- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
10-SSL VPN命令
本章节下载: 10-SSL VPN命令 (781.62 KB)
目 录
1.1.3 authentication server-type
1.1.6 certificate username-attribute
1.1.7 certificate-authentication enable
1.1.10 custom-authentication request-header-field
1.1.11 custom-authentication request-method
1.1.12 custom-authentication request-template
1.1.13 custom-authentication response-custom-template
1.1.14 custom-authentication response-field
1.1.15 custom-authentication response-format
1.1.16 custom-authentication response-success-value
1.1.17 custom-authentication timeout
1.1.18 custom-authentication url
1.1.21 description (SSL VPN AC interface view)
1.1.22 display interface sslvpn-ac
1.1.25 display sslvpn ip-tunnel statistics
1.1.26 display sslvpn policy-group
1.1.27 display sslvpn port-forward connection
1.1.28 display sslvpn prevent-cracking frozen-ip
1.1.30 display sslvpn webpage-customize template
1.1.34 filter ip-tunnel uri-acl
1.1.36 filter tcp-access uri-acl
1.1.38 filter web-access uri-acl
1.1.40 force-logout max-onlines enable
1.1.41 gateway (sms-auth sms-gw view)
1.1.42 gateway (SSL VPN context view)
1.1.45 idle-cut traffic-threshold
1.1.51 ip-tunnel address-pool (SSL VPN context view)
1.1.52 ip-tunnel address-pool (SSL VPN policy group view)
1.1.58 ip-tunnel web-resource auto-push
1.1.61 log resource-access enable
1.1.69 mobile-num-binding enable
1.1.74 password-authentication enable
1.1.76 password-changing enable (SSL VPN context view)
1.1.77 password-changing enable (SSL VPN user view)
1.1.78 password-complexity-message
1.1.82 prevent-cracking freeze-ip
1.1.83 prevent-cracking freeze-ip enable
1.1.84 prevent-cracking unfreeze-ip
1.1.85 prevent-cracking verify-code
1.1.86 prevent-cracking verify-code enable
1.1.89 reset counters interface sslvpn-ac
1.1.90 reset sslvpn ip-tunnel statistics
1.1.92 resources port-forward-item
1.1.97 rewrite server-response-message
1.1.100 self-service imc address
1.1.102 service enable (SSL VPN context view)
1.1.103 service enable (SSL VPN gateway view)
1.1.113 sslvpn ip address-pool
1.1.115 sslvpn webpage-customize
1.1.117 sso auto-build custom-login-parameter
1.1.118 sso auto-build encrypt-file
1.1.119 sso auto-build login-parameter
1.1.120 sso auto-build request-method
1.1.121 sso basic custom-username-password enable
1.1.126 url (file policy view)
1.1.133 verification-code send-interval
1.1.134 verification-code validity
1.1.136 web-access ip-client auto-activate
1.1.138 wechat-work-authentication app-secret
1.1.139 wechat-work-authentication authorize-field
1.1.140 wechat-work-authentication corp-id
1.1.141 wechat-work-authentication enable
1.1.142 wechat-work-authentication open-platform-url
1.1.143 wechat-work-authentication timeout
1.1.144 wechat-work-authentication url
1.1.145 wechat-work-authentication userid-field
aaa domain命令用来配置SSL VPN访问实例使用指定的ISP域进行AAA认证。
undo aaa domain命令用来恢复缺省情况。
【命令】
aaa domain domain-name
undo aaa domain
【缺省情况】
SSL VPN访问实例使用缺省的ISP域进行认证。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指导】
SSL VPN用户的用户名中不能携带所属ISP域信息。配置本命令后,SSL VPN用户将采用指定ISP域内的认证、授权、计费方案对SSL VPN用户进行认证、授权和计费。
【举例】
# 配置SSL VPN访问实例使用ISP域myserver进行AAA认证。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] aaa domain myserver
access-deny-client命令用来配置禁用的SSL VPN接入客户端软件类型。
undo access-deny-client命令用来恢复禁用的SSL VPN接入客户端软件类型。
【命令】
access-deny-client { browser | mobile-inode | pc-inode } *
undo access-deny-client { browser | mobile-inode | pc-inode } *
【缺省情况】
不限制SSL VPN用户登录SSL VPN网关使用的接入客户端软件类型。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
browser:表示使用浏览器客户端登录SSL VPN网关。
mobile-inode:表示使用移动iNode客户端登录SSL VPN网关。
pc-inode:表示使用PC iNode客户端登录SSL VPN网关。
【使用指导】
当需要限制用户通过某些类型的接入客户端软件登录SSL VPN网关时,可通过本命令配置禁用的SSL VPN接入客户端软件类型。
浏览器被禁用后,已登录用户和新用户均无法使用浏览器登录SSL VPN网关;当浏览器解除禁用后,用户需要刷新登录页面重新登录。其他类型接入客户端软件被禁用后,仅对新登录用户生效,已登录用户不受影响。
在同一个SSL VPN访问实例下,多次执行本命令配置的多个接入客户端软件类型均会生效。
【举例】
# 在SSL VPN访问实例ctx下,配置禁用的SSL VPN接入客户端软件类型为浏览器客户端。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] access-deny-client browser
authentication server-type命令用来配置SSL VPN认证服务器类型。
undo authentication server-type命令用来恢复缺省情况。
【命令】
authentication server-type { aaa | custom }
undo authentication server-type
【缺省情况】
SSL VPN认证服务器类型为AAA认证服务器。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
aaa:表示SSL VPN认证服务器类型为AAA认证服务器。
custom:表示SSL VPN认证服务器类型为自定义认证服务器。
【使用指导】
若选择自定义认证服务器,则用户需要在SSL VPN访问实例视图下配置自定义认证的服务器URL地址、HTTP请求方式、HTTP应答报文的应答字段等参数。
若选择认证服务器类型为AAA认证服务器,请配置AAA的相关内容。有关AAA的详细介绍,请参见“用户接入与认证配置指导”中的“AAA”。
【举例】
# 在SSL VPN访问实例ctx1下配置SSL VPN认证服务器类型为自定义认证服务器。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] authentication server-type custom
【相关命令】
· custom-authentication request-header-field
· custom-authentication request-method
· custom-authentication request-template
· custom-authentication response-custom-template
· custom-authentication response-field
· custom-authentication response-format
· custom-authentication response-success-value
· custom-authentication timeout
· custom-authentication url
authentication use命令用来配置SSL VPN用户登录访问实例的认证模式。
undo authentication use命令用来恢复缺省情况。
【命令】
authentication use { all | any-one }
undo authentication use
【缺省情况】
SSL VPN用户登录访问实例的认证模式为all。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
all:表示SSL VPN用户登录访问实例的认证模式为已配置的所有认证方式。
any-one:表示SSL VPN用户登录访问实例的认证模式为已配置的所有认证方式中的任意一种。
【使用指导】
可以通过配置authentication use命令来控制对SSL VPN用户的认证模式。用户名/密码认证功能和证书认证功能都开启的情况下,若认证模式选用any-one,则用户只需要通过其中一种认证即可登录SSL VPN访问实例;若认证模式选用all,则用户必须通过这两种认证(即用户名/密码和证书的组合认证)方可登录SSL VPN访问实例。
【举例】
# 配置SSL VPN用户登录访问实例的认证模式为已配置的所有认证方式中的任意一种。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] authentication use any-one
【相关命令】
· certificate-authentication enable
· display sslvpn context
· password-authentication enable
bandwidth命令用来配置接口的期望带宽。
undo bandwidth命令用来恢复缺省情况。
【命令】
bandwidth bandwidth-value
undo bandwidth
【缺省情况】
接口的期望带宽为64kbps。
【视图】
SSL VPN AC接口视图
【缺省用户角色】
network-admin
【参数】
bandwidth-value:接口的期望带宽,取值范围为1~400000000,单位为kbps。
【使用指导】
接口的期望带宽会对下列内容有影响:
· CBQ队列带宽。具体介绍请参见“QoS配置指导”中的“QoS”。
【举例】
# 配置接口SSL VPN AC 1000的期望带宽为10000kbps。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] bandwidth 10000
certificate username-attribute命令用来配置SSL VPN用户证书中的指定字段取值作为SSL VPN用户名。
undo certificate username-attribute命令用来恢复缺省情况。
【命令】
certificate username-attribute { cn | email-prefix | oid extern-id }
undo certificate username-attribute
【缺省情况】
使用SSL VPN用户证书中主题部分内的CN字段取值作为SSL VPN用户名。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
cn:将用户证书中主题部分内的CN字段的值作为SSL VPN用户名。
email-prefix:将用户证书中主题部分内的邮件地址前缀,即邮件地址中“@”字符前的字符串,作为SSL VPN用户名。
oid extern-id:将用户证书中OID为extern-id的字段的值作为SSL VPN用户名,其中OID为对象标识符,以点分十进制的形式表示。
【使用指导】
只有执行certificate-authentication enable命令开启证书认证功能后,本命令指定的SSL VPN用户名才会生效。
【举例】
# 配置SSL VPN用户证书中OID为1.1.1.1的字段的值作为SSL VPN用户名。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] certificate username-attribute oid 1.1.1.1
【相关命令】
· certificate-authentication enable
certificate-authentication enable命令用来开启证书认证功能。
undo certificate-authentication enable命令用来关闭证书认证功能。
【命令】
certificate-authentication enable
undo certificate-authentication enable
【缺省情况】
证书认证功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【使用指导】
开启证书认证功能后,需要同时在SSL服务器端策略视图下执行client-verify命令。SSL VPN网关会对SSL客户端(SSL VPN用户)进行基于数字证书的身份验证,并检查SSL VPN用户的用户名是否与SSL VPN用户的数字证书中的用户名信息一致。若不一致,则认证不通过,不允许SSL VPN用户登录。
【举例】
# 开启SSL VPN访问实例的证书认证功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] certificate-authentication enable
【相关命令】
· client-verify enable(安全命令参考/SSL)
· client-verify optional(安全命令参考/SSL)
content-type命令用来配置改写的文件类型。
undo content-type命令用来恢复缺省情况。
【命令】
content-type { css | html | javascript | other }
undo content-type
【缺省情况】
未配置文件改写类型,设备根据解析HTTP响应报文获得的文件类型对网页文件进行改写。
【视图】
文件策略视图
【缺省用户角色】
network-admin
【参数】
css:表示按照css文件类型进行改写。
html:表示按照html文件类型进行改写。
javascript:表示按照JavaScript文件类型进行改写。
other:表示文件类型为css、html、JavaScript之外的其他文件类型,不对网页文件进行改写。
【使用指导】
在对网页文件改写的过程中,设备会按照配置的文件类型对网页文件进行改写。如果配置的改写类型与报文中的文件类型不一致,则文件改写将会不准确。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置按照html文件类型进行改写。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp] content-type html
country-code命令用来配置国家代码。
undo country-code命令用来恢复缺省情况。
【命令】
country-code country-code
undo country-code
【缺省情况】
国家代码为86。
【视图】
短信网关认证视图
【缺省用户角色】
network-admin
【参数】
country-code:国家代码数值,为1~7个字符的字符串,仅支持数字。
【举例】
# 在sms-gw短信网关认证视图下配置国家代码为86。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw] country-code 86
custom-authentication request-header-field命令用来配置自定义认证的HTTP请求报文首部字段。
undo custom-authentication request-header-field命令用来取消配置自定义认证的HTTP请求报文首部字段。
【命令】
custom-authentication request-header-field field-name value value
undo custom-authentication request-header-field field-name
【缺省情况】
自定义认证的HTTP请求报文首部字段内包含如下内容:Content-type:application/x-www-form-urlencoded
User-Agent:nodejs 4.1
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
field-name:自定义认证的HTTP请求报文首部字段属性名,为1~63个字符的字符串,不区分大小写,不包括如下字符:
· ()<>@,;:\"/[]?={}
· 空格符
· 水平制表符
· ASCII码中小于等于31、大于等于127的字符
value value:自定义认证的HTTP请求报文首部字段属性值,为1~255个字符的字符串,不支持正则元字符?。
【使用指导】
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备发送给自定义认证服务器的HTTP请求报文首部字段参数,该参数需要与自定义认证的HTTP请求方式、认证服务器的URL地址和认证信息请求模板等参数配合使用才能生效。
在同一个SSL VPN访问实例视图下,多次执行本命令,如果field-name的值不同,则可以配置多个不同属性的值;如果field-name的值相同,则最后一次配置生效。
【举例】
# 在SSL VPN访问实例ctx1下配置自定义认证的HTTP请求首部的Host字段为192.168.56.2:8080。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication request-header-field host value 192.168.56.2:8080
【相关命令】
· authentication server-type
· custom-authentication request-method
· custom-authentication request-template
· custom-authentication url
custom-authentication request-method命令用来配置自定义认证的HTTP请求方式。
undo custom-authentication request-method命令用来恢复缺省情况。
【命令】
custom-authentication request-method { get | post }
undo custom-authentication request-method
【缺省情况】
自定义认证的HTTP请求方式为GET。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
get:表示HTTP请求方式为GET。
post:表示HTTP请求方式为POST。
【使用指导】
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备发送给自定义认证服务器的HTTP请求的方式,该设置需要与自定义认证的请求报文首部字段、认证服务器的URL地址和认证信息请求模板等参数配合使用才能生效。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下配置自定义认证的HTTP请求方式为POST。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication request-method post
【相关命令】
· authentication server-type
· custom-authentication request-template
· custom-authentication url
custom-authentication request-template命令用来配置自定义认证的认证信息请求模板。
undo custom-authentication request-template命令用来恢复缺省情况。
【命令】
custom-authentication request-template template
undo custom-authentication request-template
【缺省情况】
未配置自定义认证的认证信息请求模板。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
template:SSL VPN网关向自定义认证服务器发送用户名、密码等信息的认证信息请求模板,为1~255个字符的字符串,不区分大小写。
【使用指导】
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备发送给自定义认证服务器的认证信息请求模板,该设置需要与自定义认证的请求报文首部字段、认证服务器的URL地址和HTTP请求的方式等参数配合使用才能生效。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
本命令支持的三种预定义请求模板格式如下:
· form表单格式:(请求方式为POST/GET)
username=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1234
· json格式:(请求方式为POST)
{“name”:”$$USERNAME$$”,“password”:”,$$PASSWORD$$”,“resid”:”1234”}
· xml格式:(请求方式为POST)
<uname>$$USERNAME$$</uname><psw>$$PASSWORD$$</psw>
以上模板格式中,两个$$符号之间的变量目前包括以下几种:
· USERNAME:用户名
· PASSWORD:密码
· PASSWORD_MD5:经过MD5加密的密码
SSL VPN用户登录SSL VPN网关时,SSL VPN网关会用SSL VPN用户登录时的用户名和密码替换认证信息请求模板中的USERNAME、PASSWORD_MD5等变量,并将认证信息请求模板发送至自定义认证服务器。
【举例】
# 在SSL VPN访问实例ctx1下配置自定义认证的认证信息请求模板为:username=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1952252223973828。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication request-template username=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1952252223973828
【相关命令】
· authentication server-type
· custom-authentication request-method
· custom-authentication url
custom-authentication response-custom-template命令用来配置自定义认证的自定义应答模板。
undo custom-authentication response-custom-template命令用来恢复缺省情况。
【命令】
custom-authentication response-custom-template { group | message | result } template
undo custom-authentication response-custom-template { group | message | result }
【缺省情况】
未配置自定义认证的自定义应答模板。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
group:表示group字段后面为授权资源组的自定义应答模板。
message:表示message字段后面为认证结果提示信息的自定义应答模板。
result:表示result字段后面为认证结果的自定义应答模板。
template:自定义应答模板,为1~63个字符的字符串,不区分大小写。
【使用指导】
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备解析自定义认证服务器应答的认证结果模板,该模板需要与HTTP应答报文格式等参数配合使用才能生效。例如,配置了认证结果字段result的模板为“result=$$value$$”,那么在解析custom格式的应答报文时就用“result=$$value$$”的格式去解析认证结果字段。
自定义应答模板中value前后的内容需要与认证服务器应答报文中的value值前后的内容保持一致。例如服务器应答的报文为“auth-result=true,”,则应答模板应该配置为“auth-result=$$value$$,”($$value$$前后的开始和结束标识符“auth-result=”和“,”应与true前后的内容保持一致)。
模板中的$$符用于程序检测开始和结束标识符,当程序检测到第一个$$时,则认为其前面的内容为解析报文时用到的开始标识符,当检测到第二个$$时,则将其后面的内容作为解析报文时用到的结束标识符。
【举例】
# 在SSL VPN访问实例ctx1下配置自定义认证的自定义应答模板为result=$$value$$,company=$$value$$,message=$$value$$。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication response-custom-template result result=$$value$$,
[Sysname-sslvpn-context-ctx1] custom-authentication response-custom-template group company=$$value$$,
[Sysname-sslvpn-context-ctx1] custom-authentication response-custom-template message message=$$value$$
【相关命令】
· authentication server-type
· custom-authentication response-format
· custom-authentication response-success-value
custom-authentication response-field命令用来配置自定义认证的HTTP应答报文的应答字段名。
undo custom-authentication response-field命令用来恢复缺省情况。
【命令】
custom-authentication response-field { group group | message message | result result }
undo custom-authentication response-field { group | message | result }
【缺省情况】
未配置HTTP应答报文的应答字段名。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
group group:HTTP应答报文中的资源组字段名,表示应答报文中group字段后面的值为授权资源组,为1~31个字符的字符串,不区分大小写。
message message:HTTP应答报文中的提示信息字段名,表示应答报文中message字段后面的值为认证结果提示信息,为1~31个字符的字符串,不区分大小写。
result result:HTTP应答报文中的结果字段名,表示应答报文中result字段后面的值为认证结果,为1~31个字符的字符串,不区分大小写。
【使用指导】
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备解析自定义认证服务器应答的指定字段:
· 若指定了HTTP应答报文中的资源组字段名,如果自定义认证服务器在回应的HTTP应答报文中能够返回此用户对应的group字段,那么SSL VPN网关能够通过配置的group字段名,找到group字段对应的值。例如定义了资源组字段名为company,则company后面的内容为资源组名称。SSL VPN网关通过比较自定义认证服务器返回的授权资源组和本地配置的资源组,取两者的交集则为最终授权的资源组。如果服务器未返回授权资源组字段,或者SSL VPN网关没有配置资源组,则给用户授权缺省的策略组。
· 若指定了HTTP应答报文中的结果提示信息字段名,则SSL VPN会利用此字段提取认证结果提示信息,包括认证成功、认证失败等提示信息。
· 若指定了HTTP应答报文中的结果字段名,则SSL VPN会利用此字段提取应答值,并根据配置的应答值,判断用户认证是否成功。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下配置自定义认证的应答字段名为group:company,message:resultDescription。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication response-field group company
[Sysname-sslvpn-context-ctx1] custom-authentication response-field message resultDescription
【相关命令】
· authentication server-type
custom-authentication response-format命令用来配置自定义认证的HTTP应答报文格式。
undo custom-authentication response-format命令用来恢复缺省情况。
【命令】
custom-authentication response-format { custom | json | xml }
undo custom-authentication response-format
【缺省情况】
自定义认证的HTTP应答报文格式为JSON。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
custom:表示应答报文格式为用户自定义应答报文格式。
json:表示应答报文格式为JSON。
xml:表示应答报文格式为XML。
【使用指导】
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备解析自定义认证服务器应答的应答报文格式,该应答报文格式需要与HTTP应答报文的应答字段名等参数配合使用才能生效。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下配置自定义认证的HTTP应答报文格式为JSON。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication response-format json
【相关命令】
· authentication server-type
· custom-authentication response-custom-template
custom-authentication response-success-value命令用来配置自定义认证的HTTP应答报文中标识认证成功的应答值。
undo custom-authentication response-success-value命令用来恢复缺省情况。
【命令】
custom-authentication response-success-value success-value
undo custom-authentication response-success-value
【缺省情况】
未配置HTTP应答报文中标识认证成功的应答值。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
success-value:HTTP应答报文中标识认证成功的应答值,为1~31个字符的字符串,不区分大小写。
【使用指导】
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备解析自定义认证服务器应答的标识认证成功的应答值,该设置需要与自定义认证的请求报文首部字段、HTTP请求方式和认证信息请求模板等参数配合使用才能生效。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
只有当自定义认证服务器返回的HTTP应答报文的应答结果为本命令指定的值时,SSL VPN网关才会认为用户认证成功。
【举例】
# 在SSL VPN访问实例ctx1下配置HTTP应答报文中标识认证成功的应答值为true。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication response-success-value true
【相关命令】
· authentication server-type
· custom-authentication response-field
custom-authentication timeout命令用来配置自定义认证的超时时间。
undo custom-authentication timeout命令用来恢复缺省情况。
【命令】
custom-authentication timeout seconds
undo custom-authentication timeout
【缺省情况】
自定义认证的超时时间为15秒。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
seconds:自定义认证的超时时间,取值范围为5~50,单位为秒。
【使用指导】
SSL VPN网关向自定义认证服务器发送HTTP请求报文,如果SSL VPN网关在超时时间内没有收到服务器的应答报文,则向SSL VPN客户端返回认证失败信息。
【举例】
# 在SSL VPN访问实例ctx1下配置自定义认证的超时时间为20秒。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication timeout 20
【相关命令】
· authentication server-type
custom-authentication url命令用来配置自定义认证服务器的URL地址。
undo custom-authentication url命令用来恢复缺省情况。
【命令】
custom-authentication url url
undo custom-authentication url
【缺省情况】
未配置自定义认证服务器的URL地址。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
url:SSL VPN网关向自定义认证服务器发送的HTTP请求报文中的认证服务器的URL地址,为1~255个字符的字符串,不区分大小写,不支持正则元字符?。
【使用指导】
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置自定义认证服务器的URL地址,该设置需要与自定义认证的请求报文首部字段、HTTP请求方式和认证信息请求模板等参数配合使用才能生效。
一个URL由协议类型、主机名或地址、端口号、资源路径四部分组成,完整格式为“协议类型://主机名称或地址:端口号/资源路径”。协议类型目前仅支持HTTP和HTTPS,如果没有指定,协议类型缺省为HTTP。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下配置自定义认证服务器的URL地址为http://192.168.56.2:8080/register/user/checkUserAndPwd。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication url http://192.168.56.2:8080/register/user/checkUserAndPwd
【相关命令】
· authentication server-type
· custom-authentication request-method
· custom-authentication request-template
default命令用来恢复接口的缺省配置。
【命令】
default
【视图】
SSL VPN AC接口视图
【缺省用户角色】
network-admin
【使用指导】
接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行本配置前,完全了解其对网络产生的影响。
可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。
【举例】
# 将接口SSL VPN AC 1000恢复为缺省配置。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] default
This command will restore the default settings. Continue? [Y/N]:y
default-policy-group命令用来指定缺省策略组。
undo default-policy-group命令用来恢复缺省情况。
【命令】
default-policy-group group-name
undo default-policy-group
【缺省情况】
未指定缺省策略组。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
group-name:策略组名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。指定的策略组必须在设备上已经存在。
【使用指导】
一个SSL VPN访问实例下可以配置多个策略组。远端接入用户访问SSL VPN访问实例时,AAA服务器将授权给该用户的策略组信息下发给SSL VPN网关。该用户可以访问的资源由授权的策略组决定。如果AAA服务器没有为该用户进行授权,则用户可以访问的资源由缺省策略组决定。
【举例】
# 指定名为pg1的策略组为缺省策略组。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] quit
[Sysname-sslvpn-context-ctx1] default-policy-group pg1
【相关命令】
· display sslvpn context
· policy-group
description命令用来配置接口的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
接口的描述信息为“接口名 Interface”,例如:SSLVPN-AC1000 Interface。
【视图】
SSL VPN AC接口视图
【缺省用户角色】
network-admin
【参数】
text:接口的描述信息,为1~255个字符的字符串,区分大小写。
【使用指导】
当设备上存在多个接口时,可以根据接口的连接信息或用途来配置接口的描述信息,以便区别和管理各接口。
本命令仅用于标识某接口,并无特别的功能。使用display interface等命令可以看到设置的描述信息。
【举例】
# 配置接口SSL VPN AC 1000的描述信息为“SSL VPN A”。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] description SSL VPN A
display interface sslvpn-ac命令用来显示SSL VPN AC接口的相关信息。
【命令】
display interface [ sslvpn-ac [ interface-number ] ] [ brief [ description | down ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
sslvpn-ac interface-number:显示指定SSL VPN AC接口的相关信息。interface-number表示SSL VPN AC接口的编号,取值范围为0~4095。如果不指定sslvpn-ac参数,将显示除VA(Virtual Access,虚拟访问)接口外的所有接口的相关信息;如果不指定interface-number,则显示所有SSL VPN AC接口的信息。有关VA接口的详细介绍,请参见“网络互通配置指导”中的“PPP”。
brief:显示接口的概要信息。如果不指定该参数,则显示接口的详细信息。
description:用来显示用户配置的接口的全部描述信息。如果某接口的描述信息超过27个字符,不指定该参数时,只显示描述信息中的前27个字符,超出部分不显示;指定该参数时,可以显示全部描述信息。
down:显示当前物理状态为down的接口的信息以及down的原因。如果不指定该参数,则不会根据接口物理状态来过滤显示信息。
【举例】
# 显示接口SSL VPN AC 1000的相关信息。
<Sysname> display interface sslvpn-ac 1000
SSLVPN-AC1000
Current state: UP
Line protocol state: DOWN
Description: SSLVPN-AC1000 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Internet protocol processing: Disabled
Link layer protocol is SSLVPN
Last clearing of counters: Never
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 0 packets, 0 bytes, 0 drops
Output: 0 packets, 0 bytes, 0 drops
表1-1 display interface sslvpn-ac命令显示信息描述表
|
字段 |
描述 |
|
SSLVPN-AC1000 |
接口SSL VPN AC 1000的相关信息 |
|
Current state |
接口的物理状态和管理状态,取值包括: · Administratively DOWN:表示该接口已经通过shutdown命令被关闭,即管理状态为关闭 · DOWN:该接口的管理状态为开启,但物理状态为关闭 · UP:该接口的管理状态和物理状态均为开启 |
|
Line protocol state |
接口的链路层协议状态,取值包括: · UP:表示该接口的链路层协议状态为开启 · UP (spoofing):表示该接口的链路层协议状态为开启,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立。通常NULL、LoopBack等接口会具有该属性 · DOWN:表示该接口的链路层协议状态为关闭 |
|
Description |
接口的描述信息 |
|
Bandwidth |
接口的期望带宽,单位为kbps |
|
Maximum transmission unit |
接口的最大传输单元 |
|
Internet protocol processing |
接口的IP地址。如果没有为接口配置IP地址,则该字段显示为Internet protocol processing: Disabled,表示不能处理IP报文 |
|
Internet address: ip-address/mask-length (Type) |
接口IP地址。Type表示地址获取方式,取值如下: · Primary:手动配置的主地址 |
|
Link layer protocol |
链路层协议类型 |
|
Last clearing of counters |
最近一次使用reset counters interface命令清除接口下的统计信息的时间(如果从设备启动一直没有执行reset counters interface命令清除过该接口下的统计信息,则显示Never) |
|
Last 300 seconds input rate |
最近300秒钟的平均输入速率:bytes/sec表示平均每秒输入的字节数,bits/sec表示平均每秒输入的比特数,packets/sec表示平均每秒输入的包数 |
|
Last 300 seconds output rate |
最近300秒钟的平均输出速率:bytes/sec表示平均每秒输出的字节数,bits/sec表示平均每秒输出的比特数,packets/sec表示平均每秒输出的包数 |
|
Input: 0 packets, 0 bytes, 0 drops |
总计输入的报文数,总计输入的字节,总计丢弃的输入报文数 |
|
Output: 0 packets, 0 bytes, 0 drops |
总计输出的报文数,总计输出的字节,总计丢弃的输出报文数 |
# 显示所有SSL VPN AC类型接口的概要信息。
<Sysname> display interface sslvpn-ac brief
Brief information of interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
SSLVPN-AC1000 UP DOWN --
# 显示接口SSL VPN AC 1000的概要信息,包括用户配置的全部描述信息。
<Sysname> display interface sslvpn-ac 1000 brief description
Brief information of interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
SSLVPN-AC1000 UP UP 1.1.1.1 SSLVPN-AC1000 Interface
# 显示当前状态为down的接口的信息以及DOWN的原因。
<Sysname> display interface sslvpn-ac brief down
Brief information of interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Interface Link Cause
SSLVPN-AC1000 ADM
SSLVPN-AC1001 ADM
表1-2 display interface sslvpn-ac brief命令显示信息描述表
|
字段 |
描述 |
|
Brief information of interfaces in route mode: |
三层模式下(route)的接口的概要信息,即三层接口的概要信息 |
|
Link: ADM - administratively down; Stby - standby |
· 如果某接口的Link属性值为“ADM”,则表示该接口被管理员通过shutdown命令关闭,需要在该接口下执行undo shutdown命令才能恢复接口本身的物理状态 · 如果某接口的Link属性值为“Stby”,则表示该接口是一个处于Standby状态的备份接口,使用display interface-backup state命令可以查看该备份接口对应的主接口 |
|
Protocol: (s) - spoofing |
如果某接口的Protocol属性值中带有“(s)”字符串,则表示该接口的网络层协议状态显示是UP的,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立 |
|
Interface |
接口名称缩写 |
|
Link |
接口物理连接状态,取值包括: · UP:表示本链路物理上是连通的 · DOWN:表示本链路物理上是不通的 · ADM:表示本链路被管理员通过shutdown命令关闭,需要执行undo shutdown命令才能恢复接口真实的物理状态 · Stby:表示该接口是一个处于Standby状态的备份接口 |
|
Protocol |
接口的链路层协议状态,取值包括: · UP:表示该接口的链路层协议状态为开启 · UP (s):表示该接口的链路层协议状态为开启,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立。通常NULL、LoopBack等接口会具有该属性 · DOWN:表示该接口的链路层协议状态为关闭 |
|
Primary IP |
接口主IP地址 |
|
Description |
接口的描述信息 |
|
Cause |
接口物理连接状态为down的原因,取值为: · Administratively:表示本链路被手工关闭了(配置了shutdown命令),需要执行undo shutdown命令才能恢复真实的物理状态 · Not connected:表示物理层不通 |
【相关命令】
· reset counters interface
display sslvpn context命令用来显示SSL VPN访问实例的信息。
【命令】
display sslvpn context [ brief | name context-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示所有SSL VPN访问实例的简要信息。如果不指定本参数,则显示SSL VPN访问实例的详细信息。
name context-name:显示指定SSL VPN访问实例的详细信息。context-name表示SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例的信息。
【举例】
# 显示所有SSL VPN访问实例的详细信息。
<Sysname> display sslvpn context
Context name: ctx1
Operation state: Up
AAA domain: domain1
Certificate authentication: Enabled
Certificate username-attribute: CN
Password authentication:Enabled
Authentication use: All
Authentication server-type: aaa
SMS auth type: iMC
Code verification: Disabled
Default policy group: Not configured
Associated SSL VPN gateway: gw1
Domain name: 1
Associated SSL VPN gateway: gw2
Virtual host: abc.com
Associated SSL VPN gateway: gw3
SSL client policy configured: ssl1
SSL client policy in use: ssl
Maximum users allowed: 200
VPN instance:vpn1
Idle timeout: 30 min
Idle-cut traffic threshold: 100 Kilobytes
Password changing: Disabled
Context name: ctx2
Operation state: Down
Down reason: Administratively down
AAA domain not specified
Certificate authentication: Enabled
Certificate username-attribute: OID(2.5.4.10)
Password authentication:Disabled
Authentication use: Any-one
Authentication server-type: custom
SMS auth type: sms-gw
Code verification: Disabled
Default group policy: gp
Associated SSL VPN gateway: -
SSL client policy configured: ssl1
SSL client policy in use: ssl
Maximum users allowed: 200
VPN instance not configured
Idle timeout: 50 min
Idle-cut traffic threshold: 100 Kilobytes
Address pool: Conflicted with an IP address on the device
Password changing: Enabled
Denied client types: Browsers
表1-3 display sslvpn context命令显示信息描述表
|
字段 |
描述 |
|
Context name |
SSL VPN访问实例的名称 |
|
Operation state |
SSL VPN访问实例的操作状态,取值包括: · Up:SSL VPN访问实例处于运行状态 · Down:SSL VPN访问实例未处于运行状态 |
|
Down reason |
SSL VPN访问实例处于down状态的原因,取值包括: · Administratively down:管理down,即未通过service enable命令开启SSL VPN访问实例 · No gateway associated:SSL VPN访问实例未引用SSL VPN网关 · Applying SSL client-policy failed:为SSL VPN访问实例应用SSL客户端策略失败 |
|
AAA domain |
SSL VPN访问实例使用的ISP域 |
|
Certificate authentication |
SSL VPN访问实例是否开启证书认证功能,取值包括: · Enabled:证书认证功能开启 · Disabled:证书认证功能未开启 |
|
Certificate username-attribute |
采用SSL VPN用户证书中的指定字段作为SSL VPN用户名,取值包括: · CN:用户证书中的CN字段 · Email-prefix:用户证书中的邮件地址前缀 · OID(x.x.x.x):用户证书中指定OID值标识的字段,OID为对象标识符,以点分十进制的形式表示 本字段仅在开启证书认证时显示 |
|
Password authentication |
SSL VPN访问实例是否开启用户名/密码认证功能,取值包括: · Enabled:用户名/密码认证功能开启 · Disabled:用户名/密码认证功能未开启 |
|
Authentication use |
SSL VPN用户登录访问实例的认证模式,取值包括: · All:通过所有的认证方式 · Any-one:通过任意一种认证方式 |
|
Authentication server-type |
SSL VPN用户登录访问实例的认证服务器类型,取值包括: · aaa:AAA认证服务器 · custom:自定义认证服务器 |
|
SMS auth type |
SSL VPN用户配置短信认证类型,取值包括: · iMC:iMC短信认证 · sms-gw:短信网关认证 |
|
Code verification |
SSL VPN访问实例是否开启验证码验证功能 |
|
Default policy group |
SSL VPN访问实例使用的缺省策略组 |
|
Associated SSL VPN gateway |
SSL VPN访问实例引用的SSL VPN网关 |
|
Domain name |
SSL VPN访问实例的域名 |
|
Virtual host |
SSL VPN访问实例的虚拟主机名称 |
|
SSL client policy configured |
配置的SSL客户端策略名称。配置的SSL客户端策略在重启SSL VPN访问实例后才能生效 |
|
SSL client policy in use |
生效的SSL客户端策略名称 |
|
Maximum users allowed |
SSL VPN访问实例的最大用户会话数 |
|
VPN instance |
SSL VPN访问实例关联的VPN实例 |
|
Idle timeout |
SSL VPN会话可以保持空闲状态的最长时间,单位为分钟 |
|
Idle-cut traffic threshold |
SSL VPN会话保持空闲状态的流量阈值 |
|
Address pool: Conflicted with an IP address on the device |
检测到SSL VPN访问实例IP地址冲突 |
|
Password changing |
修改SSL VPN登录密码功能是否开启,取值包括: · Enabled:修改密码功能开启 · Disabled:修改密码功能关闭 |
|
Denied client types |
禁用的SSL VPN客户端,取值包括: · Browsers:浏览器客户端 · PC-iNode:PC版iNode客户端 · Mobile-iNode:移动版iNode客户端 · Not configured:未配置禁用的SSL VPN客户端 |
# 显示所有SSL VPN访问实例的简要信息。
<Sysname> display sslvpn context brief
Context name Admin Operation VPN instance Gateway Domain/VHost
ctx1 Up Up - gw1 -/1
gw2 abc.com/-
gw3 -/-
ctx2 Down Down - - -/-
表1-4 display sslvpn context brief命令显示信息描述表
|
字段 |
描述 |
|
Context name |
SSL VPN访问实例的名称 |
|
Admin |
SSL VPN访问实例的管理状态,取值包括: · up:已通过service enable命令开启SSL VPN访问实例 · down:未通过service enable命令开启SSL VPN 访问实例 |
|
Operation |
SSL VPN访问实例的操作状态,取值包括: · up:SSL VPN访问实例处于运行状态 · down:SSL VPN访问实例未处于运行状态 |
|
VPN instance |
SSL VPN访问实例关联的VPN实例 |
|
Gateway |
SSL VPN访问实例引用的SSL VPN网关 |
|
Domain/VHost |
SSL VPN访问实例的域名或虚拟主机名称 |
display sslvpn gateway命令用来显示SSL VPN网关的信息。
【命令】
display sslvpn gateway [ brief | name gateway-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示所有SSL VPN网关的简要信息。如果不指定本参数,则显示SSL VPN网关的详细信息。
name gateway-name:显示指定SSL VPN网关的详细信息。gateway-name表示SSL VPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN网关的信息。
【举例】
# 显示所有SSL VPN网关的详细信息。
<Sysname> display sslvpn gateway
Gateway name: gw1
Operation state: Up
IP: 192.168.10.75 Port: 443
HTTP redirect port: 80
SSL server policy configured: ssl1
SSL server policy in use: ssl
Front VPN instance: vpn1
Gateway name: gw2
Operation state: Down
Down reason: Administratively down
IP: 0.0.0.0 Port: 443
SSL server policy configured: ssl1
SSL server policy in use: ssl
Front VPN instance: Not configured
表1-5 display sslvpn gateway命令显示信息描述表
|
字段 |
描述 |
|
Gateway name |
SSL VPN网关的名称 |
|
Operation state |
SSL VPN网关的操作状态,取值包括: · Up:SSL VPN网关处于运行状态 · Down:SSL VPN网关未处于运行状态 |
|
Down reason |
SSL VPN网关处于down状态的原因,取值包括: · Administratively down:管理down,即没有通过service enable命令开启SSL VPN网关 · VPN instance not exist:SSL VPN网关所属的VPN实例不存在 · Applying SSL server-policy failed:为SSL VPN网关应用SSL服务器端策略失败 |
|
IP |
SSL VPN网关的IPv4地址 |
|
Port |
SSL VPN网关的端口号 |
|
HTTP redirect port |
HTTP重定向端口号 |
|
SSL server policy configured |
配置的SSL服务器端策略名称。配置的SSL服务器端策略在重启SSL VPN网关后才能生效 |
|
SSL server policy in use |
生效的SSL服务器端策略名称 |
|
Front VPN instance |
前端VPN实例名称,即SSL VPN网关所属的VPN实例名称 |
# 显示所有SSL VPN网关的简要信息。
<Sysname> display sslvpn gateway brief
Gateway name Admin Operation
gw1 Up Up
gw2 Down Down (Administratively down)
gw3 Up Up
表1-6 display sslvpn gateway brief命令显示信息描述表
|
字段 |
描述 |
|
Gateway name |
SSL VPN网关的名称 |
|
Admin |
SSL VPN网关的管理状态,取值包括: · Up:已通过service enable命令开启SSL VPN网关 · Down:未通过service enable命令开启SSL VPN网关 |
|
Operation |
SSL VPN网关的操作状态,取值包括: · Up:SSL VPN网关处于运行状态 · Down (Administratively down):管理down,即没有通过service enable命令开启SSL VPN网关 · Down (VPN instance not exist):SSL VPN网关所属的VPN实例不存在 · Down (Applying SSL server-policy failed):为SSL VPN网关应用SSL服务器端策略失败 |
display sslvpn ip-tunnel statistics命令用来显示通过IP接入的SSL VPN用户的报文统计信息。
【命令】
display sslvpn ip-tunnel statistics [ context context-name ] [ user user-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
context context-name:显示指定SSL VPN访问实例下通过IP接入的SSL VPN用户的报文统计信息。context-name表示SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例下通过IP方式接入的SSL VPN用户的报文统计信息。
user user-name:显示指定或所有SSL VPN访问实例下指定SSL VPN用户对应的报文统计信息。user-name表示SSL VPN用户名称,为1~63个字符的字符串,不区分大小写。如果不指定本参数,则显示指定或所有SSL VPN访问实例下所有通过IP接入的SSL VPN用户的报文统计信息。
【使用指导】
如果未指定任何参数,则显示所有SSL VPN访问实例下的通过IP接入的报文统计信息。
【举例】
# 显示所有SSL VPN访问实例下通过IP接入的SSL VPN用户的报文统计信息。
<Sysname> display sslvpn ip-tunnel statistics
IP-tunnel statistics in SSL VPN context ctx1:
Client:
In bytes : 125574 Out bytes : 1717349
Server:
In bytes : 1717349 Out bytes : 116186
IP-tunnel statistics in SSL VPN context ctx2:
Client:
In bytes : 521 Out bytes : 1011
Server:
In bytes : 1011 Out bytes : 498
# 显示SSL VPN访问实例ctx1下通过IP接入的报文统计信息和登录该访问实例的每个SSL VPN用户的报文统计信息。
<Sysname> display sslvpn ip-tunnel statistics context ctx1
IP-tunnel statistics in SSL VPN context ctx1:
Client:
In bytes : 125574 Out bytes : 1717349
Server:
In bytes : 1717349 Out bytes : 116186
SSL VPN session IP-tunnel statistics:
Context : ctx1
User : user1
Session ID : 1
User IPv4 address : 192.168.56.1
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalive replies : 1
Received configuration updates: 0
Sent configuration updates : 0
Context : ctx1
User : user2
Session ID : 2
User IPv6 address : 1234::5001
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalive replies : 1
Received configuration updates: 0
Sent configuration updates : 0
# 显示SSL VPN用户user1通过IP接入的报文统计信息。
<Sysname> display sslvpn ip-tunnel statistics user user1
SSL VPN session IP-tunnel statistics:
Context : ctx1
User : user1
Session ID : 1
User IPv4 address : 192.168.56.1
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalive replies : 1
Received configuration updates: 0
Sent configuration updates : 0
Context : ctx2
User : user1
Session ID : 2
User IPv6 address : 1234::5001
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalives replies : 1
Received configuration updates: 0
Sent configuration updates : 0
# 显示SSL VPN访问实例ctx1下SSL VPN用户user1通过IP接入的报文统计信息。
<Sysname> display sslvpn ip-tunnel statistics context ctx1 user user1
SSL VPN session IP-tunnel statistics:
Context : ctx1
User : user1
Session ID : 1
User IPv4 address : 192.168.56.1
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalive replies : 1
Received configuration updates: 0
Sent configuration updates : 0
Context : ctx1
User : user1
Session ID : 2
User IPv6 address : 1234::5001
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalives replies : 1
Received configuration updates: 0
Sent configuration updates : 0
表1-7 display sslvpn ip-tunnel statistics命令显示信息描述表
|
字段 |
描述 |
|
Context |
SSL VPN用户所属的SSL VPN访问实例 |
|
User |
SSL VPN用户的登录名 |
|
Session ID |
SSL VPN会话的标识 |
|
User IPv4 address |
SSL VPN用户的IPv4地址 |
|
User IPv6 address |
SSL VPN用户的IPv6地址 |
|
Received requests |
SSL VPN网关设备接收自SSL VPN用户的IP接入业务请求报文数 |
|
Sent requests |
SSL VPN网关设备转发给资源服务器的IP接入业务请求报文数 |
|
Dropped requests |
SSL VPN网关设备丢弃SSL VPN用户的IP接入业务请求报文数 |
|
Received replies |
SSL VPN网关设备接收资源服务器的IP接入业务应答报文数 |
|
Sent replies |
SSL VPN网关设备转发给SSL VPN用户的IP接入业务应答报文数 |
|
Dropped replies |
SSL VPN网关设备丢弃的IP接入业务应答报文数 |
|
Received keepalives |
SSL VPN网关设备接收自SSL VPN用户的保活报文数 |
|
Sent keepalives replies |
SSL VPN网关设备发送给SSL VPN用户的保活应答报文数 |
|
Received configuration updates |
SSL VPN网关设备接收自SSL VPN用户主动请求发送配置更新的报文数 |
|
Sent configuration updates |
SSL VPN网关设备发送给SSL VPN用户的配置更新报文数 |
|
Client |
SSL VPN网关设备与客户端之间的报文字节数统计,取值如下: · In bytes:SSL VPN网关设备接收自SSL VPN用户的IP接入业务请求报文字节数 · Out bytes:SSL VPN网关设备转发给SSL VPN用户的IP接入业务应答报文字节数 |
|
Server |
SSL VPN网关设备与服务器之间的统计信息,取值如下: · In bytes:SSL VPN网关设备接收资源服务器的IP接入业务应答报文字节数 · Out bytes:SSL VPN网关设备转发给资源服务器的IP接入业务请求报文字节数 |
display sslvpn policy-group命令用来显示指定策略组的信息。
【命令】
display sslvpn policy-group group-name [ context context-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
group-name:策略组名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
context context-name:显示指定SSL VPN访问实例下的指定策略组的信息。context-name表示SSL VPN访问实例的名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例下的指定名称的策略组信息。
【举例】
# 显示所有SSL VPN访问实例下名称为pg1的策略组的信息。
<Sysname> display sslvpn policy-group pg1
Group policy: pg1
Context: context1
Idle timeout: 35 min
Redirect resource type: url-item
Redirect resource name: url1
Context: context2
Idle timeout: 40 min
Redirect resource: Not configured
表1-8 display sslvpn policy-group命令显示信息描述表
|
字段 |
描述 |
|
Group policy |
策略组名称 |
|
Context |
SSL VPN访问实例名称 |
|
Idle timeout |
SSL VPN会话可以保持空闲状态的最长时间,单位为分钟 |
|
Redirect resource |
策略组中授权给SSL VPN的重定向资源 |
|
Redirect resource type |
策略组中授权给SSL VPN的重定向资源类型 |
|
Redirect resource name |
策略组中授权给SSL VPN的重定向资源名称 |
display sslvpn port-forward connection命令用来显示TCP端口转发的连接信息。
【命令】
display sslvpn port-forward connection [ context context-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
context context-name:显示指定SSL VPN访问实例下的TCP端口转发连接信息。context-name 表示SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例下的TCP端口转发连接信息。
【举例】
# 显示所有SSL VPN访问实例下TCP端口转发的连接信息。
<Sysname> display sslvpn port-forward connection
SSL VPN context : ctx1
Client address : 192.0.2.1
Client port : 1025
Server address : 192.168.0.39
Server port : 80
Status : Connected
SSL VPN context : ctx2
Client address : 3000::983F:7A36:BD06:342D
Client port : 56190
Server address : 300::1
Server port : 23
Status : Connecting
表1-9 display sslvpn port-forward connection命令显示信息描述表
|
字段 |
描述 |
|
Client address |
SSL VPN客户端的IP地址 |
|
Client port |
SSL VPN客户端的本地端口号 |
|
Server address |
企业网内服务器的IP地址 |
|
Server port |
企业网内服务器的端口号 |
|
Status |
连接状态,取值包括: · Connected:连接成功 · Connecting:正在连接 |
display sslvpn prevent-cracking frozen-ip命令用来显示被防暴力破解功能冻结的IP地址信息。
【命令】
display sslvpn prevent-cracking frozen-ip { statistics | table } [ context context-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
statistics:表示被冻结的IP地址相关统计信息。
table:表示被冻结的IP地址表项信息。
context context-name:表示SSL VPN访问实例的名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例下被冻结的IP地址信息。
【举例】
# 显示所有SSL VPN访问实例下被冻结的IP地址统计信息。
<Sysname> display sslvpn prevent-cracking frozen-ip statistics
SSL VPN context: ctx1
Total number of frozen IP addresses: 1
Total number of username/password authentication failures: 1
Total number of code verification failures: 1
Total number of SMS authentication failures: 1
Total number of custom authentication failures: 1
SSL VPN context: ctx2
Total number of frozen IP addresses: 1
Total number of username/password authentication failures: 1
Total number of code verification failures: 1
Total number of SMS authentication failures: 1
Total number of custom authentication failures: 1
# 显示所有SSL VPN访问实例下被冻结的IP地址表项信息。
<Sysname> display sslvpn prevent-cracking frozen-ip table
SSL VPN context: ctx1
IP address Authentication method Frozen at Unfrozen at
8.1.1.80 code verification 2019-10-08 08:30:01 2019-10-08 08:35:04
3.3.3.30 Username/password authentication 2019-10-08 08:35:01 2019-10-08 08:39:04
SSL VPN context: ctx2
IP address Authentication method Frozen at Unfrozen at
121.5.5.32 Username/password authentication 2019-10-08 08:31:01 2019-10-08 08:45:04
123.3.3.3 code verification 2019-10-08 08:35:01 2019-10-08 08:55:04
表1-10 display sslvpn prevent-cracking frozen-ip命令显示信息描述表
|
字段 |
描述 |
|
SSL VPN context |
SSL VPN访问实例名称 |
|
Total number of frozen IP addresses |
访问实例下所有被冻结的IP地址总数目 |
|
Total number of username/password authentication failures |
访问实例下用户名密码认证失败总数目 |
|
Total number of code verification failures |
访问实例下验证码验证失败总数目 |
|
Total number of SMS authentication failures |
访问实例下短信认证失败总数目 |
|
Total number of custom authentication failures |
访问实例下自定义认证失败总数目 |
|
IP address |
被冻结的IP地址 |
|
Authentication method |
防暴力破解统计的SSL VPN用户登录访问实例的认证方式包括: · Username/password authentication:用户名密码认证 · Code verification:验证码验证 · SMS authentication:短信认证 · Custom authentication:自定义认证 以上认证方式可以组合使用,每一种组合认证方式下必须包含用户名密码认证方式,且自定义认证和短信认证不可以同时使用。除了验证码验证,其他认证方式均可以单独使用 |
|
Frozen at |
IP地址被冻结的时间 |
|
Unfrozen at |
IP地址预计解冻时间,N/A表示永久冻结 |
display sslvpn session命令用来显示SSL VPN会话信息。
【命令】
display sslvpn session [ context context-name ] [ user user-name | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
context context-name:显示指定SSL VPN访问实例下的SSL VPN会话的简要信息。context-name表示SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例下的SSL VPN会话的简要信息。
user user-name:显示指定或所有SSL VPN访问实例下指定SSL VPN用户对应的SSL VPN会话的详细信息。user-name表示SSL VPN用户名称,为1~63个字符的字符串,不区分大小写。如果不指定本参数,则显示指定或所有SSL VPN访问实例下SSL VPN会话的简要信息。
verbose:显示指定或所有SSL VPN访问实例下SSL VPN会话中所有用户的详细信息。如果不指定本参数,则显示指定或所有SSL VPN访问实例下SSL VPN会话的简要信息。
【举例】
# 显示所有SSL VPN访问实例下SSL VPN会话的简要信息。
<Sysname> display sslvpn session
Total users: 4
SSL VPN context: ctx1
Users: 2
Username Connections Idle time Created User IP
user1 5 0/00:00:23 0/04:47:16 192.0.2.1
user2 5 0/00:00:46 0/04:48:36 192.0.2.2
SSL VPN context: ctx2
Users: 2
Username Connections Idle time Created User IP
user3 5 0/00:00:30 0/04:50:06 192.168.2.1
user4 5 0/00:00:50 0/04:51:16 192.168.2.2
表1-11 display sslvpn session命令简要显示信息描述表
|
字段 |
描述 |
|
Total users |
所有访问实例下的总用户数目 |
|
SSL VPN context |
SSL VPN访问实例名称 |
|
Users |
当前访问实例下的用户数目 |
|
Total users |
所有访问实例下的总用户数目 |
|
Username |
SSL VPN会话的登录用户名称 |
|
Connections |
SSL VPN会话的连接次数 |
|
Idle time |
SSL VPN会话的空闲时长,格式为天/时:分:秒 |
|
Created |
SSL VPN会话的创建时长,格式为天/时:分:秒 |
|
User IP |
SSL VPN会话使用的IP地址 |
# 显示SSL VPN用户user1对应的SSL VPN会话的详细信息。
<Sysname> display sslvpn session user user1
User : user1
Authentication method : Username/password authentication
Context : context1
Policy group : pgroup
Idle timeout : 30 min
Created at : 13:49:27 UTC Wed 05/14/2014
Lastest : 17:50:58 UTC Wed 05/14/2014
Allocated IPv4 : 2.2.2.1
Allocated IPv6 : 2000::1
User IPv4 address : 192.0.2.1
Session ID : 1
Web browser/OS : Internet Explorer
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
User : user1
Authentication method : Username/password authentication
Context : context2
Policy group : Default
Idle timeout : 2100 sec
Created at : 14:15:12 UTC Wed 05/14/2014
Lastest : 18:56:58 UTC Wed 05/14/2014
User IPv6 address : 0:30::983F:7A36:BD06:342D
Session ID : 5
Web browser/OS : Internet Explorer
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
# 显示SSL VPN会话中所有用户的详细信息。
<Sysname> display sslvpn session verbose
User : user1
Authentication method : Username/password authentication
Context : context1
Policy group : pgroup
Idle timeout : 30 min
Created at : 13:49:27 UTC Wed 05/14/2014
Lastest : 17:50:58 UTC Wed 05/14/2014
User IPv4 address : 192.0.2.1
Session ID : 1
Web browser/OS : Internet Explorer
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
User : user1
Authentication method : Username/password authentication
Context : context2
Policy group : Default
Idle timeout : 2100 sec
Created at : 14:15:12 UTC Wed 05/14/2014
Lastest : 18:56:58 UTC Wed 05/14/2014
User IPv6 address : 0:30::983F:7A36:BD06:342D
Session ID : 5
Web browser/OS : Internet Explorer
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
表1-12 display sslvpn session user和display sslvpn session verbose命令显示信息描述表
|
字段 |
描述 |
|
User |
SSL VPN用户的登录名 |
|
Authentication method |
SSL VPN用户登录访问实例的认证方式,取值包括: · Username/password authentication:用户名密码认证 · Certificate authentication:证书认证 · Code verification:验证码验证 · SMS authentication:短信认证 · Custom authentication:自定义认证 以上认证方式可以组合使用,每一种组合认证方式下必须至少包含用户名密码认证和证书认证中的一种方式,且自定义认证和短信认证不可以同时使用。除了验证码验证,其他认证方式均可以单独使用。 |
|
Context |
SSL VPN用户所属的SSL VPN访问实例 |
|
Policy group |
SSL VPN用户使用的策略组 |
|
Idle timeout |
SSL VPN超时时间 |
|
Created at |
SSL VPN会话的创建时间 |
|
Lastest |
用户最近一次访问时间 |
|
Allocated IPv4 |
iNode客户端分配到的IP地址,通过iNode登录的用户,会显示该字段信息 |
|
Allocated IPv6 |
iNode客户端分配到的IPv6地址,通过iNode登录的用户,会显示该字段信息 |
|
User IPv4 address |
SSL VPN会话使用的IPv4地址 |
|
User IPv6 address |
SSL VPN会话使用的IPv6地址 |
|
Session ID |
SSL VPN会话的标识 |
|
Web browser/OS |
SSL VPN登录用户所用的浏览器或操作系统类型信息 |
|
Send rate |
SSL VPN会话的发送速率,单位取值包括: · B/s:字节/秒 · KB/s:千字节/秒 · MB/s:兆字节/秒 · GB/s:吉字节/秒 · TB/s:太字节/秒 · PB/s:拍字节/秒 |
|
Receive rate |
SSL VPN会话的接收速率,单位取值包括: · B/s:字节/秒 · KB/s:千字节/秒 · MB/s:兆字节/秒 · GB/s:吉字节/秒 · TB/s:太字节/秒 · PB/s:拍字节/秒 |
|
Sent bytes |
SSL VPN会话的总发送流量,单位取值包括: · B:字节 · KB:千字节 · MB:兆字节 · GB:吉字节 · TB:太字节 · PB:拍字节 |
|
Received bytes |
SSL VPN会话的总接收流量,单位取值包括: · B:字节 · KB:千字节 · MB:兆字节 · GB:吉字节 · TB:太字节 · PB:拍字节 |
display sslvpn webpage-customize template命令用来显示SSL VPN页面模板信息。
【命令】
display sslvpn webpage-customize template
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示所有页面模板信息。
<Sysname> display sslvpn webpage-customize template
Template name Type Status
default Pre-defined Normal
system Pre-defined Normal
User1 User-defined File login.html missing
User2 User-defined File home.html missing
表1-13 display sslvpn webpage-customize template命令显示信息描述表
|
字段 |
描述 |
|
Template name |
页面模板的名称 |
|
Type |
页面模板的类型,取值包括: · Pre-defined:表示该页面模板为预定义页面模板 · User-defined:表示该页面模板为用户自定义页面模板 |
|
Status |
页面模板的状态,取值包括: · Normal:表示该页面模板完整,可以使用 · File login.html missing:表示该页面模板缺少login.html文件 · File home.html missing:表示该页面模板缺少home.html文件 |
【相关命令】
· sslvpn webpage-customize
· webpage-customize
emo-server命令用来配置为客户端指定的EMO(Endpoint Mobile Office,终端移动办公)服务器。
undo emo-server命令用来恢复缺省情况。
【命令】
emo-server address { host-name | ipv4-address } port port-number
undo emo-server
【缺省情况】
未配置为客户端指定的EMO服务器。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
address:指定EMO服务器的主机名或IPv4地址。
host-name:EMO服务器的主机名,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。
ipv4-address:EMO服务器的IPv4地址,为点分十进制格式,不能是组播、广播、环回地址。
port port-number:指定EMO服务器使用的端口号。port-number取值范围为1025~65535。
【使用指导】
EMO服务器用来为移动客户端提供服务。执行本命令后,SSL VPN网关会将配置的EMO服务器信息下发给客户端,以便客户端访问EMO服务器。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为ctx1的SSL VPN访问实例下配置EMO服务器地址为10.10.1.1、端口号为9058。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] emo-server address 10.10.1.1 port 9058
file-policy命令用来创建文件策略,并进入文件策略视图。如果指定的文件策略已经存在,则直接进入该文件策略视图。
undo file-policy命令用来删除指定的文件策略。
【命令】
file-policy policy-name
undo file-policy policy-name
【缺省情况】
不存在文件策略。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
policy-name:文件策略名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
此命令创建的文件策略用于对Web接入方式访问的Web服务器网页文件进行匹配和改写。
同一个SSL VPN访问实例视图中可以配置多个文件策略。
【举例】
# 创建名称为fp的文件策略,并进入文件策略视图。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp]
【相关命令】
· sslvpn context
filter ip-tunnel acl命令用来配置对IP接入进行高级ACL过滤。
undo filter ip-tunnel acl命令用来恢复缺省情况。
【命令】
filter ip-tunnel acl advanced-acl-number
undo filter ip-tunnel acl
【缺省情况】
SSL VPN网关允许SSL VPN客户端访问IP接入资源。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
【参数】
acl advanced-acl-number:用来过滤IP接入报文的高级ACL的编号。advanced-acl-number表示高级ACL,取值范围为3000~3999。引用的ACL规则中不能存在VPN实例,否则该规则不生效。
【使用指导】
用户访问资源时,匹配顺序为:
(1) 进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。
(2) 若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。
(3) 若高级ACL检查失败,则授权失败,用户不允许访问资源。如果引用的ACL不存在,则SSL VPN网关拒绝所有IP接入方式的访问。
若URI ACL和高级ACL均未引用,则SSL VPN网关默认允许所有IP接入方式的访问。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置策略组pg1通过IPv4 ACL 3000过滤IP接入方式访问。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] filter ip-tunnel acl 3000
【相关命令】
· filter ip-tunnel uri-acl
filter ip-tunnel uri-acl命令用来配置对IP接入进行URI ACL过滤。
undo filter ip-tunnel uri-acl命令用来取消IP接入的URI ACL过滤。
【命令】
filter ip-tunnel uri-acl uri-acl-name
undo filter ip-tunnel uri-acl
【缺省情况】
SSL VPN网关允许SSL VPN客户端访问IP接入资源。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
【参数】
uri-acl-name:URI ACL名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。
【使用指导】
用户访问资源时,匹配顺序为:
(1) 进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。
(2) 若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。
(3) 若高级ACL检查失败,则授权失败,用户不允许访问资源。如果引用的ACL不存在,则SSL VPN网关拒绝所有IP接入方式的访问。
若URI ACL和高级ACL均未引用,则SSL VPN网关默认允许所有IP接入方式的访问。
配置对IP接入进行URI ACL过滤时,指定的URI ACL规则中不能包含HTTP和HTTPS协议,否则该规则不生效。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN策略组abcpg中,配置通过URI ACL abcuriacl过滤IP接入方式访问。
<Sysname> system-view
[Sysname] sslvpn context abc
[Sysname-sslvpn-context-abc] policy-group abcpg
[Sysname-sslvpn-context-abc-policy-group-abcpg] filter ip-tunnel uri-acl abcuriacl
filter tcp-access acl命令用来配置对TCP接入进行高级ACL过滤。
undo filter tcp-access acl命令用来恢复缺省情况。
【命令】
filter tcp-access acl advanced-acl-number
undo filter tcp-access acl
【缺省情况】
SSL VPN网关仅允许SSL VPN客户端访问端口转发列表下的资源。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
【参数】
acl advanced-acl-number:指定用于过滤TCP接入的高级ACL。advanced-acl-number表示高级ACL的编号,取值范围为3000~3999。引用的ACL规则中不能存在VPN实例,否则该规则不生效。
【使用指导】
对于手机版TCP客户端,用户访问资源时,匹配顺序为:
(1) 优先匹配端口转发资源列表,成功匹配后用户可以访问授权资源。
(2) 若端口转发资源列表匹配失败时,则进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。
(3) 若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。
(4) 若高级ACL检查失败,则授权失败,用户不允许访问资源。
对于PC版TCP客户端,仅当成功匹配端口转发资源列表后用户可以访问授权资源,否则禁止所有客户端访问TCP接入资源。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置策略组pg1通过IPv4 ACL 3000过滤TCP接入。
<Sysname> system-view
[Sysname]sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group pg1] filter tcp-access acl 3000
【相关命令】
· filter tcp-access uri-acl
filter tcp-access uri-acl命令用来配置对TCP接入进行URI ACL过滤。
undo filter tcp-access uri-acl命令用来取消TCP接入的URI ACL的过滤。
【命令】
filter tcp-access uri-acl uri-acl-name
undo filter tcp-access uri-acl
【缺省情况】
SSL VPN网关仅允许SSL VPN客户端访问被授权URL列表下的资源。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
【参数】
uri-acl-name:URI ACL名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。
【使用指导】
对于手机版TCP客户端,用户访问资源时,匹配顺序为:
(1) 优先匹配端口转发资源列表,成功匹配后用户可以访问授权资源。
(2) 若端口转发资源列表匹配失败时,则进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。
(3) 若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。
(4) 若高级ACL检查失败,则授权失败,用户不允许访问资源。
对于PC版TCP客户端,仅当成功匹配端口转发资源列表后用户可以访问授权资源,否则禁止所有客户端访问TCP接入资源。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN策略组abcpg中,配置通过URI ACL abcuriacl2过滤TCP接入方式访问。
<Sysname> system-view
[Sysname] sslvpn context abc
[Sysname-sslvpn-context-abc] policy-group abcpg
[Sysname-sslvpn-context-abc-policy-group-abcpg] filter tcp-access uri-acl abcuriacl2
【相关命令】
· filter tcp-access acl
filter web-access acl命令用来配置对Web接入进行高级ACL过滤。
undo filter web-access acl命令用来恢复缺省情况。
【命令】
filter web-access acl advanced-acl-number
undo filter web-access acl
【缺省情况】
SSL VPN网关仅允许SSL VPN客户端访问被授权URL列表下的资源。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
【参数】
acl advanced-acl-number:指定用于过滤Web接入的高级ACL。advanced-acl-number表示高级ACL的编号,取值范围为3000~3999。引用的ACL规则中不能存在VPN实例,否则该规则不生效。
【使用指导】
用户访问资源时,匹配顺序为:
(1) 优先匹配被授权URL列表下的资源,成功匹配后用户可以访问授权资源。
(2) 若被授权URL列表下的资源匹配失败时,则进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。
(3) 若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。
(4) 若高级ACL检查失败,则授权失败,用户不允许访问资源。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置策略组pg1通过IPv4 ACL 3000过滤Web接入。
<Sysname> system-view
[Sysname]sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group pg1] filter web-access acl 3000
【相关命令】
· filter web-access uri-acl
filter web-access uri-acl命令用来配置对Web接入进行URI ACL过滤。
undo filter web-access uri-acl命令用来取消Web接入的URI ACL的过滤。
【命令】
filter web-access uri-acl uri-acl-name
undo filter web-access uri-acl
【缺省情况】
SSL VPN网关仅允许SSL VPN客户端访问被授权URL列表下的资源。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
【参数】
uri-acl-name:URI ACL名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。
【使用指导】
用户访问资源时,匹配顺序为:
(1) 优先匹配被授权URL列表下的资源,成功匹配后用户可以访问授权资源。
(2) 若被授权URL列表下的资源匹配失败时,则进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。
(3) 若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。
(4) 若高级ACL检查失败,则授权失败,用户不允许访问资源。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN策略组abc中,配置通过URI ACL abcuriacl1过滤Web接入方式访问。
<Sysname> system-view
[Sysname] sslvpn context abc
[Sysname-sslvpn-context-abc] policy-group abcpg
[Sysname-sslvpn-context-abc-policy-group-abcpg] filter web-access uri-acl abcuriacl1
【相关命令】
· filter web-access acl
force-logout命令用来强制在线用户下线。
【命令】
force-logout [ all | session session-id | user user-name ]
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
all:强制所有用户下线。
session session-id:强制指定会话的用户下线。session-id表示用户会话标识,取值范围为1~4294967295。
user user-name:强制指定用户名的用户下线。user-name表示SSL VPN用户名称,为1~63个字符的字符串,区分大小写。
【举例】
# 强制会话标识为1的用户下线。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] force-logout session 1
force-logout max-onlines enable命令用来开启达到最大在线数时的用户强制下线功能。
undo force-logout max-onlines enable命令用来关闭达到最大在线数时的用户强制下线功能。
【命令】
force-logout max-onlines enable
undo force-logout max-onlines enable
【缺省情况】
达到最大在线数时的用户强制下线功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【使用指导】
当某个用户达到同一用户名同时最大在线数,该用户再次登录时,如果开启了本功能,则从该用户的在线连接中选择一个空闲时间最长的,强制其下线,新登录用户上线;如果未开启本功能,则不允许新用户登录。
【举例】
# 开启达到最大在线数再登录时强制下线功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] force-logout max-onlines enable
gateway命令用来配置短信网关认证引用短信网关。
undo gateway命令用来删除指定的短信网关。
【命令】
gateway sms-gateway-name
undo gateway [ sms-gateway-name ]
【缺省情况】
未引用短信网关。
【视图】
短信网关认证视图
【缺省用户角色】
network-admin
【参数】
sms-gateway-name:短信网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,执行undo gateway命令时将删除此短信网关视图下所有引用的短信网关。
【举例】
# 在sms-gw短信网关认证视图下配置引用短信网关gw1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw] gateway gw1
gateway命令用来配置SSL VPN访问实例引用SSL VPN网关。
undo gateway命令用来删除指定的SSL VPN网关。
【命令】
gateway gateway-name [ domain domain-name | virtual-host virtual-host-name ]
undo gateway [ gateway-name ]
【缺省情况】
未引用SSL VPN网关。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
gateway-name:SSL VPN网关名称。为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。
domain domain-name:域名,为1~127个字符的字符串,不区分大小写,支持输入中文字符。
virtual-host virtual-host-name:虚拟主机名称,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。
【使用指导】
多个SSL VPN访问实例引用同一个SSL VPN网关时,可以通过以下方法判断远端接入用户所属的SSL VPN访问实例:
· 为不同的SSL VPN访问实例指定不同的域名。远端用户登录SSL VPN网关时,指定自己所在的域,SSL VPN网关根据用户指定的域判断该用户所属的SSL VPN访问实例。
· 为不同的SSL VPN访问实例、指定不同的虚拟主机名称。远端用户访问SSL VPN网关时,输入虚拟主机名称,SSL VPN网关根据虚拟主机名称判断该用户所属的SSL VPN访问实例。
如果SSL VPN访问实例引用SSL VPN网关时没有指定域名和虚拟主机名称,那么其他的SSL VPN访问实例就不能再引用该SSL VPN网关。
在同一个SSL VPN访问实例视图下,最多可以引用10个SSL VPN网关。
【举例】
# 配置名为ctx1的SSL VPN访问实例引用SSL VPN网关gw1,域名为domain1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] gateway gw1 domain domain1
【相关命令】
· display sslvpn context
heading命令用来配置URL列表标题。
undo heading命令用来删除URL列表标题。
【命令】
heading string
undo heading
【缺省情况】
URL列表的标题为“Web”。
【视图】
URL列表视图
【缺省用户角色】
network-admin
【参数】
string:URL列表标题,为1~31个字符的文本字符串,区分大小写。
【举例】
# 配置URL列表的标题为urlhead。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-list url
[Sysname-sslvpn-context-ctx1-url-list-url] heading urlhead
【相关命令】
· sslvpn context
· url-list
http-redirect命令用来开启HTTP流量的重定向功能。
undo http-redirect命令用来关闭HTTP流量的重定向功能。
【命令】
http-redirect [ port port-number ]
undo http-redirect
【缺省情况】
HTTP流量的重定向功能处于关闭状态,SSL VPN网关不会处理HTTP流量。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
port-number:需要重定向的HTTP流量的端口号,取值范围为80、1025~65535,缺省值为80。
【使用指导】
配置该命令后,SSL VPN网关将监听指定的端口号,并把指定端口号的HTTP流量重定向到HTTPS服务监听的端口,向客户端发送重定向报文,让客户端重新以HTTPS方式登录。
【举例】
# 为端口号为1025的HTTP流量开启重定向功能。
<Sysname> system-view
[Sysname] sslvpn gateway gateway1
[Sysname-sslvpn-gateway-gateway1] http-redirect port 1025
idle-cut traffic-threshold命令用来配置SSL VPN会话保持空闲状态的流量阈值。
undo idle-cut traffic-threshold命令用来恢复缺省情况。
【命令】
idle-cut traffic-threshold kilobytes
undo idle-cut traffic-threshold
【缺省情况】
SSL VPN会话保持空闲状态的流量阈值为0千字节。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
kilobytes:表示SSL VPN会话保持空闲状态的流量阈值,取值范围为1~4294967295,单位为千字节。
【使用指导】
配置该命令后,SSL VPN网关将会对SSL VPN会话保持空闲状态的流量进行统计,如果在timeout idle命令配置的时间范围内SSL VPN用户发送至SSL VPN网关的流量未达到配置的流量阈值,则SSL VPN网关将断开该会话。
若修改本命令或timeout idle命令配置的值,则会清空已统计的流量。
【举例】
# 在SSL VPN访问实例ctx1下配置流量阈值为1000千字节。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] idle-cut traffic-threshold 1000
【相关命令】
· timeout idle
include命令用来在IPv4路由列表中添加路由。
undo include命令用来删除IPv4路由列表中的路由。
【命令】
include ip-address { mask | mask-length }
undo include ip-address { mask | mask-length }
【缺省情况】
不存在IPv4路由。
【视图】
IPv4路由列表视图
【缺省用户角色】
network-admin
【参数】
ip-address:IPv4路由的目的地址,不能是组播、广播、环回地址。
mask:IPv4路由目的地址的掩码。
mask-length:IPv4路由的掩码长度,取值范围为0~32。
【使用指导】
本命令指定的目的网段需要是企业内部服务器所在的网络。策略组引用路由列表后,SSL VPN网关将IPv4路由列表中的路由表项下发给客户端。客户端在本地添加这些IPv4路由表项,以便客户端将访问企业网络内部服务器的报文通过虚拟网卡发送给SSL VPN网关,防止这些报文进入Internet。
多次执行本命令,可以在IPv4路由列表中添加多条IPv4路由。
通过include命令和exclude命令指定相同的IPv4路由表项时,最后一次执行的命令生效。
【举例】
# 在IPv4路由列表rtlist下添加IPv4路由10.0.0.0/8。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-route-list rtlist
[Sysname-sslvpn-context-ctx1-route-list-rtlist] include 10.0.0.0 8
【相关命令】
· exclude
interface sslvpn-ac命令用来创建SSL VPN AC接口,并进入SSL VPN AC接口视图。如果指定的SSL VPN AC接口已经存在,则直接进入SSL VPN AC接口视图。
undo interface sslvpn-ac命令用来删除指定的SSL VPN AC接口。
【命令】
interface sslvpn-ac interface-number
undo interface sslvpn-ac interface-number
【缺省情况】
不存在SSL VPN AC接口。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interface-number:SSL VPN AC接口的编号,取值范围为0~4095。
【举例】
# 创建SSL VPN AC接口1000,并进入SSL VPN AC接口视图。
<Sysname>system-view
[Sysname]interface SSLVPN-AC 1000
[Sysname-SSLVPN-AC1000]
ip address命令用来配置SSL VPN网关的IPv4地址和端口号。
undo ip address命令用来恢复缺省情况。
【命令】
ip address ip-address [ port port-number ]
undo ip address
【缺省情况】
SSL VPN网关的IP地址为0.0.0.0,端口号为443。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
ip-address:SSL VPN网关的IPv4地址,为点分十进制格式。
port port-number:指定SSL VPN网关的端口号。port-number取值范围为443、1025~65535,缺省值为443。
【使用指导】
远端接入用户可以通过本命令配置的IPv4地址和端口号访问SSL VPN网关。当配置的IP地址为非缺省IP地址时,本命令指定的IP地址应为SSL VPN网关上接口的IP地址,并需要保证该IP地址路由可达。
SSL VPN网关使用缺省地址时,端口号不能与设备的HTTPS管理地址的端口号相同。
SSL VPN网关的IPv4地址和端口号与HTTPS管理地址和端口号不能完全相同,如果完全相同,则用户访问此地址和端口时,只能访问SSL VPN网关页面,而不能访问设备的管理页面。
SSL VPN网关的IPv4地址和IPv6地址不能同时生效,若同时配置了IPv4地址和IPv6地址(通过ipv6 address命令),则最后一次配置的IP地址生效。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置SSL VPN网关的IPv4地址为10.10.1.1、端口号为8000。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip address 10.10.1.1 port 8000
【相关命令】
· display sslvpn gateway
· ipv6 address
ip-route-list命令用来创建IPv4路由列表,并进入IPv4路由列表视图。如果指定的IPv4路由列表已经存在,则直接进入IPv4路由列表视图。
undo ip-route-list命令用来删除指定的IPv4路由列表。
【命令】
ip-route-list list-name
undo ip-route-list list-name
【缺省情况】
不存在IPv4路由列表。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
list-name:IPv4路由列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
【使用指导】
在IPv4路由列表视图下,可以配置IPv4路由表项,客户端可以通过这些IPv4路由表项访问企业网络内部的服务器。
若IPv4路由列表被策略组引用,则不允许删除该IPv4路由列表。请先通过undo ip-tunnel access-route命令取消引用,再执行本命令删除IPv4路由列表。
【举例】
# 在名为ctx1的SSL VPN访问实例下,创建IPv4路由列表rtlist,并进入IPv4路由列表视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-route-list rtlist
[Sysname-sslvpn-context-ctx1-route-list-rtlist]
【相关命令】
· ip-tunnel access-route
ip-tunnel access-route命令用来配置下发给客户端的IPv4路由表项。
undo ip-tunnel access-route命令用来恢复缺省情况。
【命令】
ip-tunnel access-route { ip-address { mask-length | mask } | force-all | ip-route-list list-name }
undo ip-tunnel access-route
【缺省情况】
未指定下发给客户端的IPv4路由表项。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
【参数】
ip-address { mask-length | mask }:将IPv4指定路由下发给客户端。ip-address为IPv4路由的目的地址,不能是组播、广播、环回地址;mask-length为路由的掩码长度,取值范围为0~32;mask为路由的掩码。
force-all:强制将客户端的流量转发给SSL VPN网关。
ip-route-list list-name:将指定IPv4路由列表中的IPv4路由表项下发给客户端。list-name表示IPv4路由列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。本参数指定的IPv4路由列表必须先通过ip-route-list命令创建。
【使用指导】
客户端通过IP接入方式访问网关时,网关将指定的路由下发给客户端。客户端若访问该网段内的服务器,报文就会通过虚拟网卡发送给SSL VPN网关,防止报文进入Internet。
通过指定IPv4路由列表,可以同时将IPv4路由列表中的多条IPv4路由下发给客户端。若只需要为客户端下发一条路由,则可以直接配置ip-address { mask-length | mask }参数,无需指定IPv4路由列表。
执行本命令时如果指定了force-all参数,则SSL VPN网关将在客户端上添加优先级最高的缺省IPv4路由,IPv4路由的出接口为虚拟网卡,从而使得所有没有匹配到IPv4路由表项的流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端,不允许SSL VPN客户端删除此缺省IPv4路由,且不允许SSL VPN客户端添加优先级高于此路由的缺省路由。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在策略组pg1下,配置将IPv4路由列表rtlist中的IPv4路由下发给客户端。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-route-list rtlist
[Sysname-sslvpn-context-ctx1-route-list-rtlist] include 10.0.0.0 8
[Sysname-sslvpn-context-ctx1-route-list-rtlist] include 20.0.0.0 8
[Sysname-sslvpn-context-ctx1-route-list-rtlist] quit
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] ip-tunnel access-route ip-route-list rtlist
【相关命令】
· ip-route-list
ip-tunnel address-pool命令用来配置IP接入引用IPv4地址池。
undo ip-tunnel address-pool命令用来恢复缺省情况。
【命令】
ip-tunnel address-pool pool-name mask { mask-length | mask }
undo ip-tunnel address-pool
【缺省情况】
IP接入未引用IPv4地址池。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
pool-name:引用的IPv4地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
mask { mask-length | mask }:指定IPv4地址池的掩码或掩码长度。mask-length表示地址池的掩码长度,取值范围为1~30;mask表示地址池的掩码。
【使用指导】
客户端使用IP接入方式访问SSL VPN网关时,网关需要为客户端分配IP地址。SSL VPN访问实例引用的IPv4地址池,若用户被授权的策略组没有引用IPv4地址池,则从此IPv4地址池为用户分配地址。若地址池中无可用地址,则分配失败。
本命令可以引用不存在的IPv4地址池。但此时SSL VPN网关无法为客户端分配IPv4地址。只有创建IPv4地址池后,SSL VPN网关才可以为客户端分配IPv4地址。
每个SSL VPN访问实例视图下只能引用一个IPv4地址池。多次执行本命令,最后一次执行的命令生效。
为了不影响用户接入,请管理员合理规划IP地址,避免地址池中的地址与设备上其他地址冲突。
【举例】
# 配置IP接入引用IPv4地址池pool1。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] ip-tunnel address-pool pool1 mask 24
【相关命令】
· sslvpn ip address-pool
ip-tunnel address-pool命令用来配置IP接入引用IPv4地址池。
undo ip-tunnel address-pool命令用来恢复缺省情况。
【命令】
ip-tunnel address-pool pool-name mask { mask-length | mask }
undo ip-tunnel address-pool
【缺省情况】
策略组下IP接入未引用IPv4地址池。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
【参数】
pool-name:引用的IPv4地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
mask { mask-length | mask }:指定IPv4地址池的掩码或掩码长度。mask-length表示地址池的掩码长度,取值范围为1~30;mask表示地址池的掩码。
【使用指导】
客户端使用IP接入方式访问SSL VPN网关时,网关需要为客户端分配IP地址。本命令指定了SSL VPN策略组引用的IPv4地址池,当用户被授权了该策略组之后,将从此IPv4地址池中为用户分配地址。
当SSL VPN访问实例和策略组下同时引用IPv4地址池时,将从策略组下的IPv4地址池分配地址,若地址池中无可用地址,则分配失败。当策略组中未引用IPv4地址池时,从访问实例的IPv4地址池中分配地址。
本命令可以引用不存在的IPv4地址池,但是不能从该地址池分配地址,只有创建地址池后,SSL VPN网关才可以为使用该地址池为客户端分配IPv4地址。
每个SSL VPN策略组下只能引用一个IPv4地址池。多次执行本命令,最后一次执行的命令生效。
为了不影响用户接入,请管理员合理规划IP地址,避免地址池中的地址与设备上其他地址冲突。
【举例】
# 在策略组pg1下配置用户IP接入引用IPv4地址池pool1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] ip-tunnel address-pool pool1 mask 24
【相关命令】
ip-tunnel dns-server命令用来配置为客户端指定的内网DNS服务器IPv4地址。
undo ip-tunnel dns-server命令用来恢复缺省情况。
【命令】
ip-tunnel dns-server { primary | secondary } ip-address
undo ip-tunnel dns-server { primary | secondary }
【缺省情况】
未配置为客户端指定的DNS服务器IPv4地址。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
primary:指定主DNS服务器。
secondary:指定备DNS服务器。
ip-address:DNS服务器的IPv4地址,不能是组播、广播、环回地址。
【举例】
# 配置为客户端指定的主DNS服务器IPv4地址为1.1.1.1。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] ip-tunnel dns-server primary 1.1.1.1
ip-tunnel interface命令用来配置IP接入引用的SSL VPN AC接口。
undo ip-tunnel interface命令用来恢复缺省情况。
【命令】
ip-tunnel interface sslvpn-ac interface-number
undo ip-tunnel interface
【缺省情况】
IP接入未引用SSL VPN AC接口。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
sslvpn-ac interface-number:引用的SSL VPN AC接口。interface-number为SSL VPN AC接口编号,取值范围为设备上已创建的SSL VPN AC接口的编号。指定的SSL VPN AC接口必须在设备上已经存在。
【使用指导】
当SSL VPN用户使用IP接入方式访问SSL VPN网关时,网关使用指定的SSL VPN AC接口与客户端通信。网关从SSL VPN AC接口接收到客户端发送的报文后,将报文转发到远端服务器;服务器做出响应后,网关会把应答报文通过SSL VPN AC接口发给客户端。
【举例】
# 指定IP接入引用的接口为SSL VPN AC 100。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] ip-tunnel interface sslvpn-ac 100
【相关命令】
· interface sslvpn-ac
ip-tunnel keepalive命令用来配置保活报文的发送时间间隔。
undo ip-tunnel keepalive命令用来恢复缺省情况。
【命令】
ip-tunnel keepalive seconds
undo ip-tunnel keepalive
【缺省情况】
保活报文的发送时间间隔为30秒。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
seconds:保活报文的发送间隔时间,取值范围为0~600,单位为秒。如果保活报文发送时间间隔配置为0,则客户端不发送保活报文。
【使用指导】
保活报文由客户端发送给网关,用于维持客户端和网关之间的会话。
如果SSL VPN会话的空闲时间超过timeout idle命令指定的时间,即在该命令指定的时间内,既没有收到客户端发送的数据报文,也没有收到保活报文,则会断开客户端与网关之间的会话。
通常情况下,配置的保活报文发送时间间隔应该小于timeout idle命令配置的最大空闲时间。
【举例】
# 在SSL VPN访问实例ctx下配置保活报文的发送时间间隔为50秒。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] ip-tunnel keepalive 50
ip-tunnel log命令用来开启IP接入的日志生成功能。
undo ip-tunnel log命令用来关闭IP接入的日志功能。
【命令】
ip-tunnel log { address-alloc-release | connection-close | packet-drop }
undo ip-tunnel log { address-alloc-release | connection-close | packet-drop }
【缺省情况】
IP接入的日志功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
address-alloc-release:IP接入客户端虚拟网卡IP地址分配和释放的日志开关。
connection-close:IP接入连接关闭日志的开关。
packet-drop:IP接入丢包日志开关。
【使用指导】
IP接入日志包括以下三种:
· 客户端虚拟网卡IP地址分配和释放日志:IP接入方式下,SSL VPN网关为客户端虚拟网卡分配和释放IP地址时,SSL VPN网关会生成日志信息。
· 连接关闭日志:IP接入建立的连接被关闭时,SSL VPN网关会生成日志信息。
· 丢包日志:IP接入建立的连接发生丢包时,SSL VPN网关会生成日志信息。
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 开启SSL VPN 访问实例ctx1的丢包日志功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-tunnel log connection-close
【相关命令】
· sslvpn context
ip-tunnel rate-limit命令用来开启IP接入方式的限速功能,并配置限速速率。
undo ip-tunnel rate-limit命令用来关闭指定方向的IP接入方式限速功能。
【命令】
ip-tunnel rate-limit { downstream | upstream } { kbps | pps } value
undo ip-tunnel rate-limit { downstream | upstream }
【缺省情况】
IP接入方式的限速功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
downstream:下行流量,即内网资源服务器发送给SSL VPN用户的流量。
upstream:上行流量,即SSL VPN用户访问内网资源服务器的流量。
kbps:表示限速速率单位为千比特每秒。
pps:表示限速速率单位为报文数每秒。
value:表示允许的最大速率,取值范围为1000~100000000。
【使用指导】
本功能用于限制SSL VPN访问实例的IP接入速率,超过此速率之后,访问实例收到的报文将被丢弃。管理员可根据需求和实际情况进行合理配置。
可多次执行本命令,分别对上行流量和下行流量进行限速。针对上行或下行流量,重复配置,最后一次配置生效。
【举例】
# 配置SSL VPN访问实例ctx1下IP接入的上行流量最大速率限制为10000pps。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-tunnel rate-limit upstream pps 10000
ip-tunnel web-resource auto-push命令用来开启IP方式成功登录SSL VPN网关后自动推送资源列表功能。
undo ip-tunnel web-resource auto-push命令用来关闭IP方式成功登录SSL VPN网关后自动推送资源列表功能。
【命令】
ip-tunnel web-resource auto-push
undo ip-tunnel web-resource auto-push
【缺省情况】
IP方式成功登录SSL VPN网关后自动推送资源列表功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【使用指导】
开启此功能,SSL VPN用户通过IP方式成功登录SSL VPN网关后,设备会自动推送资源列表,以便用户通过Web方式访问所授权的资源。
【举例】
# 在SSL VPN访问实例ctx1下开启IP方式成功登录SSL VPN网关后自动推送资源列表功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-tunnel web-resource auto-push
ip-tunnel wins-server命令用来配置为客户端指定的内网WINS服务器IPv4地址。
undo ip-tunnel wins-server命令用来恢复缺省情况。
【命令】
ip-tunnel wins-server { primary | secondary } ip-address
undo ip-tunnel wins-server { primary | secondary }
【缺省情况】
未配置为客户端指定的WINS服务器IPv4地址。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
primary:配置主WINS服务器。
secondary:配置备WINS服务器。
ip-address:WINS服务器的IPv4地址,不能是组播、广播、环回地址。
【举例】
# 配置为客户端指定的内网主WINS服务器IPv4地址为1.1.1.1。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] ip-tunnel wins-server primary 1.1.1.1
local-port命令用来添加一个端口转发实例。
undo local-port命令用来删除指定的端口转发实例。
【命令】
local-port local-port-number local-name local-name remote-server remote-server remote-port remote-port-number [ description text ]
undo local-port
【缺省情况】
不存在端口转发实例。
【视图】
端口转发表项视图
【缺省用户角色】
network-admin
【参数】
local-port-number:企业网内的TCP服务映射的本地端口号,取值范围为1~65535,且不能与本地已有服务的端口号相同。
local-name local-name:指定企业网内的TCP服务映射的本地地址或本地主机名称。local-name为1~253个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。
remote-server remote-server:指定企业网内TCP服务的IP地址或完整域名。remote-server为为1~253个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。
remote-port remote-port-number:指定企业网内TCP服务的端口号。remote-port-number取值范围为1~65535。
description text:指定端口转发实例的描述信息。description-string为1~63个字符的字符串,区分大小写。
【使用指导】
本命令用来将企业网内的基于TCP的服务(如Telnet、SSH、POP3)映射为SSL VPN客户端上的本地地址和本地端口,以便SSL VPN客户端通过本地地址和本地端口访问企业网内的服务器。例如,执行如下命令,表示在SSL VPN客户端上通过127.0.0.1、端口80可以访问企业网内的HTTP服务器192.168.0.213。
local-port 80 local-name 127.0.0.1 remote-server 192.168.0.213 remote-port 80
添加端口转发实例时,需要注意的是,
· 配置的local-port-number不能与本地已有服务的端口号相同。
· 如果将企业网内的TCP服务映射为本地地址,则建议将本地地址配置为127.0.0.0/8网段的地址;如果映射为本地主机名,SSL VPN的TCP接入客户端软件会在主机文件hosts(C:\Windows\System32\drivers\etc\hosts)中添加主机名对应的IP地址,并在用户退出时恢复原来的主机文件hosts。
· 每个端口转发表项只能添加一个端口转发实例。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置端口转发实例:将企业网内的HTTP服务器192.168.0.213映射为本地地址127.0.0.1、本地端口80。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] port-forward-item pfitem1
[Sysname-sslvpn-context-ctx1-port-forward-item-pfitem1] local-port 80 local-name 127.0.0.1 remote-server 192.168.0.213 remote-port 80 description http
【相关命令】
· port-forward-item
log resource-access enable命令用来开启用户访问资源日志生成功能。
undo log resource-access enable命令用来关闭用户访问资源日志生成功能。
【命令】
log resource-access enable [ brief | filtering ] *
undo log resource-access enable
【缺省情况】
用户访问资源日志生成功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
brief:开启用户访问资源日志摘要功能。当开启该功能后,仅显示访问资源的地址及其端口号,增强日志的可读性。若不指定该参数,当用户访问资源时,日志信息会包含大量网页的构成元素信息。
filtering:开启用户访问资源日志过滤功能。当开启该功能后,1分钟内同一用户重复访问相同资源时仅生成一条日志信息。若不指定该参数,则表示同一用户重复访问相同资源时,均生产日志信息。
【使用指导】
开启本功能后,用户访问资源信息时,SSL VPN网关会生成日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。
用户访问资源日志不会输出到控制台和监视终端。当信息中心配置的规则将用户访问资源日志输出到控制台和监视终端时,若仍需要查看用户访问资源日志,可通过执行display logbuffer命令查看。有关信息中心和display logbuffer命令的详细描述,请参见“设备管理配置指导”中的“信息中心”。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 开启用户访问资源日志生成功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] log resource-access enable
log user-login enable命令用来开启用户上下线日志生成功能。
undo log user-login enable命令用来关闭用户上下线日志生成功能。
【命令】
log user-login enable
undo log user-login enable
【缺省情况】
用户上下线日志生成功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,用户上线下线时,SSL VPN网关会生成日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 开启用户上下线生成日志功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] log user-login enable
login-message命令用来配置SSL VPN登录页面的欢迎信息。
undo login-message命令用来恢复缺省情况。
【命令】
login-message { chinese chinese-message | english english-message }
undo login-message { chinese | english }
【缺省情况】
英文登录页面的欢迎信息为“Welcome to SSL VPN”,中文登录页面的欢迎信息为“欢迎进入SSL VPN”。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
chinese chinese-message:指定中文页面的欢迎信息。chinese-message为1~255个字符的字符串,区分大小写。
english english-message:指定英文页面的欢迎信息。english-message为1~255个字符的字符串,区分大小写。
【举例】
# 配置SSL VPN英文页面的欢迎信息为“hello”,中文页面的欢迎信息为“你好”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] login-message english hello
[Sysname-sslvpn-context-ctx1] login-message chinese 你好
logo命令用来配置SSL VPN页面上显示的logo。
undo logo命令用来恢复缺省情况。
【命令】
logo { file file-name | none }
undo logo
【缺省情况】
SSL VPN页面上显示“H3C”logo图标。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
file file-name:指定logo图标文件。file-name为1~255字符的字符串,不区分大小写。filename指定的logo图标文件必须为gif、jpg或png格式,且不能超过100KB,建议图片尺寸在110*30像素左右。
none:不显示logo图标。
【使用指导】
指定的logo图标文件必须是本地已经存在的文件。
如果指定logo图标文件后,删除该文件,则仍然会显示该文件对应的logo图标。
【举例】
# 配置SSL VPN页面上显示的logo为flash:/mylogo.gif文件对应的logo图标。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] logo file flash:/mylogo.gif
max-onlines命令用来配置同一用户名的同时最大在线数。
undo max-onlines命令用来恢复缺省情况。
【命令】
max-onlines number
undo max-onlines
【缺省情况】
同一用户名的同时最大在线数为32。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
number:SSL VPN的同一用户名同时最大在线数,取值范围为0~1048575,取值为0时表示不限制同一用户的同时最大在线数。
【使用指导】
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置同一用户名的同时最大在线数为50。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] max-onlines 50
max-users命令用来配置SSL VPN访问实例的最大会话数。
undo max-users命令用来恢复缺省情况。
【命令】
max-users max-number
undo max-users
【缺省情况】
SSL VPN访问实例的最大会话数为1048575。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
max-number:SSL VPN访问实例的最大会话数,取值范围为1~1048575。
【使用指导】
SSL VPN访问实例下的会话数目达到本命令配置的值后,新的用户将无法登录。
【举例】
# 配置SSL VPN访问实例的最大会话数为500。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] max-users 500
【相关命令】
· display sslvpn context
message-server命令用来配置为客户端指定的Message服务器。
undo message-server命令用来恢复缺省情况。
【命令】
message-server address { host-name | ipv4-address } port port-number
undo message-server
【缺省情况】
没有配置为客户端指定的Message服务器。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
address:指定Message服务器的主机名或IPv4地址。
host-name:Message服务器的主机名,为1~127个字符的字符串,可以包含字母、数字、下划线、“-”和“.”,不区分大小写。
ipv4-address:Message服务器的IPv4地址,为点分十进制格式,不能是组播、广播、环回地址。
port port-number:指定Message服务器使用的端口号。port-number取值范围为1025~65535。
【使用指导】
Message服务器用来为移动客户端提供服务。执行本命令后,SSL VPN网关会将配置的Message服务器信息下发给客户端,以便客户端访问Message服务器。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置SSL VPN Context的Message服务器。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] message-server address 10.10.1.1 port 8000
【相关命令】
· sslvpn context
mobile-num命令用来配置用于接收短信的手机号码。
undo mobile-num命令用来恢复缺省情况。
【命令】
mobile-num number
undo mobile-num
【缺省情况】
未配置用于接收短信的手机号码。
【视图】
SSL VPN用户视图
【缺省用户角色】
network-admin
【参数】
number:用于接收短信的手机号码,为1~31个字符的字符串,仅支持数字。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为用户user1配置接收短信的手机号码为111111。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] user user1
[Sysname-sslvpn-context-ctx1-user-user1] mobile-num 111111
mobile-num-binding enable命令用来开启用户手机号码绑定功能。
undo mobile-num-binding enable命令用来关闭用户手机号码绑定功能。
【命令】
mobile-num-binding enable
undo mobile-num-binding enable
【缺省情况】
用户手机号码绑定功能处于关闭状态。
【视图】
短信网关认证视图
【缺省用户角色】
network-admin
【使用指导】
开启了短信网关认证功能后,用户登录SSL VPN网关时,需要通过接收到的短信验证信息完成登录认证。
如果开启了本功能,用户首次登录时系统会提示“请输入电话号码”,后续不再提示。用户将使用绑定的手机号码接收认证短信。
如果未开启本功能,系统会使用SSL VPN用户视图下配置的手机号码接收认证短信。若SSL VPN用户视图下未配置手机号码,则用户登录失败。
【举例】
# 在sms-gw短信网关认证视图下开启用户手机号码绑定功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx-sms-auth-sms-gw] mobile-num-binding enable
【相关命令】
· mobile-num
mtu命令用来配置接口的MTU值。
undo mtu命令用来恢复缺省情况。
【命令】
mtu size
undo mtu
【缺省情况】
接口的MTU值为1500字节。
【视图】
SSL VPN AC接口视图
【缺省用户角色】
network-admin
【参数】
size:接口的MTU值,取值范围为100~64000,单位为字节。
【举例】
# 配置接口SSL VPN AC 1000的MTU值为1430字节。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] mtu 1430
new-content命令用来配置改写之后的文件内容。
undo new-content命令用来恢复缺省情况。
【命令】
new-content string
undo new-content
【缺省情况】
未配置改写之后的文件内容。
【视图】
改写规则视图
【缺省用户角色】
network-admin
【参数】
string:改写之后的文件内容,为1~256个字符的字符串,区分大小写。
【使用指导】
在对网页文件进行改写的过程中,首先通过old-content命令配置的string对文件内容进行匹配,匹配成功之后,采用本命令配置的string对文件内容进行替换。
如果改写的文件内容中存在空格,需要使用双引号把文件内容引起来。
【举例】
# 配置改写之后的文件内容。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp] rewrite-rule rule1
[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1] new-content sslvpn_rewrite_htmlcode(d)
【相关命令】
· old-content
notify-message命令用来配置公告信息。
undo notify-message命令用来恢复缺省情况。
【命令】
notify-message { login-page | resource-page } { chinese chinese-message | english english-message }
undo notify-message { login-page | resource-page } { chinese | english }
【缺省情况】
未配置公告消息。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
login-page:指定SSL VPN登录页面公告信息。
resource-page:指定SSL VPN资源页面公告信息。
chinese chinese-message:指定中文页面公告信息。chinese-message为1~255个字符的字符串,区分大小写。
english english-message:指定英文页面公告信息。english-message为1~255个字符的字符串,区分大小写。
【使用指导】
本命令配置的公告信息为显示在SSL VPN登录页面和资源页面的公告信息。一般用于定期向用户推送修改密码的通知,提醒用户修改密码。
在同一个SSL VPN访问实例视图下,多次执行本命令配置相同界面相同语言的公告信息,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下,配置SSL VPN中文登录页面的公告信息为“请及时修改密码”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] notify-message login-page chinese 请及时修改密码
old-content命令用来配置需要改写的文件内容。
undo old-content命令用来恢复缺省情况。
【命令】
old-content string
undo old-content
【缺省情况】
未配置需要改写的文件内容。
【视图】
改写规则视图
【缺省用户角色】
network-admin
【参数】
string:需要改写的文件内容,为1~256个字符的字符串,区分大小写。
【使用指导】
在对网页文件改写的过程中,首先通过本命令配置的string对文件内容进行匹配,匹配成功之后,采用new-content命令配置的改写之后的文件内容对其进行替换。
如果改写的文件内容中存在空格,需要使用双引号把文件内容引起来。
同一文件策略中的不同规则下需要改写的文件内容不能相同。
【举例】
# 配置需要改写的文件内容。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp] rewrite rule rule1
[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1] old-content "a.b.c.innerHTML = d;"
【相关命令】
· new-content
password-authentication enable命令用来开启用户名/密码认证功能。
undo password-authentication enable命令用来关闭用户名/密码认证功能。
【命令】
password-authentication enable
undo password-authentication enable
【缺省情况】
用户名/密码认证功能处于开启状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【举例】
# 关闭SSL VPN访问实例的用户名/密码认证功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] undo password-authentication enable
【相关命令】
· certificate-authentication enable
· display sslvpn context
password-box hide命令用来隐藏SSL VPN Web登录页面的密码输入框。
undo password-box hide命令用来显示SSL VPN Web登录页面的密码输入框。
【命令】
password-box hide
undo password-box hide
【缺省情况】
SSL VPN Web登录页面显示密码输入框。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【使用指导】
隐藏SSL VPN Web登录页面的密码输入框后,只有空密码用户可以登录,其余用户均无法登录。
为了保证设备的可用性和安全性,建议配合其他验证方式使用。
当管理员希望通过除用户名/密码以外的方式验证用户身份时,建议使用本功能。
【举例】
# 配置隐藏Web登录页面的密码输入框。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] password-box hide
password-changing enable命令用来开启用户修改SSL VPN登录密码功能。
undo password-changing enable命令用来关闭用户修改SSL VPN登录密码功能。
【命令】
password-changing enable
undo password-changing enable
【缺省情况】
用户修改SSL VPN登录密码功能处于开启状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【使用指导】
本功能用于SSL VPN网关的管理员进行用户修改密码控制。当开启本功能时,用户登录SSL VPN网关后,进入SSL VPN资源页面,可以在页面点击修改密码按钮,修改SSL VPN登录密码;当关闭本功能时,SSL VPN资源页面的修改密码按钮将处于隐藏状态,用户无法修改密码。
本命令用于开启和关闭访问实例下所有用户修改SSL VPN登录密码功能。如果用户视图下配置了关闭用户修改SSL VPN登录密码功能,则用户视图下的配置生效。
【举例】
# 在SSL VPN访问实例ctx1下开启用户修改SSL VPN登录密码功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] password-changing enable
【相关命令】
· display sslvpn context
· password-changing enable (SSL VPN user view)
password-changing enable命令用来开启用户修改SSL VPN登录密码功能。
undo password-changing enable命令用来关闭用户修改SSL VPN登录密码功能。
【命令】
password-changing enable
undo password-changing enable
【缺省情况】
用户修改SSL VPN登录密码功能处于开启状态。
【视图】
SSL VPN用户视图
【缺省用户角色】
network-admin
【使用指导】
本功能用于SSL VPN网关的管理员进行用户修改密码控制。当开启本功能时,用户登录SSL VPN网关后,进入SSL VPN资源页面,可以在页面点击修改密码按钮,修改SSL VPN登录密码;当关闭本功能时,SSL VPN资源页面的修改密码按钮将处于隐藏状态,用户无法修改密码。
本命令用于开启和关闭特定用户修改SSL VPN登录密码功能。
【举例】
# 开启用户user1修改SSL VPN登录密码功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] user user1
[Sysname-sslvpn-context-ctx1-user-user1] password-changing enable
【相关命令】
· password-changing enable (SSL VPN context view)
password-complexity-message命令用来配置密码复杂度提示信息。
undo password-complexity-message命令用来恢复缺省情况。
【命令】
password-complexity-message { chinese chinese-message | english english-message }
undo password-complexity-message { chinese | english }
【缺省情况】
未配置密码复杂度提示信息。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
chinese chinese-message:指定中文页面的密码复杂度提示信息。chinese-message为1~255个字符的字符串,区分大小写。
english english-message:指定英文页面的密码复杂度提示信息。english-message为1~255个字符的字符串,区分大小写。
【使用指导】
本命令配置的中英文页面密码复杂度提示信息将在SSL VPN修改密码页面显示,用于提示用户输入满足密码复杂度要求的新密码。
在同一个SSL VPN访问实例视图下,多次执行本命令配置相同语言的提示信息,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下,配置中文页面密码复杂度提示信息为“必须包含大小写字母”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] password-complexity-message chinese 必须包含大小写字母
policy-group命令用来创建策略组,并进入SSL VPN策略组视图。如果指定的策略组已经存在,则直接进入策略组视图。
undo policy-group命令用来删除指定的策略组。
【命令】
policy-group group-name
undo policy-group group-name
【缺省情况】
不存在策略组。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
group-name:策略组名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
【使用指导】
策略组包含一系列规则,这些规则为用户定义了资源的访问权限。
一个SSL VPN访问实例下可以配置多个策略组。远端接入用户访问SSL VPN访问实例时,AAA服务器将授权给该用户的策略组信息下发给SSL VPN网关。该用户可以访问的资源由授权的策略组决定。如果AAA服务器没有为该用户进行授权,则用户可以访问的资源由缺省策略组决定。
【举例】
# 创建名为pg1的策略组,并进入SSL VPN策略组视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1]
【相关命令】
· default-policy-group
port-forward命令用来创建端口转发列表,并进入端口转发列表视图。如果指定的端口转发列表已经存在,则直接进入端口转发列表视图。
undo port-forward命令用来删除指定的端口转发列表。
【命令】
port-forward port-forward-name
undo port-forward port-forward-name
【缺省情况】
不存在端口转发列表。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
port-forward-name:端口转发列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
【使用指导】
端口转发列表用来为SSL VPN用户提供TCP接入服务。
在转发列表视图下,通过port-forward-item命令可以创建端口转发表项。一个端口转发列表中可以配置多个端口转发表项。
在SSL VPN策略组视图下,通过resources port-forward命令可以配置策略组引用的端口转发列表。SSL VPN用户被授权访问某个策略组后,该策略组引用的端口转发列表指定的TCP接入服务将同时授权给SSL VPN用户,SSL VPN用户可以访问这些TCP接入服务。
【举例】
# 创建端口转发列表pflist1,并进入端口转发列表视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] port-forward pflist1
[Sysname-sslvpn-context-ctx1-port-forward-pflist1]
【相关命令】
· local-port
· resources port-forward
port-forward-item命令用来创建端口转发表项,并进入端口转发表项视图。如果指定的端口转发表项已经存在,则直接进入端口转发表项视图。
undo port-forward-item命令用来删除指定的端口转发表项。
【命令】
port-forward-item item-name
undo port-forward-item item-name
【缺省情况】
不存在端口转发表项。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
item-name:端口转发表项名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
端口转发表项用来为SSL VPN用户提供TCP接入服务。
在端口转发表项视图下,需要进行以下配置:
· 通过local-port命令可以创建端口转发实例。端口转发实例将企业网内的基于TCP的服务(如Telnet、SSH、POP3)映射为SSL VPN客户端上的本地地址和本地端口,以便SSL VPN客户端通过本地地址和本地端口访问企业网内的服务器。
· 通过execution命令创建访问企业网内的服务器的资源。
一个端口转发列表中可以配置多个端口转发表项。
在同一端口转发表项视图下,通过execution命令指定的资源必须与local-port命令创建的端口转发实例所对应的资源相同,否则用户无法在Web页面上单击对应的链接访问服务器资源。
【举例】
# 创建端口转发表项pfitem1,并进入端口转发表项视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] port-forward-item pfitem1
[Sysname-sslvpn-context-ctx1-port-forward-item-pfitem1]
【相关命令】
· execution
· local-port
· resources port-forward-item
prevent-cracking freeze-ip命令用来设置防暴力破解冻结IP地址功能参数。
undo prevent-cracking freeze-ip命令用来恢复缺省情况。
【命令】
prevent-cracking freeze-ip login-failures login-failures freeze-time freeze-time
undo prevent-cracking freeze-ip
【缺省情况】
允许同一IP地址连续登录访问实例失败的次数为64次,IP地址被冻结的时间为30秒。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
login-failures login-failures:表示允许同一IP地址连续登录访问实例失败的次数,取值范围为64~2048,单位为次。
freeze-time freeze-time:表示IP地址被冻结的时间,取值范围为30~1800,单位为秒。
【使用指导】
防暴力破解功能指,通过限制同一IP地址尝试登录SSL VPN访问实例的次数,降低登录信息被暴力破解的风险。
当同一IP地址连续登录SSL VPN访问实例失败的次数达到本命令配置的限制次数时,SSL VPN访问实例将冻结该IP地址,在冻结期间内,禁止该IP地址再次登录此SSL VPN访问实例。当达到冻结时间后,被冻结的IP地址将自动解冻。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下,配置同一IP地址连续登录SSL VPN访问实例失败的次数达到100次时冻结该IP地址,IP地址的冻结时间为60秒。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] prevent-cracking freeze-ip login-failures 100 freeze-time 60
【相关命令】
· display sslvpn prevent-cracking frozen-ip
prevent-cracking freeze-ip enable命令用来开启防暴力破解冻结IP地址功能。
undo prevent-cracking freeze-ip enable命令用来关闭防暴力破解冻结IP地址功能。
【命令】
prevent-cracking freeze-ip enable
undo prevent-cracking freeze-ip enable
【缺省情况】
防暴力破解冻结IP地址功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【举例】
# 开启防暴力破解冻结IP地址功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] prevent-cracking freeze-ip enable
【相关命令】
· display sslvpn prevent-cracking frozen-ip
prevent-cracking unfreeze-ip命令用来手工解冻防暴力破解冻结的IP地址。
【命令】
prevent-cracking unfreeze-ip { all | ipv4 ip-address }
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
all:表示手工解冻所有IP地址。
ipv4:表示指定IPv4地址。
ip-address:表示手工解冻的IP地址。
【使用指导】
本命令用于解冻SSL VPN访问实例下防暴力破解冻结的IP地址,解冻后的IP地址将被允许再次登录该SSL VPN访问实例。
【举例】
# 在SSL VPN访问实例ctx1下,解冻所有防暴力破解冻结的IP地址。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] prevent-cracking unfreeze-ip all
【相关命令】
· display sslvpn prevent-cracking frozen-ip
prevent-cracking verify-code命令用来设置防暴力破解验证码验证功能参数。
undo prevent-cracking verify-code命令用来恢复缺省情况。
【命令】
prevent-cracking verify-code login-failures login-failures
undo prevent-cracking verify-code
【缺省情况】
允许同一IP地址连续登录SSL VPN访问实例失败的次数为5次。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
login-failures login-failures:表示允许同一IP地址连续登录SSL VPN访问实例失败的次数,取值范围为1~63,单位为次。
【使用指导】
开启本功能后,当同一IP地址连续登录SSL VPN访问实例失败的次数超过SSL VPN网关管理员通过本命令配置的限制次数时,SSL VPN访问实例将启用验证码验证功能,使用该IP地址的SSL VPN用户只有通过验证码验证才能登录SSL VPN访问实例。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下,配置同一IP地址连续登录访问实例失败的次数超过10次,将启用验证码验证功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] prevent-cracking verify-code login-failures-times 10
prevent-cracking verify-code enable命令用来开启防暴力破解验证码验证功能。
undo prevent-cracking verify-code enable命令用来关闭防暴力破解验证码验证功能。
【命令】
prevent-cracking verify-code enable
undo prevent-cracking verify-code enable
【缺省情况】
防暴力破解验证码验证功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【举例】
# 开启防暴力破解验证码验证功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] prevent-cracking verify-code enable
rate-limit命令用来开启SSL VPN会话的限速功能,并配置限速速率。
undo rate-limit命令用来关闭指定方向的SSL VPN会话的限速功能。
【命令】
rate-limit { downstream | upstream } value
undo rate-limit { downstream | upstream }
【缺省情况】
SSL VPN会话的限速功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
downstream:SSL VPN用户的下行流量,即内网资源服务器发送给SSL VPN用户的流量。
upstream:SSL VPN用户的上行流量,即SSL VPN用户访问内网资源服务器的流量。
value:表示允许的最大速率,取值范围为1000~100000000,单位为kbps。
【使用指导】
本功能用于限制SSL VPN访问实例下SSL VPN会话的速率,超过此速率之后,此SSL VPN会话相应方向的报文将会被丢弃。管理员可根据需求和实际情况进行合理配置。
可多次执行本命令,分别对上行流量和下行流量进行限速。针对上行或下行流量,重复配置,最后一次配置生效。
【举例】
# 在SSL VPN访问实例ctx1下,配置SSL VPN会话的上行流量最大速率限制为10000kbps。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] rate-limit upstream 10000
redirect-resource命令用来配置用户登录SSL VPN网关后授权给用户的重定向资源
。
undo redirect-resource命令用来恢复缺省情况。
【命令】
redirect-resource { shortcut | url-item } resource-name
undo redirect-resource
【缺省情况】
用户登录SSL VPN网关后进入SSL VPN资源页面,不进行页面重定向。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
【参数】
shortcut:表示重定向资源类型为快捷方式。
url-item:表示重定向资源类型为URL表项。
resource-name:表示重定向资源名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
缺省情况下用户登录SSL VPN网关后,进入的页面为SSL VPN资源页面。SSL VPN网关管理员也可以通过配置本命令实现用户登录SSL VPN网关后重定向到指定的页面。
用户登录SSL VPN网关后,如果被授权的SSL VPN策略组中包含重定向资源,则SSL VPN网关将首先进入SSL VPN资源页面,页面短暂停留后将重定向到指定的页面。用户可以点击浏览器的后退按钮返回到SSL VPN资源页面。本命令用于指定重定向资源的资源类型及资源名称。
用户被授权多个策略组时,设备会根据授权策略组的顺序,依次查找本地对应策略组中的重定向资源,如果找到重定向资源,则停止查找,并根据此重定向资源进行页面重定向,如果没有找到重定向资源,则不进行页面重定向。
在同一个SSL VPN策略组视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN策略组pg1下配置重定向资源的资源类型为url-item,资源名称为url1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] redirect-resource url-item url1
【相关命令】
· display sslvpn policy-group
reset counters interface sslvpn-ac命令用来清除SSL VPN AC接口的统计信息。
【命令】
reset counters interface [ sslvpn-ac [ interface-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
sslvpn-ac [ interface-number ]:指定接口的类型及编号。interface-number为SSL VPN AC接口的编号,取值范围为0~4095。如果不指定sslvpn-ac,则清除所有接口的统计信息,如果指定sslvpn-ac而不指定interface-number,则清除所有SSL VPN AC接口的统计信息。
【使用指导】
在某些情况下,需要统计一定时间内某接口的流量,这就需要在统计开始前清除该接口原有的统计信息,重新进行统计。
【举例】
# 清除接口SSL VPN AC 1000的统计信息。
<Sysname> reset counters interface sslvpn-ac 1000
【相关命令】
· display interface sslvpn-ac
reset sslvpn ip-tunnel statistics命令用来清除通过IP接入的SSL VPN用户的报文统计信息。
【命令】
reset sslvpn ip-tunnel statistics [ context context-name [ session session-id ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
context context-name:清除指定SSL VPN访问实例下通过IP接入的SSL VPN用户的报文统计信息。context-name表示SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则清除所有SSL VPN访问实例下通过IP接入的SSL VPN用户的报文统计信息。
session session-id:清除指定会话ID的SSL VPN用户的IP接入报文统计信息。session-id表示SSL VPN用户会话标识,取值范围为1~4294967295。如果不指定本参数,则清除指定的SSL VPN访问实例下所有通过IP接入的SSL VPN用户的报文统计信息。
【使用指导】
SSL VPN访问实例名和会话ID可以通过display sslvpn session来查看。如果不指定任何参数,则表示清除所有SSL VPN访问实例下的所有用户的IP接入报文统计信息。
【举例】
# 清除所有SSL VPN访问实例下通过IP接入的SSL VPN用户的报文统计信息。
<Sysname> reset sslvpn ip-tunnel statistics
# 清除SSL VPN访问实例ctx1下通过IP接入的SSL VPN用户的报文统计信息。
<Sysname> reset sslvpn ip-tunnel statistics context ctx1
# 清除SSL VPN访问实例ctx1下会话ID为1的SSL VPN用户的IP接入报文统计信息。
<Sysname> reset sslvpn ip-tunnel statistics context ctx1 session 1
【相关命令】
· display sslvpn ip-tunnel statistics
· display sslvpn session
resources port-forward命令用来配置策略组引用端口转发列表。
undo resources port-forward命令用来取消策略组引用端口转发列表。
【命令】
resources port-forward port-forward-name
undo resources port-forward
【缺省情况】
策略组没有引用任何端口转发列表。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
【参数】
port-forward-name:端口转发列表名称,为1~31个字符的字符串,支持输入中文字符,且必须已经存在。
【使用指导】
SSL VPN用户被授权访问某个策略组后,该策略组引用的端口转发列表指定的TCP接入服务将同时授权给SSL VPN用户,SSL VPN用户可以访问这些TCP接入服务。
【举例】
# 配置策略组pg1引用端口转发列表pflist1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] resources port-forward pflist1
【相关命令】
· local-port
· port-forward
resources port-forward-item命令用来配置端口转发列表引用端口转发表项。
undo resources port-forward-item命令用来取消端口转发列表引用的端口转发表项。
【命令】
resources port-forward-item item-name
undo resources port-forward-item item-name
【缺省情况】
端口转发列表未引用任何端口转发表项。
【视图】
端口转发列表视图
【缺省用户角色】
network-admin
【参数】
item-name:端口转发表项名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
本命令引用的端口转发表项必须先通过port-forward-item命令创建。
一个端口转发列表可以引用多条端口转发表项。
【举例】
# 配置端口转发列表pflist1引用端口转发表项pfitem1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] port-forward-item pfitem1
[Sysname-sslvpn-context-ctx1-port-forward-item-pfitem1] quit
[Sysname-sslvpn-context-ctx1] port-forward pflist1
[Sysname-sslvpn-context-ctx1-port-forward-pflist1] resources port-forward-item pfitem1
【相关命令】
· port-forward-item
resources uri-acl命令用来配置过滤URL资源的URI ACL。
undo resources uri-acl命令用来删除过滤URL资源的URI ACL。
【命令】
resources uri-acl uri-acl-name
undo resources uri-acl
【缺省情况】
不对URL资源进行过滤。
【视图】
URL表项视图
【缺省用户角色】
network-admin
【参数】
uri-acl-name:指定过滤URL内容的URI ACL的名称,为1~31个字符的字符串,不区分大小写。引用的URI ACL必须已经存在。
【使用指导】
此命令用于对访问的URL资源进行更精细的控制。
【举例】
# 配置过滤URL资源的URI ACL为abc。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item serverA
[Sysname-sslvpn-context-ctx1-url-item-serverA] resources uri-acl abc
【相关命令】
· uri-acl
resources url-item命令用来配置URL列表引用的URL表项。
undo resources url-item命令用来删除URL列表引用的URL表项。
【命令】
resources url-item url-item-name
undo resources url-item url-item-name
【缺省情况】
未引用URL表项。
【视图】
URL列表视图
【缺省用户角色】
network-admin
【参数】
url-item-name:表示URL表项的名称,为1~31个字符的字符串,不区分大小写。引用的URL表项必须已存在。
【使用指导】
一个URL列表可以引用多个URL表项。
【举例】
# 创建URL列表list1,引用名为serverA的表项。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-list list1
[Sysname-sslvpn-context-ctx1-url-list-list1] resources url-item serverA
【相关命令】
· url-item
resources url-list命令用来配置策略组引用URL列表。
undo resources url-list命令用来取消策略组引用URL列表。
【命令】
resources url-list url-list-name
undo resources url-list url-list-name
【缺省情况】
策略组没有引用任何URL列表。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
【参数】
url-list-name:URL列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符,且必须已经存在。
【使用指导】
在Web接入模式下,配置策略组引用URL列表后,远端用户可以使用浏览器访问URL列表下的URL资源。
【举例】
# 配置策略组pg1引用URL列表url1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] resources url-list url1
【相关命令】
· sslvpn context
· policy-group
· url-list
resources-file命令用来配置供用户下载的资源文件。
undo resources-file命令用来恢复缺省情况。
【命令】
resources-file { chinese chinese-filename | english english-filename }
undo resources-file { chinese | english }
【缺省情况】
未配置供用户下载的资源文件。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
chinese chinese-filename:指定中文页面供用户下载的文件名。chinese-filename为1~31个字符的字符串,区分大小写。
english english-filename:指定英文页面供用户下载的文件名。english-filename为1~31个字符的字符串,区分大小写。
【使用指导】
本命令配置的文件,将在SSL VPN资源页面显示,可供用户下载使用。文件需由SSL VPN网关管理员提前上传至设备的文件管理系统,且通过本命令配置该文件时需要输入文件的完整路径。
在同一个SSL VPN访问实例视图下,多次执行本命令配置相同语言的资源文件,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下,配置中文页面供用户下载的文件为flash:/sslvpnhelp.pdf。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] resources-file chinese flash:/sslvpnhelp.pdf
rewrite server-response-message命令用来改写服务器返回信息。
undo rewrite server-response-message命令用来恢复缺省情况。
【命令】
rewrite server-response-message server-response-message { chinese chinese-message | english english-message }
undo rewrite server-response-message server-response-message { chinese | english }
【缺省情况】
SSL VPN网关不改写服务器返回信息。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
server-response-message:服务器返回信息的初始内容,为1~127个字符的字符串,区分大小写。若需输入空格,则需要将整个字符串包含在双引号中输入。
chinese chinese-message:指定中文页面服务器返回信息的改写内容。chinese-message为1~127个字符的字符串,区分大小写。
english english-message:指定英文页面服务器返回信息的改写内容。english-message为1~127个字符的字符串,区分大小写。
【使用指导】
由于某些服务器返回信息(包括认证、授权、计费等信息)内容可能过于简单或难以理解,SSL VPN网关管理员可以从服务器端获取相应的返回信息,判断哪些返回信息需要改写,并通过配置本命令对该类信息进行改写,设备将使用改写后的服务器返回信息向SSL VPN用户展示,提高用户体验。
在同一个SSL VPN访问实例视图下,多次执行本命令配置相同服务器返回信息初始内容相同语言的改写内容,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下,指定中文页面服务器返回信息“认证成功”的改写内容为“用户身份认证成功”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] rewrite server-response-message 认证成功 chinese 用户身份认证成功
rewrite-rule命令用来创建改写规则,并进入改写规则视图。如果指定的改写规则已经存在,则直接进入该改写规则视图。
undo rewrite-rule命令用来删除指定的改写规则。
【命令】
rewrite-rule rule-name
undo rewrite-rule rule-name
【缺省情况】
不存在改写规则。
【视图】
文件策略视图
【缺省用户角色】
network-admin
【参数】
rule-name:改写规则名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
同一个文件策略视图中可以配置多个改写规则。
【举例】
# 创建改写规则rule1,并进入改写规则视图。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp] rewrite-rule rule1
[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1]
rule命令用来创建URI ACL规则。
undo rule命令用来删除指定的URI ACL规则。
【命令】
rule [ rule-id ] { deny | permit } uri uri-pattern-string
undo rule rule-id
【缺省情况】
不存在URL ACL规则。
【视图】
URI ACL视图
【缺省用户角色】
network-admin
【参数】
deny:表示拒绝符合条件的报文。
permit:表示允许符合条件的报文。
rule-id:规则ID,取值范围为0~65534,步长为5。若未指定本参数,自动分配一个大于现有最大编号的最小编号。例如现有规则的最大编号为28,那么自动分配的新编号将是30。
uri:指定URI形式字符串。
uri-pattern-string:URI匹配字段,为不超过256个字符的字符串。格式为protocol://host:port/path,protocol和host必须指定。格式中各字段详细的取值情况,见表1-14。
表1-14 URI匹配字段说明
|
字段 |
描述 |
|
protocol |
协议名称,取值包括: · http · https · tcp · udp · icmp · ip |
|
host |
主机IP地址或域名 1. 支持的主机地址格式如下: · IPv4地址或IPv6地址,例如:192.168.1.1 · 使用字符-表示的IPv4地址或IPv6地址地址范围,例如:3.3.3.1-3.3.3.200 · 指定子网掩码长度的IPv4地址或指定前缀长度的IPv6地址,例如2.2.2.2/24 以上三种格式的组合,使用逗号分隔,例如:192.168.1.1,3.3.3.1-3.3.3.200,2.2.2.2/24 2. 支持的域名格式如下: · 精确的主机域名,例如www.domain.com · 包含通配符的主机域名。支持的通配符包括: ¡ *:匹配零个或多个任意字符,例如:*.com ¡ ?:匹配单个任意字符,例如:www.do?main.com ¡ %:匹配本级域名为任意字符,例如:www.%.com |
|
port |
主机端口。若未指定,则使用该协议的缺省端口号。支持的端口格式如下: · 单个端口,例如:1002 · 使用字符-表示的端口范围,例如:8080-8088 以上两种格式的组合,使用逗号分隔,例如:1002,90,8080-8088 |
|
path |
主机上的文件或目录,以一个或多个/或\分隔的路径。路径支持的通配符包括: · *:匹配零个或多个任意字符,例如:/path1/* · ?:匹配单个任意字符,例如:/path?/ · %:匹配本级域名为任意字符,例如:/path1/%/ |
【使用指导】
URI ACL在匹配过滤时会按照规则ID从小到大的顺序依次匹配报文,一旦匹配上某条规则便结束匹配过程。
【举例】
# 在URI ACL视图下,配置一条URI ACL规则。
<Sysname> system-view
[Sysname] sslvpn context abc
[Sysname-sslvpn-context-abc] uri-acl uriacla
[Sysname-sslvpn-context-abc-uri-acl-uriacla] rule 1 permit uri http://*.abc.com:80,443,2000-5000/path/
self-service imc address命令用来配置iMC认证用户自助修改密码使用的iMC服务器。
undo self-service imc address命令用来恢复缺省情况。
【命令】
self-service imc address ip-address port port-number
undo self-service imc address
【缺省情况】
未配置iMC认证用户自助修改密码使用的iMC服务器。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
ip-address:iMC服务器的IPv4地址,为点分十进制格式。
port port-number:iMC服务器的端口号,取值范围为1~65535。
【使用指导】
如果用户登录SSL VPN网关时使用iMC认证服务器进行认证,且用户有修改密码的需求时,需要配置本命令指定改密使用的iMC服务器。用户认证通过后,可以在SSL VPN网关的Web页面上修改密码,并通过iMC服务器对需要修改的密码进行校验。如果校验通过,则SSL VPN用户再次登录时将使用修改后的密码。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下,配置iMC认证用户自助修改密码使用的iMC服务器的IPv4地址为192.168.10.1,端口号为443,关联VPN实例vpn1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] self-service imc address 192.168.10.1 port 443
server-address命令用来配置iMC短信认证使用的iMC服务器。
undo server-address命令用来恢复缺省情况。
【命令】
server-address ip-address port port-number
undo server-address
【缺省情况】
未配置iMC短信认证使用的iMC服务器。
【视图】
iMC短信认证视图
【缺省用户角色】
network-admin
【参数】
ip-address:iMC服务器的IPv4地址,为点分十进制格式。
port port-number:iMC服务器的端口号,取值范围为1~65535。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在iMC短信认证视图下配置短信认证使用的iMC服务器的IP地址为192.168.151.1,端口号为2000,关联VPN实例为vpn1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth imc
[Sysname-sslvpn-context-ctx1-sms-auth-imc] server-address 192.168.151.1 port 2000
service enable命令用来开启SSL VPN访问实例。
undo service enable命令用来关闭SSL VPN访问实例。
【命令】
service enable
undo service enable
【缺省情况】
SSL VPN访问实例处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【举例】
# 开启名为ctx1的SSL VPN访问实例。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] service enable
【相关命令】
· display sslvpn context
service enable命令用来开启SSL VPN网关。
undo service enable命令用来关闭SSL VPN网关。
【命令】
service enable
undo service enable
【缺省情况】
SSL VPN网关处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【举例】
# 开启SSL VPN网关。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] service enable
【相关命令】
· display sslvpn gateway
session-connections命令用来配置每个会话的最大连接数。
undo session-connections命令用来恢复缺省情况。
【命令】
session-connections number
undo session-connections
【缺省情况】
每个会话的同时最大连接数为64。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
number:SSL VPN访问实例下,单个会话的最大连接数,取值范围为0、10~1000。取值为0时表示不限制单个会话的最大连接数。
【使用指导】
SSL VPN会话收到报文时,如果收到报文的单板/设备上该会话的连接数超过单个会话的最大连接数,则回应客户端503 Service Unavailable,并关闭该连接。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置SSL VPN的单个会话的最大连接数为10。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] session-connections 10
shutdown命令用来关闭接口。
undo shutdown命令用来开启接口。
【命令】
shutdown
undo shutdown
【缺省情况】
SSL VPN AC接口均处于开启状态。
【视图】
SSL VPN AC接口视图
【缺省用户角色】
network-admin
【使用指导】
执行本命令会导致使用该接口转发的业务流量中断,不能通信,请谨慎使用。
【举例】
# 关闭接口SSL VPN AC 1000。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] shutdown
sms-auth命令用来创建短信认证视图,并进入短信认证视图。如果指定的短信认证视图已经存在,则直接进入短信认证视图。
undo sms-auth命令用来删除短信认证视图。
【命令】
sms-auth { imc | sms-gw }
undo sms-auth { imc | sms-gw }
【缺省情况】
不存在短信认证视图。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
imc:表示iMC短信认证视图。
sms-gw:表示短信网关认证视图。
【举例】
# 在SSL VPN访问实例ctx1下创建并进入短信网关认证视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw]
【相关命令】
· sms-auth type
sms-auth type命令用来配置短信认证类型,并开启短信认证功能。
undo sms-auth type命令用来恢复缺省情况。
【命令】
sms-auth type { imc | sms-gw }
undo sms-auth type
【缺省情况】
短信认证功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
imc:表示iMC短信认证。
sms-gw:表示短信网关认证。
【使用指导】
开启短信认证功能后,设备将使用短信验证码对用户进行身份验证,验证通过后允许用户登录SSL VPN网关。设备支持两种短信认证方式:
· iMC短信认证
设备使用iMC认证服务器对SSL VPN用户进行短信认证,需要在iMC短信认证视图下配置短信认证使用的iMC服务器的IP地址和端口号。
· 短信网关认证
设备使用短信网关对SSL VPN用户进行短信认证,需要在短信网关认证视图下配置引用的短信网关、短信验证码重新发送的时间间隔和短信验证码的有效时间等参数。
【举例】
# 在SSL VPN访问实例ctx1下配置短信认证类型为短信网关认证sms-gw。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth type sms-gw
【相关命令】
· display sslvpn context
· sms-auth
sms-content命令用来配置发送短信的内容模板。
undo sms-content命令用来恢复缺省情况。
【命令】
sms-content string
undo sms-content
【缺省情况】
短信内容模板为:“您好,$$USER$$,本次登录的短信验证码为:$$VERIFYCODE$$,短信验证码的有效时间为$$VALIDTIME$$分钟。”。
【视图】
短信网关认证视图
【缺省用户角色】
network-admin
【参数】
string:短信内容,为1~127个字符的字符串,中文作为两个字符,区分大小写。
【使用指导】
短信内容模板用于SSL VPN网关生成短信内容。
短信内容由若干字符和三个固定字段组合而成,固定字段包括:
· $$USER$$:用户名变量
· $$VERIFYCODE$$:短信验证码内容变量
· $$VALIDTIME$$:短信验证码有效时间变量
【举例】
# 在sms-gw短信网关认证视图下配置短信内容为“你好,$$USER$$,短信验证码为:$$VERIFYCODE$$,短信验证码的有效时间为$$VALIDTIME$$分钟。”
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw] sms-content 你好,$$USER$$,短信验证码为:$$VERIFYCODE$$,短信验证码的有效时间为$$VALIDTIME$$分钟。
ssl client-policy命令用来配置SSL VPN访问实例引用的SSL客户端策略。
undo ssl client-policy命令用来恢复缺省情况。
【命令】
ssl client-policy policy-name
undo ssl client-policy
【缺省情况】
缺省情况下,SSL客户端策略支持的加密套件为dhe_rsa_aes_128_cbc_sha、dhe_rsa_aes_256_cbc_sha、rsa_3des_ede_cbc_sha、rsa_aes_128_cbc_sha、rsa_aes_256_cbc_sha。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
policy-name:表示SSL客户端策略名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
执行本配置后,SSL VPN网关将使用指定的SSL客户端策略与HTTPS类型的Web服务器建立连接。
SSL VPN访问实例只能引用一个SSL客户端策略。多次执行本命令,最后一次执行的命令生效,但新的配置不会立即生效。请先通过undo service enable命令关闭SSL VPN访问实例,再执行service enable命令开启SSL VPN访问实例后,新的配置才会生效。
有关SSL客户端策略的详细介绍,请参见“安全配置指导”中的“SSL”。
【举例】
# 配置SSL VPN访问实例ctx1引用SSL客户端策略abc。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ssl client-policy abc
ssl server-policy命令用来配置SSL VPN网关引用SSL服务器端策略。
undo ssl server-policy命令用来取消SSL VPN网关引用SSL服务器端策略。
【命令】
ssl server-policy policy-name
undo ssl server-policy
【缺省情况】
SSL VPN网关引用自签名证书的SSL服务器端策略。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
policy-name:SSL VPN网关引用的SSL服务器端策略名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
通过本命令指定SSL VPN网关引用的SSL服务器端策略后,SSL VPN网关将采用该策略下的参数与远端接入用户建立SSL连接。
SSL VPN网关只能引用一个SSL服务器端策略。多次执行本命令,最后一次执行的命令生效,但新的配置不会立即生效。只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令开启SSL VPN网关后,新的配置才会生效。
当修改引用的SSL服务器端策略的相关属性后,只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令开启SSL VPN网关后,新的策略才会生效。
【举例】
# 配置SSL VPN网关gw1引用SSL服务器端策略CA_CERT。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ssl server-policy CA_CERT
【相关命令】
· display sslvpn gateway
sslvpn context命令用来创建SSL VPN访问实例,并进入SSL VPN访问实例视图。如果指定的SSL VPN访问实例已经存在,则直接进入SSL VPN访问实例视图。
undo sslvpn context命令用来删除指定的SSL VPN访问实例。
【命令】
sslvpn context context-name
undo sslvpn context context-name
【缺省情况】
不存在SSL VPN访问实例。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
context-name:SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。
【使用指导】
SSL VPN访问实例用来管理用户会话、用户可以访问的资源、用户认证方式等。一个SSL VPN网关可以被多个SSL VPN访问实例引用,不同SSL VPN访问实例对应不同的资源。远端接入用户登录SSL VPN网关后可以访问的资源,由该用户所属的SSL VPN访问实例决定。
【举例】
# 创建名为ctx1的SSL VPN访问实例,并进入SSL VPN访问实例视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1]
【相关命令】
· display sslvpn context
sslvpn gateway命令用来创建SSL VPN网关,并进入SSL VPN网关视图。如果指定的SSL VPN网关已经存在,则直接进入SSL VPN网关视图。
undo sslvpn gateway命令用来删除指定的SSL VPN网关。
【命令】
sslvpn gateway gateway-name
undo sslvpn gateway gateway-name
【缺省情况】
不存在SSL VPN网关。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
gateway-name:SSL VPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。
【使用指导】
SSL VPN网关位于远端接入用户和企业内部网络之间,负责在二者之间转发报文。SSL VPN网关与远端接入用户建立SSL连接,并对接入用户进行身份认证。远端接入用户的访问请求只有通过SSL VPN网关的安全检查和认证后,才会被SSL VPN网关转发到企业网络内部,从而实现对企业内部资源的保护。
在SSL VPN网关视图下,需要进行以下配置:
· 通过ip address命令指定SSL VPN网关的IP地址和端口号,以便远端接入用户通过该IP地址和端口号访问SSL VPN网关。
· 通过ssl server-policy命令指定SSL VPN网关引用的SSL服务器端策略,以便SSL VPN网关采用该策略下的参数与远端接入用户建立SSL连接。
· 通过service enable命令开启SSL VPN网关。
如果SSL VPN网关被SSL VPN访问实例引用,则该SSL VPN网关不能被删除。请先通过undo gateway命令取消引用,再执行本命令删除SSL VPN网关。
【举例】
# 创建SSL VPN网关gw1,并进入SSL VPN网关视图。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1]
【相关命令】
· display sslvpn gateway
sslvpn ip address-pool命令用来创建IPv4地址池。
undo sslvpn ip address-pool命令用来删除指定的IPv4地址池。
【命令】
sslvpn ip address-pool pool-name start-ip-address end-ip-address
undo sslvpn ip address-pool pool-name
【缺省情况】
不存在IPv4地址池。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
pool-name:IPv4地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
start-ip-address end-ip-address:表示IPv4地址池的起始地址和结束地址,结束地址必须大于起始地址。起始地址和结束地址均不能是组播、广播、环回地址。
【使用指导】
本命令创建的IPv4地址池可以被SSLVPN访问实例和策略组引用,SSL VPN网关将从引用的地址池中选择地址、分配给IP接入方式的客户端。
【举例】
# 创建IPv4地址池pool1,指定地址范围为10.1.1.1~10.1.1.254。
<Sysname> system-view
[Sysname] sslvpn ip address-pool pool1 10.1.1.1 10.1.1.254
【相关命令】
· ip-tunnel address-pool (SSL VPN context view)
· ip-tunnel address-pool (SSL VPN policy group view)
sslvpn log enable命令用来开启SSL VPN全局日志生成功能。
undo sslvpn log enable命令用来关闭SSL VPN全局日志生成功能。
【命令】
sslvpn log enable
undo sslvpn log enable
【缺省情况】
SSL VPN全局日志生成功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,SSL VPN网关会生成一些全局日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。
目前触发SSL VPN生成全局日志的事件有:
· 不存在可以访问的访问实例。
· 访问未使能的访问实例。
【举例】
# 开启SSL VPN全局日志生成功能。
<Sysname> system-view
[Sysname] sslvpn log enable
sslvpn webpage-customize命令用来设置SSL VPN全局页面模板。
undo sslvpn webpage-customize命令用来恢复缺省情况。
【命令】
sslvpn webpage-customize template-name
undo sslvpn webpage-customize
【缺省情况】
SSL VPN页面为系统缺省页面。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
template-name:页面模板的名称,为1~31的字符串,不能包括下列任何字符“/”、“\”、“|”、“:”、“*”、““”、“?”、“<”和“>”。
【使用指导】
本功能用来设置SSL VPN网关登录页面和资源页面使用的全局页面模板,该模板可以是预定义页面模板,也可以是自定义页面模板。
需要通过Web网管页面上传和下载页面模板。可以通过下载预定义的模板,来编辑自定义的模板。
通过display sslvpn webpage-customize template命令可以查看目前系统中所有的SSL VPN页面模板。
当在访问实例下配置了定制页面时,优先使用访问实例下的配置。
【举例】
# 设置SSL VPN页面使用的页面模板为template1。
<Sysname> system-view
[Sysname] sslvpn webpage-customize template1
【相关命令】
· display sslvpn webpage-customize template
· webpage-customize
sso auto-build code命令用来配置自动构建登录请求方式下单点登录的登录请求报文的字符编码方式。
undo sso auto-build code命令用来恢复缺省情况。
【命令】
sso auto-build code { gb18030 | utf-8 }
undo sso auto-build code
【缺省情况】
自动构建登录请求方式下单点登录的登录请求报文的字符编码方式为UTF-8。
【视图】
URL表项视图
【缺省用户角色】
network-admin
【参数】
gb18030:表示自动构建登录请求方式下单点登录的登录请求报文使用GB18030编码。
utf-8:表示自动构建登录请求方式下单点登录的登录请求报文使用UTF-8编码。
【使用指导】
对登录请求报文编码是指通过一定的编码规则将其转换成二进制格式进行传输。SSL VPN网关支持使用GB18030和UTF-8两种字符编码方式对登录请求报文进行编码。SSL VPN网关管理员需要根据内网服务器支持的解码方式来设置具体的字符编码方式。
在同一个URL表项视图下,多次执行本命令,最后一次执行生效。
【举例】
# 在URL表项servera下配置自动构建登录请求方式下单点登录的登录请求报文的字符编码方式为GB18030。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso auto-build code gb18030
【相关命令】
· sso auto-build custom-login-parameter
· sso auto-build login-parameter-field
· sso auto-build request-method
· sso method
sso auto-build custom-login-parameter命令用来配置自动构建登录请求方式下单点登录的自定义登录参数。
undo sso auto-build custom-login-parameter命令用来恢复缺省情况。
【命令】
sso auto-build custom-login-parameter name parameter-name value value [ encrypt ]
undo sso auto-build custom-login-parameter name parameter-name
【缺省情况】
未配置自动构建登录请求方式下单点登录的自定义登录参数。
【视图】
URL表项视图
【缺省用户角色】
network-admin
【参数】
name parameter-name:自定义登录参数的属性名,为1~63个字符的字符串,区分大小写。
value value:自定义登录参数的属性值,为1~255个字符的字符串,区分大小写。
encrypt:表示使用加密文件对获取到的登录参数取值进行加密。该加密文件由sso auto-build encrypt-file命令配置。
【使用指导】
当采用自动构建登录请求方式的单点登录时,可以通过sso auto-build custom-login-parameter命令指定单点登录的自定义登录参数的属性名以及属性名对应的属性值。SSL VPN网关管理员可以根据需要配置自定义的登录参数。
SSL VPN网关将使用配置的自定义登录参数与配置的登录参数(通过sso auto-build login-parameter命令)来构建登录请求。
【举例】
# 在URL表项servera下配置自动构建登录请求方式下单点登录的自定义登录参数的属性名为“commit”,属性值为“登录”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso auto-build custom-login-parameter name commit value 登录
【相关命令】
· sso auto-build code
· sso auto-build encrypt-file
· sso auto-build login-parameter
· sso auto-build request-method
· sso method
sso auto-build encrypt-file命令用来配置自动构建登录请求方式下单点登录的登录参数加密文件。
undo sso auto-build encrypt-file命令用来恢复缺省情况。
【命令】
sso auto-build encrypt-file filename
undo sso auto-build encrypt-file
【缺省情况】
未配置自动构建登录请求方式下单点登录的登录参数加密文件。
【视图】
URL表项视图
【缺省用户角色】
network-admin
【参数】
filename:加密文件名,为1~255个字符的字符串,不区分大小写。
【使用指导】
自动构建登录请求方式下单点登录的登录参数取值如果需要加密,必须指定对应的加密文件。
加密文件是使用JavaScript语法编写的包含加密处理函数的文件,需由SSL VPN网关管理员提前上传至设备的文件管理系统。如果将文件上传至设备根目录时,执行本命令不需要指定路径;如果将文件上传至非根目录时,执行本命令时需要指定完整路径。SSL VPN网关管理员需要按照如下模板编写加密函数:
function sslvpn_sso_encrypt(code)
{
//加密处理编码
}
【举例】
# 在URL表项servera下配置自动构建访问请求方式下单点登录的登录参数加密使用的加密文件test.js。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso auto-build encrypt-file test.js
sso auto-build login-parameter命令用来配置自动构建登录请求方式下单点登录的登录参数。
undo sso auto-build login-parameter命令用来恢复缺省情况。
【命令】
sso auto-build login-parameter { cert-fingerprint | cert-serial | cert-title | custom-password | custom-username | login-name | login-password | mobile-num | user-group } name parameter-name [ encrypt ]
undo sso auto-build login-parameter { cert-fingerprint | cert-serial | cert-title | custom-password | custom-username | login-name | login-password | mobile-num | user-group }
【缺省情况】
未配置自动构建登录请求方式下单点登录的登录参数。
【视图】
URL表项视图
【缺省用户角色】
network-admin
【参数】
login-name:表示取SSL VPN登录用户名作为单点登录的登录参数取值。
login-password:表示取SSL VPN登录密码作为单点登录的登录参数取值。
cert-title:表示取登录SSL VPN网关使用的证书标题作为单点登录的登录参数取值。
cert-serial:表示取登录SSL VPN网关使用的证书序列号作为单点登录的登录参数取值。
cert-fingerprint:表示取登录SSL VPN网关使用的证书指纹作为单点登录的登录参数取值。
mobile-num:表示取短信认证配置的手机号码作为单点登录的登录参数取值。
user-group:表示取SSL VPN用户所在的用户组作为单点登录的登录参数取值。
custom-username:表示取SSL VPN网关管理员通过SSL VPN网管页面设置的自定义用户名作为单点登录的登录参数取值。
custom-password:表示取SSL VPN网关管理员通过SSL VPN网管页面设置的自定义密码作为单点登录的登录参数取值。
name parameter-name:单点登录的登录参数的属性名,为1~63个字符的字符串,区分大小写。
encrypt:表示使用加密文件对获取到的登录参数取值进行加密。该加密文件由sso auto-build encrypt-file命令配置。
【使用指导】
当采用自动构建登录请求方式的单点登录时(通过sso method auto-build命令),需要通过sso auto-build login-parameter命令选择不同类型的参数作为单点登录的登录参数,并指定单点登录的登录参数属性名。该属性名为SSL VPN网关登录内网服务器使用的参数名称,内网服务器会根据参数属性名查找参数取值,判断登录用户是否为合法用户。同一个属性名可以配置不同类型的参数,同一个类型的参数可以配置不同的属性名。
SSL VPN网关将根据配置的参数类型,提取对应的参数取值作为单点登录的参数取值。SSL VPN网关将使用提取到的登录参数取值与配置的自定义登录参数(通过sso auto-build custom-login-parameter命令)来构建登录请求。
【举例】
# 在URL表项servera下配置自动构建登录请求方式下单点登录的登录参数的参数类型为“cert-title”,登录参数的属性名为“login”,并使用加密文件对登录参数的值进行加密。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso auto-build login-parameter cert-title name login encrypt
sso auto-build request-method命令用来配置自动构建登录请求方式下单点登录的HTTP请求方式。
undo sso auto-build request-method命令用来恢复缺省情况。
【命令】
sso auto-build request-method { get | post }
undo sso auto-build request-method
【缺省情况】
自动构建登录请求方式下单点登录的HTTP请求方式为GET。
【视图】
URL表项视图
【缺省用户角色】
network-admin
【参数】
get:表示HTTP请求方式为GET。
post:表示HTTP请求方式为POST。
【使用指导】
自动构建登录请求方式下单点登录的HTTP请求方式,表示SSL VPN网关采用何种请求方式向内网服务器发送HTTP请求报文,设备支持两种请求方式:GET和POST。SSL VPN网关管理员需要根据内网服务器设置具体的请求方式。
在同一个URL表项视图下,多次执行本命令,最后一次执行生效。
【举例】
# 在URL表项servera下配置自动构建登录请求方式下单点登录的HTTP请求方式为POST。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso auto-build request-method post
sso basic custom-username-password enable命令用来使能Basic认证方式下单点登录使用自定义用户名和密码。
undo sso basic custom-username-password enable命令用来恢复缺省情况。
【命令】
sso basic custom-username-password enable
undo sso basic custom-username-password enable
【缺省情况】
Basic认证方式的单点登录使用SSL VPN登录用户名和密码。
【视图】
URL表项视图
【缺省用户角色】
network-admin
【使用指导】
当采用Basic认证方式的单点登录时,可以通过本命令使能设备使用自定义用户名和密码实现单点登录。该自定义用户名和密码由SSL VPN网关管理员通过Web网管界面配置。
【举例】
# 在URL表项servera下使能Basic认证方式的单点登录使用自定义用户名和密码。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso basic custom-username-password enable
【相关命令】
· sso method
sso method命令用来配置单点登录方式,并开启单点登录功能。
undo sso method命令用来恢复缺省情况。
【命令】
sso method { auto-build | basic }
undo sso method
【缺省情况】
SSL VPN单点登录功能处于关闭状态。
【视图】
URL表项视图
【缺省用户角色】
network-admin
【参数】
auto-build:表示自动构建登录请求方式的单点登录。
basic:表示Basic认证方式的单点登录。
【使用指导】
SSL VPN支持SSO(Single Sign on,单点登录)是指SSL VPN用户只需要完成一次登录认证,即可访问所有相互信任的应用系统。通过配置单点登录信息,使得用户登录SSL VPN网关后,再通过Web接入方式访问内网资源时,不必输入内网服务器的登录用户名和密码。
设备支持两种单点登录方式:
· 自动构建登录请求方式:SSL VPN网关管理员通过抓包工具获取内网服务器的登录请求报文,并根据请求报文设置单点登录信息(HTTP请求方式、登录请求报文的编码方式、登录参数、登录参数取值的加密文件),自动构建登录请求。
自动构建登录请求方式的单点登录目前仅支持用于登录通过用户名/密码认证的内网服务器。
· Basic认证方式:Basic认证是一种简单的HTTP认证方式,指客户端通过Web页面访问服务器时,如果服务器需要对客户端进行Basic认证,会弹出Basic认证对话框,要求客户端输入用户名和密码,服务器会根据输入的用户名和密码,判断客户端是否合法。Basic认证方式的单点登录是指,SSL VPN网关作为客户端自动添加用户名和密码(此用户名和密码可以是登录SSL VPN网关的用户名和密码,或者自定义的用户名和密码),模拟Basic认证方式实现单点登录。
Basic认证方式的单点登录仅用于登录支持Basic认证方式登录的内网服务器。
【举例】
# 在URL表项servera下配置单点登录方式为Basic认证方式。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso method basic
timeout idle命令用来配置SSL VPN会话保持空闲状态的最长时间。
undo timeout idle命令用来恢复缺省情况。
【命令】
timeout idle minutes
undo timeout idle
【缺省情况】
SSL VPN会话保持空闲状态的最长时间为30分钟。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
minutes:SSL VPN会话保持空闲状态的最长时间,取值范围为1~1440,单位为分钟。
【使用指导】
如果SSL VPN会话保持空闲状态的时间超过本命令配置的值,则将断开该会话。
【举例】
# 配置SSL VPN会话保持空闲状态的最长时间为50分钟。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] timeout idle 50
【相关命令】
· display sslvpn policy-group
title命令用来配置SSL VPN页面的标题信息。
undo title命令用来恢复缺省情况。
【命令】
title { chinese chinese-title | english english-title }
undo title { chinese | english }
【缺省情况】
SSL VPN页面的标题为“SSL VPN”。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
chinese chinese-title:指定中文页面的标题信息。chinese-title为1~255个字符的字符串,区分大小写。
english english-title:指定英文页面的标题信息。english-title为1~255个字符的字符串,区分大小写。
【举例】
# 配置SSL VPN英文页面的标题信息为“SSL VPN service for company A”,中文页面的标题信息为“公司A的SSL VPN服务”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] title english SSL VPN service for company A
[Sysname-sslvpn-context-ctx1] title chinese公司A的SSL VPN服务
uri-acl命令用来创建URI ACL,并进入URI ACL视图。如果指定的URI ACL已经存在,则直接进入URI ACL视图。
undo uri-acl命令用来删除指定的URI ACL。
【命令】
uri-acl uri-acl-name
undo uri-acl uri-acl-name
【缺省情况】
不存在URI ACL。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
uri-acl-name:URI ACL名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
此命令创建URI形式的ACL,用于对SSL VPN的各种接入方式进行更精细的控制。对URL进行匹配,符合要求的URL请求可以访问对应的资源。
在一个SSL VPN访问实例视图中可以配置多个URI ACL。
【举例】
# 创建名称为uriacla的URI ACL,并进入URI ACL视图。
<Sysname> system-view
[Sysname] sslvpn context abc
[Sysname-sslvpn-context-abc] uri-acl uriacla
[Sysname-sslvpn-context-abc-uri-acl-uriacla]
url命令用来配置文件策略应用的URL地址。
undo url命令用来恢复缺省情况。
【命令】
url url
undo url
【缺省情况】
不存在文件策略应用的URL地址。
【视图】
文件策略视图
【缺省用户角色】
network-admin
【参数】
url:表示文件策略应用的完整路径,为1~256个字符的字符串,不区分大小写。
【使用指导】
只有配置的url与网关正在处理的网页文件的URL相同时,才会根据文件策略中的配置对该网页文件内容进行改写。
完整URL的语法为scheme://user:password@host:port/path,其含义如下:
· scheme:表示访问服务器以获取资源时使用的协议类型,目前支持HTTP和HTTPS。
· user:password:访问资源时需要提供的用户名和密码。
· host:资源服务器的主机名或IPv4地址。
· port:资源服务器正在监听的端口号。大多数协议类型都有默认的端口号(例如:HTTP为80、HTTPS为443等)。
· path:服务器上资源的本地路径。
每个文件策略只能创建一个URL。同一SSL VPN访问实例下不同文件策略下的URL不能相同。
【举例】
# 配置文件策略fp应用的URL地址。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp] url http://192.168.1.1:8080/js/test.js
url命令用来配置资源的URL。
undo url命令用来删除资源的URL。
【命令】
url url
undo url
【缺省情况】
URL表项中不存在资源的URL。
【视图】
URL表项视图
【缺省用户角色】
network-admin
【参数】
url:表示URL表项中资源的URL,为1~253个字符的字符串,不区分大小写。
【使用指导】
一个URL由协议类型、主机名或地址、端口号、资源路径四部分组成,完整格式为“协议类型://主机名称或地址:端口号/资源路径”。
协议类型目前仅支持HTTP和HTTPS,如果没有指定,协议类型缺省为HTTP。
每一种协议类型都有一个缺省的端口号,例如HTTP缺省端口号为80,HTTPS缺省端口号为443。
多次执行本命令,最后一次执行的生效。
【举例】
# 在URL表项serverA中配置资源的URL为www.abc.com。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item serverA
[Sysname-sslvpn-context-ctx1-url-item-serverA] url www.abc.com
url-item命令用来创建URL表项,并进入URL表项视图。如果指定的URL表项已经存在,则直接进入URL表项视图。
undo url-item命令用来删除指定的URL表项。
【命令】
url-item url-item-name
undo url-item url-item-name
【缺省情况】
SSL VPN访问实例下不存在URL表项。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
url-item-name:表示URL表项的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
可以在同一个SSL VPN访问实例下创建多个URL表项,被URL列表引用的URL表项无法被删除。
URL表项名称即URL对应的链接名。
【举例】
# 创建名称为serverA的URL表项,并进入URL表项视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item serverA
[Sysname-sslvpn-context-ctx1-url-item-serverA]
url-list命令用来创建URL列表并进入URL列表视图。如果指定的URL列表已经存在,则直接进入URL列表视图。
undo url-list命令用来删除URL列表。
【命令】
url-list name
undo url-list name
【缺省情况】
不存在URL列表。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
name:URL列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
【举例】
# 创建名为url1的URL列表,并进入URL列表视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-list url1
[Sysname-sslvpn-context-ctx1-url-list-url1]
【相关命令】
· sslvpn context
url-mapping命令用来配置URL资源的映射方式。
undo url-mapping命令用来恢复缺省情况。
【命令】
url-mapping { domain-mapping domain-name | port-mapping gateway gateway-name [ virtual-host virtual-host-name ] } [ rewrite-enable ]
undo url-mapping
【缺省情况】
URL资源的映射方式为常规改写。
【视图】
URL表项视图
【缺省用户角色】
network-admin
【参数】
domain-mapping domain-name:域名映射方式,domain-name表示映射的域名,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。配置的映射域名不能和SSL VPN网关的域名相同。
port-mapping gateway gateway-name:端口映射方式,gateway-name表示引用的SSL VPN网关名,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。引用的SSL VPN网关名必须已存在。
virtual-host virtual-host-name:虚拟主机名称,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。若不指定此参数,则表示对SSL VPN网关的引用方式为独占引用。
rewrite-enable:开启URL改写功能。开启此功能后,SSL VPN网关将对内网服务器返回的绝对URL(全路径URL,一般为内网服务器页面中链接到其他服务器的URL,如果不进行改写用户将无法访问此URL)进行改写,提高用户的接入体验。通常建议开启,若不指定本参数,则表示不会对绝对URL进行改写。
【使用指导】
缺省情况下SSL VPN网关会对URL进行常规改写,目前仅支持对HTML、XML、CSS和JavaScript类型的文件进行改写。常规改写可能会造成URL映射遗漏和映射错误等问题,从而导致SSL VPN客户端不能访问内网资源。因此可以通过配置域名映射或端口映射的方式解决此问题。
在配置域名映射时,需保证SSL VPN客户端可以解析到配置的映射域名(通过DNS解析或者在客户端上添加相应Hosts条目等方式皆可),映射域名对应的IP地址为当前SSL VPN网关的IP地址。
在配置端口映射时,引用的SSL VPN网关可以为任意已存在的SSL VPN网关。但若以独占方式引用SSL VPN网关,则该网关不允许被其他访问实例或URL表项引用。
多次执行本命令,最后一次执行的生效。
【举例】
# 配置表项名为serverA,URL为www.server.com,访问方式为域名映射,映射的域名为www.domain.com,同时开启URL改写功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item serverA
[Sysname-sslvpn-context-ctx1-url-item-serverA] url www.server.com
[Sysname-sslvpn-context-ctx1-url-item-serverA] url-mapping domain-mapping http://www.domain.com/ rewrite-enable
# 配置表项名为serverB,URL为www.server.com,访问方式为端口映射,以虚拟主机名方式引用网关gw1,同时开启URL改写功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item serverB
[Sysname-sslvpn-context-ctx1-url-item-serverB] url www.server.com
[Sysname-sslvpn-context-ctx1-url-item-serverB] url-mapping port-mapping gateway gw1 virtual-host host1 rewrite-enable
【相关命令】
· url-item
· url
url-masking enable命令用来开启URL伪装功能。
undo url-masking enable命令用来关闭URL伪装功能。
【命令】
url-masking enable
undo url-masking enable
【缺省情况】
URL伪装功能处于关闭状态。
【视图】
SSL VPN访问实例视图
URL表项视图
【缺省用户角色】
network-admin
【使用指导】
URL地址伪装是指将SSL VPN访问实例下所配置的Web接入业务中的Web资源URL转换成一定规则的编码字符串对SSL VPN用户呈现,从而达到隐藏真实的Web资源URL的目的。
若在SSL VPN访问实例视图下开启URL伪装功能,则该实例下所有Web资源都会开启URL伪装功能。此时若需要关闭URL伪装功能,只能在该实例视图下执行undo url-masking enable命令关闭该SSL VPN访问实例下所有URL的伪装功能,而不能在URL表项视图下单独关闭某个URL的伪装功能。
只有当SSL VPN访问实例下的URL伪装功能处于关闭状态时,才能在URL表项视图下开启或关闭单个URL的伪装功能。
【举例】
# 在URL表项视图下,开启指定URL表项的Web资源URL伪装功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] url-item urlitem
[Sysname-sslvpn-context-ctx-url-item-urlitem] url-masking enable
# 在SSL VPN访问实例视图下,开启该实例下所有Web资源的URL伪装功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] url-masking enable
user命令用来创建SSL VPN用户,并进入SSL VPN用户视图。如果指定的SSL VPN用户已经存在,则直接进入该SSL VPN用户视图。
undo user命令用来删除指定的SSL VPN用户。
【命令】
user username
undo user username
【缺省情况】
不存在SSL VPN用户。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
username:表示SSL VPN用户名,为1~63个字符的字符串,区分大小写,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”和“>”。
【使用指导】
一个SSL VPN访问实例中可以配置多个SSL VPN用户。
【举例】
# 创建名为user1的SSL VPN用户,并进入SSL VPN用户视图。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] user user1
[Sysname-sslvpn-context-ctx-user-user1]
verification-code send-interval命令用来配置短信验证码重新发送的时间间隔。
undo verification-code send-interval命令用来恢复缺省情况。
【命令】
verification-code send-interval seconds
undo verification-code send-interval
【缺省情况】
短信验证码重新发送的时间间隔为60秒。
【视图】
短信网关认证视图
【缺省用户角色】
network-admin
【参数】
seconds:短信验证码重新发送的时间间隔,取值范围为0~3600,单位为秒。
【使用指导】
当时间超过短信验证码重新发送的时间间隔时,用户可以重新获取新的短信验证码。
【举例】
# 在sms-gw短信网关认证视图下配置短信验证码重新发送的时间间隔为80秒。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw] verification-code send-interval 80
verification-code validity命令用来配置短信验证码的有效时间。
undo verification-code validity命令用来恢复缺省情况。
【命令】
verification-code validity minutes
undo verification-code validity
【缺省情况】
短信验证码的有效时间为1分钟。
【视图】
短信网关认证视图
【缺省用户角色】
network-admin
【参数】
minutes:短信验证码有效时间,取值范围为1~1440,单位为分钟。
【举例】
# 在sms-gw短信网关认证视图下配置短信验证码的有效时间为30分钟。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw] verification-code validity 30
verify-code enable命令用来开启验证码验证功能。
undo verify-code enable命令用来关闭验证码验证功能。
【命令】
verify-code enable
undo verify-code enable
【缺省情况】
验证码验证功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【使用指导】
开启验证码验证后,用户登录时需要输入验证码。只有验证码验证成功后,才允许用户登录SSL VPN页面。
【举例】
# 开启验证码验证功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] verify-code enable
web-access ip-client auto-activate命令用来开启Web方式成功登录SSL VPN网关后自动启动IP客户端功能。
undo web-access ip-client auto-activate命令用来关闭Web方式成功登录SSL VPN网关后自动启动IP客户端功能。
【命令】
web-access ip-client auto-activate
undo web-access ip-client auto-activate
【缺省情况】
Web方式成功登录SSL VPN网关后自动启动IP客户端功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【使用指导】
开启此功能,SSL VPN用户通过Web方式成功登录SSL VPN网关后,设备会自动启动用户主机上的IP客户端,且会自动连接SSL VPN网关,连接成功后SSL VPN用户可以使用IP接入方式访问授权的资源。若用户主机上未安装IP客户端,则先提示用户下载并安装IP客户端,安装完成后IP客户端会自动启动。
为使IP客户端自启动后成功连接SSL VPN网关,需要保证设备上已创建IP接入服务资源。
开启本功能时如果用户在PC上已经通过IP客户端成功登录,则无法通过浏览器直接访问SSL VPN网关,需通过点击IP客户端的“打开资源列表”选项,在浏览器中访问SSL VPN网关。
【举例】
# 在SSL VPN访问实例ctx1下开启Web方式成功登录SSL VPN网关后自动启动IP客户端功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] web-access ip-client auto-activate
webpage-customize命令用来设置SSL VPN页面模板。
undo webpage-customize命令用来恢复缺省情况。
【命令】
webpage-customize template-name
undo webpage-customize
【缺省情况】
使用SSL VPN全局页面模板。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
template-name:页面模板的名称,为1~31的字符串,不能包括下列任何字符“/”、“\”、“|”、“:”、“*”、““”、“?”、“<”和“>”。
【使用指导】
本功能用来设置SSL VPN网关登录页面和资源页面使用的页面模板,该模板可以是预定义页面模板,也可以是自定义页面模板。
需要通过Web网管页面上传和下载页面模板。可以通过下载预定义的模板,来编辑自定义的模板。
通过display sslvpn webpage-customize template命令可以查看目前系统中所有的SSL VPN页面模板。
SSL VPN访问实例视图下设置的SSL VPN页面模板优先级高于系统视图下设置的全局SSL VPN页面模板。
若在SSL VPN访问实例视图下设置了自定义页面模板,则SSL VPN访问实例视图下定制的页面信息不再生效。
【举例】
# 设置SSL VPN访问实例ctx使用的页面模板为template1。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] webpage-customize template1
【相关命令】
· display sslvpn webpage-customize template
· sslvpn webpage-customize
wechat-work-authentication app-secret命令用来配置企业微信认证中企业应用数据的访问密钥。
undo wechat-work-authentication app-secret命令用来恢复缺省情况。
【命令】
wechat-work-authentication app-secret app-secret
undo wechat-work-authentication app-secret
【缺省情况】
未配置企业微信认证中企业应用数据的访问密钥。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
app-secret:企业应用数据的访问密钥,为1~127个字符的字符串,不区分大小写。
【使用指导】
企业应用数据的访问密钥是企业应用中用于保障数据安全的“钥匙”,每个应用都有一个独立的访问密钥,为了保证数据安全,此密钥务必不能泄漏。
此访问密钥和企业ID一起用于生成SSL VPN网关向企业微信API服务器获取相关企业用户信息时的重要凭据。
此访问密钥在企业微信管理平台上的查看路径为:“应用管理”>“应用详情”。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx下,配置企业应用数据的访问密钥为hpLRFnu7OxedV5bNd9OD0Xi。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication app-secret hpLRFnu7OxedV5bNd9OD0Xi
【相关命令】
· wechat-work-authentication corp-id
wechat-work-authentication authorize-field命令用来配置企业微信授权策略组字段名。
undo wechat-work-authentication authorize-field命令用来恢复缺省情况。
【命令】
wechat-work-authentication authorize-field authorize-field
undo wechat-work-authentication authorize-field
【缺省情况】
未配置企业微信授权策略组字段名。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
authorize-field:企业微信授权策略组字段名,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
【使用指导】
本命令配置的企业微信授权策略组字段名,用于SSL VPN网关从企业微信API服务器获取的应答报文中解析策略组名称(即企业员工所属的组织信息)。
假设定义了授权策略组字段名为group,若企业微信API服务器的应答报文含有group:ziliao字段,则SSL VPN网关会得到用户的授权策略组名称为ziliao,然后查找本地是否配置了名称为ziliao的策略组:
· 若已配置,则授权用户访问此策略组中对应的内网资源。
· 若未配置,则授权用户访问缺省策略组中的内网资源。
为了保证SSL VPN网关能够解析应答报文中的授权策略组名称,授权策略组字段名需要SSL VPN网关管理员提前从企业微信获取。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx下,配置企业微信授权策略组字段名为group。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication authorize-field group
wechat-work-authentication corp-id命令用来配置企业微信认证使用的企业ID。
undo wechat-work-authentication corp-id命令用来恢复缺省情况。
【命令】
wechat-work-authentication corp-id corp-id
undo wechat-work-authentication corp-id
【缺省情况】
未配置企业微信认证使用的企业ID。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
corp-id:企业微信认证使用的企业ID,为1~63个字符的字符串,不区分大小写。
【使用指导】
企业ID在企业微信上唯一标识一个企业,企业ID和企业应用的访问密钥(通过wechat-work-authentication app-secret命令配置)一起用于生成SSL VPN网关向企业微信API服务器获取用户信息时的重要凭据。
企业ID在企业微信管理平台上的查看路径为:“我的企业”>“企业信息”。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx下,配置企业ID为wxdd725338566d6ffe。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication corp-id wxdd725338566d6ffe
【相关命令】
· wechat-work-authentication app-secret
wechat-work-authentication enable命令用来开启企业微信认证功能。
undo wechat-work-authentication enable命令用来关闭企业微信认证功能。
【命令】
wechat-work-authentication enable
undo wechat-work-authentication enable
【缺省情况】
企业微信认证功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【使用指导】
企业微信认证功能是指,设备从企业微信获取企业用户信息,并使用该信息对用户进行认证和授权,认证和授权成功后,用户将可以访问内网资源。此功能对于企业用户而言是透明、无感知的。
【举例】
# 在SSL VPN访问实例ctx下,开启企业微信认证功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication enable
wechat-work-authentication open-platform-url命令用来配置微信开放平台的URL地址。
undo wechat-work-authentication open-platform-url命令用来恢复缺省情况。
【命令】
wechat-work-authentication open-platform-url { pre-defined | user-defined user-defined-url }
undo wechat-work-authentication open-platform-url
【缺省情况】
未配置微信开放平台的URL地址。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
pre-defined:预定义的URL地址,为https://open.weixin.qq.com。
user-defined user-defined-url:自定义的URL地址,为1~63个字符的字符串,不区分大小写。
【使用指导】
正常情况下,SSL VPN网关收到内网服务器的应答报文后,SSL VPN会检查HTTP报文头中是否带有Location字段,如果有该字段,SSL VPN网关将改写Location字段中的URL地址,并将报文转发给SSL VPN客户端。因此,SSL VPN客户端后续的请求报文才能够到达SSL VPN网关。
特殊情况下,SSL VPN网关与企业微信对接时,内网服务器发送给SSL VPN网关的应答报文可能是要求用户再一次向企业微信发送认证请求,此时SSL VPN就不能改写此Location字段中的URL地址,以便报文转发给客户端后,客户端能够正常访问企业微信服务器,完成后续的认证、授权。否则,企业微信服务器将无法收到客户端的请求报文,本次企业微信认证失败。
SSL VPN网关管理员需要设置不改写的Location字段中的URL地址为微信开放平台的URL地址。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx下,配置微信开放平台的URL地址为预定义地址:https://open.weixin.qq.com。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication open-platform url pre-defined
wechat-work-authentication timeout命令用来配置企业微信认证的超时时间。
undo wechat-work-authentication timeout命令用来恢复缺省情况。
【命令】
wechat-work-authentication timeout seconds
undo wechat-work-authentication timeout
【缺省情况】
企业微信认证的超时时间为15秒。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
seconds:企业微信认证的超时时间,取值范围为5~50,单位为秒。
【使用指导】
SSL VPN网关向企业微信API服务器发送HTTP请求报文后,如果在超时时间内没有收到服务器的应答报文,则本次企业微信认证失败。
当网络延迟比较大时,建议增大超时时间,避免超时误判的情况;当网络延迟比较小时,可以减小超时时间,提高报文超时判断的效率。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx下,配置企业微信认证的超时时间为20秒。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication timeout 20
wechat-work-authentication url命令用来配置企业微信API服务器的URL地址。
undo wechat-work-authentication url命令用来恢复缺省情况。
【命令】
wechat-work-authentication url url
undo wechat-work-authentication url
【缺省情况】
未配置企业微信API服务器的URL地址。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
url:企业微信API服务器的URL地址,为1~255个字符的字符串,不区分大小写。
【使用指导】
配置此命令后,当设备收到从企业微信服务器重定向而来的报文时,设备将与此命令指定的企业微信API服务器进行信息交互,获取用户信息,并使用获取到的信息对用户进行认证和授权。SSL VPN网关管理员需要根据企业微信API服务器的实际URL配置此地址。
设备需要配置域名解析功能,以便SSL VPN网关能够根据配置的企业微信API服务器解析URL对应的IP地址。有关域名解析的详细介绍,请参见“网络互通配置指导”中的“域名解析”。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx下,配置企业微信API服务器的URL地址为https://qyapi.weixin.qq.com。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication url https://qyapi.weixin.qq.com
wechat-work-authentication userid-field命令用来配置SSL VPN网关登录内网服务器使用的企业微信userid字段名。
undo wechat-work-authentication userid-field命令用来恢复缺省情况。
【命令】
wechat-work-authentication userid-field userid-field
undo wechat-work-authentication userid-fild
【缺省情况】
未配置SSL VPN网关登录内网服务器使用的企业微信userid字段名。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
【参数】
userid-field:SSL VPN网关登录内网服务器使用的企业微信userid字段名,为1~63个字符的字符串,不区分大小写。
【使用指导】
企业微信中的userid用于在企业内唯一标识一个企业的用户,即“账户名”。SSL VPN网关与企业微信API服务器交互获取的用户信息中会携带企业微信userid。
本命令配置的企业微信userid字段名,用于SSL VPN网关向内网服务器发起访问请求时,组装携带用户信息的登录参数。例如,如果组装的登录参数为login=zhansan,则login表示userid字段名,zhangsan表示企业内用户的userid。内网服务器收到SSL VPN网关发送的请求报文后,会将该登录参数字段名对应的取值解析为用户的userid。因此,为了保证SSL VPN网关可以准确封装用户的登录参数,需要SSL VPN网关管理员提前从内网服务器获取该名称。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx下,配置企业微信userid字段名为login。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication userid-field login
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
