参数,则表示取消SSL VPN网关引用的所有SSL服务器端策略。
【使用指导】
通过本命令指定SSL VPN网关服务引用的SSL服务器端策略后,SSL VPN网关将采用该策略下的参数与远端接入用户建立SSL连接。
SSL VPN网关只能引用一个SSL服务器端策略。
多次执行本命令,最后一次执行的命令生效,但新的配置不会立即生效,仅在完成如下操作后才能成功生效:
(1) 执行undo service enable命令关闭SSL VPN网关。
(2) 执行service enable命令重新开启SSL VPN网关。
当修改了引用的SSL服务器端策略的相关属性后,必须执行如下操作才能使修改后的策略生效:
(3) 执行undo service enable命令关闭SSL VPN网关。
(4) 执行service enable命令重新开启SSL VPN网关。
【举例】
# 配置SSL VPN网关gw1引用SSL服务器端策略CA_CERT。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ssl server-policy CA_CERT
【相关命令】
· display sslvpn gateway
sslvpn custom-authentication scheme命令用来创建自定义认证方案视图,如果自定义认证方案视图已经存在,则直接进入自定义认证方案视图。
undo sslvpn custom-authentication scheme命令用来删除指定的自定义认证方案。
【命令】
sslvpn custom-authentication scheme scheme-name
undo sslvpn custom-authentication scheme scheme-name
【缺省情况】
不存在自定义认证方案。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
scheme-name:自定义认证方案的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
SSL VPN用户认证、授权采用自定义认证服务器时,需要配置以下参数:
· 自定义认证服务器的URL地址:SSL VPN网关采用HTTP协议将认证请求报文发送到指定的URL地址。
· 自定义认证超时时间:SSL VPN网关向自定义认证服务器发送HTTP请求报文后,如果在超时时间内没有收到服务器的应答报文,则SSL VPN网关向SSL VPN客户端返回认证失败信息。
· 自定义认证的请求报文信息:SSL VPN网关根据该信息构造HTTP认证请求报文。认证请求报文信息包括HTTP请求方式、HTTP请求报文首部字段和认证信息请求模板。
· 自定义认证的应答报文信息:SSL VPN网关根据该信息解析接收到的认证应答报文。应答报文信息包括HTTP应答报文格式、HTTP应答报文中标识认证成功的应答值、HTTP应答报文的应答字段名和自定义应答模板。
删除自定义认证方案视图的同时,该视图下的所有内容都将被删除,请慎重操作。
一个自定义认证方案可以同时被多个SSL VPN网关引用。
【举例】
# 创建名为custom1的自定义认证方案并进入该视图。
<Sysname> system-view
[Sysname] sslvpn custom-authentication scheme custom1
[Sysname-sslvpn-custom-authentication-scheme-custom1]
sslvpn gateway命令用来创建SSL VPN网关,并进入SSL VPN网关视图。如果指定的SSL VPN网关已经存在,则直接进入SSL VPN网关视图。
undo sslvpn gateway命令用来删除指定的SSL VPN网关。
【命令】
sslvpn gateway gateway-name
undo sslvpn gateway gateway-name
【缺省情况】
不存在SSL VPN网关。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
gateway-name:SSL VPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。
【使用指导】
SSL VPN网关位于远端接入用户和企业内部网络之间,负责在二者之间转发报文。SSL VPN网关与远端接入用户建立SSL连接,并对接入用户进行身份认证。远端接入用户的访问请求只有通过SSL VPN网关的安全检查和认证后,才会被SSL VPN网关转发到企业网络内部,从而实现对企业内部资源的保护。
【举例】
# 创建SSL VPN网关gw1,并进入SSL VPN网关视图。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1]
【相关命令】
· display sslvpn gateway
sslvpn ip-client download-path命令用来配置Windows、Mac、Linux系统的IP接入客户端下载路径。
undo sslvpn ip-client download-path命令用来恢复缺省情况。
【命令】
sslvpn ip-client download-path { { common | kylin | uos
} { linux-arm | linux-loongarch | linux-mips | linux-x86 } url url | mac url url | windows { local | official | url url } }
undo sslvpn ip-client download-path { { common | kylin | uos } { linux-arm | linux-loongarch | linux-mips | linux-x86 } | mac | windows }
【缺省情况】
Mac、Linux系统的IP接入客户端下载路径为官网。
对于Windows系统,若设备已打包了IP接入客户端,则IP接入客户端的下载路径为设备的根目录;若设备未打包IP接入客户端,则IP接入客户端的下载路径为官网。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
common:表示通用类型的系统。
kylin:表示银河麒麟类型的系统。
uos:表示统信类型的系统。
linux-arm:表示基于ARM的Linux系统。
linux-loongarch:表示基于龙芯的Linux系统。
linux-mips:表示基于MIPS的Linux系统。
linux-x86:表示基于X86的Linux系统。
mac:表示MAC操作系统。
url url:表示不同操作系统的IP接入客户端下载路径为指定的URL地址,url为1~255个字符的字符串,不区分大小写。
windows local:表示指定Windows系统的IP接入客户端下载路径为设备本地。
windows official:表示指定Windows系统的IP接入客户端下载路径为官网。
windows url url:表示Windows系统的IP接入客户端下载路径为指定的URL地址,url为1~255个字符的字符串,不区分大小写。
【使用指导】
正常情况下,SSL VPN用户下载的IP接入客户端是存储在设备上的,但是对于一些存储空间较小的设备,无法在设备上部署IP接入客户端。
为了解决此问题,SSL VPN网关管理员可以通过本命令配置IP接入客户端的下载路径为官网或者自定义的URL地址。此时,设备既可以节省存储空间,同时SSL VPN用户也可以正常的下载IP接入客户端。
【举例】
# 配置Windows系统的IP接入客户端下载路径为URL地址:https://www.example.com/download/client.exe。
<Sysname> system-view
[Sysname] sslvpn ip-client download-path windows url https://www.example.com/download/client.exe
sslvpn smp-authentication scheme命令用来创建SMP认证方案视图,如果SMP认证方案视图已经存在,则直接进入SMP认证方案视图。
undo sslvpn smp-authentication scheme命令用来删除指定的SMP认证方案。
【命令】
sslvpn smp-authentication scheme scheme-name
undo sslvpn smp-authentication scheme scheme-name
【缺省情况】
不存在SMP认证方案。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
scheme-name:SMP认证方案的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
一个SMP认证方案可以同时被多个SSL VPN网关引用。
【举例】
# 创建名为smp1的SMP认证方案并进入该视图。
<Sysname> system-view
[Sysname] sslvpn smp-authentication scheme smp1
[Sysname-smp-authentication-scheme-smp1]
sslvpn webpage-template命令用来设置SSL VPN全局页面模板。
undo sslvpn webpage-template命令用来恢复缺省情况。
【命令】
sslvpn webpage-template template-name
undo sslvpn webpage-template
【缺省情况】
SSL VPN页面为系统缺省页面。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
template-name:页面模板的名称,为1~31的字符串,不能包括下列任何字符“/”、“\”、“|”、“:”、“*”、““”、“?”、“<”和“>”。
【使用指导】
本功能用来设置SSL VPN网关登录页面和资源页面使用的全局页面模板,该模板可以是预定义页面模板,也可以是自定义页面模板。
需要通过Web网管页面上传和下载页面模板。可以通过下载预定义的模板,来编辑自定义的模板。
通过display sslvpn webpage-template命令可以查看目前系统中所有的SSL VPN页面模板。
当在网关下配置了定制页面时,优先使用网关下的配置。
【举例】
# 设置SSL VPN页面使用的页面模板为template1。
<Sysname> system-view
[Sysname] sslvpn webpage-template template1
【相关命令】
· display sslvpn webpage-template
· webpage-template
timeout命令用来配置自定义认证的超时时间。
undo timeout命令用来恢复缺省情况。
【命令】
timeout seconds
undo timeout
【缺省情况】
自定义认证的超时时间为15秒。
【视图】
自定义认证视图
【缺省用户角色】
network-admin
【参数】
seconds:自定义认证的超时时间,取值范围为5~50,单位为秒。
【使用指导】
SSL VPN网关向自定义认证服务器发送HTTP请求报文,如果SSL VPN网关在超时时间内没有收到服务器的应答报文,则向SSL VPN客户端返回认证失败信息。
【举例】
# 在SSL VPN自定义认证方案custom1视图下配置自定义认证的超时时间为20秒。
<Sysname> system-view
[Sysname] sslvpn custom-authentication scheme custom1
[Sysname-sslvpn-custom-authentication-scheme-custom1] timeout 20
【相关命令】
· authentication server-type
timeout idle命令用来配置SSL VPN在线用户保持空闲状态的最长时间。
undo timeout idle命令用来恢复缺省情况。
【命令】
timeout idle minutes
undo timeout idle
【缺省情况】
SSL VPN在线用户保持空闲状态的最长时间为30分钟。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
minutes:SSL VPN在线用户保持空闲状态的最长时间,取值范围为1~1440,单位为分钟。
【使用指导】
如果SSL VPN在线用户保持空闲状态的时间超过本命令配置的值,则将断开该连接。
【举例】
# 配置SSL VPN在线用户保持空闲状态的最长时间为50分钟。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] timeout idle 50
【相关命令】
· display sslvpn gateway
title命令用来配置SSL VPN页面的标题信息。
undo title命令用来恢复缺省情况。
【命令】
title { chinese chinese-title | english english-title }
undo title { chinese | english }
【缺省情况】
SSL VPN页面的标题为“SSL VPN”。
【视图】
SSL VPN页面定制视图
【缺省用户角色】
network-admin
【参数】
chinese chinese-title:指定中文页面的标题信息。chinese-title为1~255个字符的字符串,区分大小写。
english english-title:指定英文页面的标题信息。english-title为1~255个字符的字符串,区分大小写。
【举例】
# 配置SSL VPN英文页面的标题信息为“SSL VPN service for company A”,中文页面的标题信息为“公司A的SSL VPN服务”。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] webpage customization
[Sysname-sslvpn-gateway-gw1-webpage-customization] title english SSL VPN service for company A
[Sysname-sslvpn-gateway-gw1-webpage-customization] title chinese公司A的SSL VPN服务
url命令用来配置自定义认证服务器的URL地址。
undo url命令用来恢复缺省情况。
【命令】
url url
undo url
【缺省情况】
未配置自定义认证服务器的URL地址。
【视图】
自定义认证方案视图
【缺省用户角色】
network-admin
【参数】
url:SSL VPN网关向自定义认证服务器发送的HTTP请求报文中的认证服务器的URL地址,为1~255个字符的字符串,不区分大小写,不支持正则元字符?。
【使用指导】
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置自定义认证服务器的URL地址,该设置需要与自定义认证的请求报文首部字段、HTTP请求方式和认证信息请求模板等参数配合使用才能生效。
一个URL由协议类型、主机名或地址、端口号、资源路径四部分组成,完整格式为“协议类型://主机名称或地址:端口号/资源路径”。协议类型目前仅支持HTTP和HTTPS,如果没有指定,协议类型缺省为HTTP。如果URL中包含IPv6地址,需要为该IPv6地址增加一个中括号,例如https://[1234::5678]:8080/。
在同一个自定义认证方案视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN自定义认证方案custom1视图下配置自定义认证服务器的URL地址为https://192.168.56.2:4430/register/user/checkUserAndPwd。
<Sysname> system-view
[Sysname] sslvpn custom-authentication custom1
[Sysname-sslvpn-custom-authentication-scheme-custom1] url https://192.168.56.2:4430/register/user/checkUserAndPwd
【相关命令】
· authentication server-type
· request-method
· request-template
user命令用来创建SSL VPN用户,并进入SSL VPN用户视图。如果指定的SSL VPN用户已经存在,则直接进入该SSL VPN用户视图。
undo user命令用来删除指定的SSL VPN用户。
【命令】
user username
undo user username
【缺省情况】
不存在SSL VPN用户。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
username:表示SSL VPN用户名,为1~80个字符的字符串,区分大小写,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”和“>”。
【使用指导】
一个SSL VPN网关中可以配置多个SSL VPN用户。
【举例】
# 创建名为user1的SSL VPN用户,并进入SSL VPN用户视图。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] user user1
[Sysname-sslvpn-gateway-gw-user-user1]
verify-code enable命令用来开启验证码验证功能。
undo verify-code enable命令用来关闭验证码验证功能。
【命令】
verify-code enable
undo verify-code enable
【缺省情况】
验证码验证功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【使用指导】
开启验证码验证后,用户登录时需要输入验证码。只有验证码验证成功后,才允许用户登录SSL VPN页面。
【举例】
# 开启验证码验证功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] verify-code enable
【相关命令】
vpn-instance命令用来配置SMP关联的VPN实例。
undo vpn-instance命令用来恢复缺省情况。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
SMP属于公网。
【视图】
SMP认证方案视图
【缺省用户角色】
network-admin
【参数】
vpn-instance-name:SMP关联的L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
执行本命令后,SMP包含的资源将属于关联的VPN实例,否则,SMP包含的资源将属于公网。
每个SMP只能关联一个VPN实例,当SSL VPN网关对接的SMP属于某个VPN实例时,需要通过本命令配置SMP关联的VPN实例。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SMP认证方案smp1视图下,配置VPN实例vpn1。
<Sysname> System-view
[Sysname] sslvpn smp-authentication scheme smp1
[Sysname-sslvpn-smp-authentication-scheme-smp1] vpn-instance vpn1
web-access ip-client auto-activate命令用来开启Web方式成功登录SSL VPN网关后自动启动IP客户端功能。
undo web-access ip-client auto-activate命令用来关闭Web方式成功登录SSL VPN网关后自动启动IP客户端功能。
【命令】
web-access ip-client auto-activate
undo web-access ip-client auto-activate
【缺省情况】
Web方式成功登录SSL VPN网关后自动启动IP客户端功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【使用指导】
开启此功能,SSL VPN用户通过Web方式成功登录SSL VPN网关后,设备会自动启动用户主机上的IP客户端,且会自动连接SSL VPN网关,连接成功后SSL VPN用户可以使用IP接入方式访问授权的资源。若用户主机上未安装IP客户端,则先提示用户下载并安装IP客户端,安装完成后IP客户端会自动启动。
为使IP客户端自启动后成功连接SSL VPN网关,需要保证设备上已创建IP接入服务资源。
开启本功能时如果用户在PC上已经通过IP客户端成功登录,则无法通过浏览器直接访问SSL VPN网关,需通过点击IP客户端的“打开资源列表”选项,在浏览器中访问SSL VPN网关。
【举例】
# 在SSL VPN网关gw1下开启Web方式成功登录SSL VPN网关后自动启动IP客户端功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] web-access ip-client auto-activate
webpage customization命令用来创建SSL VPN页面定制视图,并进入SSL VPN页面定制视图。如果页面定制已经存在,则直接进入SSL VPN页面定制视图。
undo webpage customization命令用来删除SSL VPN页面定制视图。
【命令】
webpage customization
undo webpage customization
【缺省情况】
不存在SSL VPN页面定制视图。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【使用指导】
管理员可以根据需要对SSL VPN页面进行定制。目前,支持的页面定制项包括:登录页面欢迎信息、登录页面是否显示密码输入框、页面标题、logo图标、登录页面和资源页面公告信息、资源页面供用户下载的资源文件、修改密码页面密码复杂度提示信息、改写服务器返回信息。
删除SSL VPN页面定制视图的同时,该视图下的所有内容都将被删除,请慎重操作。
【举例】
# 在SSL VPN网关gw1下,创建并进入SSL VPN页面定制视图。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] webpage customization
[Sysname-sslvpn-gateway-gw1-webpage-customization]
webpage-template命令用来设置SSL VPN页面模板。
undo webpage-template命令用来恢复缺省情况。
【命令】
webpage-template template-name
undo webpage-template
【缺省情况】
未设置SSL VPN页面模板,使用SSL VPN全局页面模板。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
template-name:页面模板的名称,为1~31的字符串,不能包括下列任何字符“/”、“\”、“|”、“:”、“*”、““”、“?”、“<”和“>”。
【使用指导】
本功能用来设置SSL VPN网关登录页面和资源页面使用的页面模板,该模板可以是预定义页面模板,也可以是自定义页面模板。
需要通过Web网管页面上传和下载页面模板。可以通过下载预定义的模板,来编辑自定义的模板。
通过display sslvpn webpage-template命令可以查看目前系统中所有的SSL VPN页面模板。
SSL VPN网关视图下设置的SSL VPN页面模板优先级高于系统视图下设置的全局SSL VPN页面模板。
若在SSL VPN网关视图下设置了自定义页面模板,则SSL VPN网关视图下定制的页面信息不再生效。
【举例】
# 设置SSL VPN网关gw使用的页面模板为template1。
<Sysname> system-view
[Sysname] sslvpn gateway gw
[Sysname-sslvpn-gateway-gw] webpage-template template1
【相关命令】
· display sslvpn webpage-template
· sslvpn webpage-template
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
