- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
08-SSL VPN配置
本章节下载: 08-SSL VPN配置 (477.05 KB)
目 录
SSL VPN以SSL(Secure Sockets Layer,安全套接字层)为基础提供远程的安全连接服务。用户可通过互联网,使用内嵌SSL协议的浏览器与远端的Web服务器建立安全的连接,访问内部资源。企业或机构可通过SSL VPN来为移动用户或者外部客户提供访问内部资源的服务并保证安全性。
SSL VPN服务通过SSL VPN网关来提供。SSL VPN网关位于远端接入用户和企业内部网络之间,负责在二者之间转发报文。管理员需要在SSL VPN网关上创建与企业网内服务器对应的资源。
SSL VPN网关与远端接入用户建立SSL连接,并对接入用户进行身份认证。远端接入用户的访问请求只有通过SSL VPN网关的安全检查和认证后,才会被SSL VPN网关转发到企业网络内部,从而实现对企业内部资源的保护。
如图1-1所示,SSL VPN的工作机制为:
(1) 远程接入用户与SSL VPN网关建立HTTPS连接,通过SSL提供的基于证书的身份验证功能,SSL VPN网关和远程接入用户可以验证彼此的身份。
(2) 远程接入用户输入用户名、密码等身份信息,SSL VPN网关对用户的身份进行认证,并对用户可以访问的资源进行授权。
(3) 用户获取到可以访问的资源,通过SSL连接将访问请求发送给SSL VPN网关。
(4) SSL VPN网关将资源访问请求转发给企业网内的服务器。
(5) SSL VPN网关接收到服务器的应答后,通过SSL连接将其转发给用户。
图1-1 SSL VPN示意图
SSL VPN的典型组网方式主要有两种:网关模式和单臂模式。
在网关模式中,SSL VPN网关直接作为网关设备连接用户和内网服务器,所有流量将通过SSL VPN网关进行转发。网关模式可以提供对内网的完全保护,但是由于SSL VPN网关处在内网与外网通信的关键路径上,其性能对内外网之间的数据传输有很大的影响。
图1-2 网关模式
在单臂模式中,SSL VPN网关不作为网关设备。用户访问内网服务器时,流量将先由网关设备转发到SSL VPN网关,经SSL VPN网关处理后再转发到网关设备,由网关设备转发到内网服务器。在单臂模式中,SSL VPN网关不处在网络通信的关键路径上,其性能不会影响内外网的通信。但是这种组网使得SSL VPN网关不能全面地保护企业内部的网络资源。
图1-3 单臂模式
IP接入方式用来实现远程主机与企业内部服务器网络层之间的安全通信,进而实现所有基于IP的远程主机与服务器的互通,如在远程主机上ping内网服务器。
用户通过IP接入方式访问内网服务器前,需要安装专用的IP接入客户端软件,该客户端软件会在SSL VPN客户端上安装一个虚拟网卡。
IP接入方式下,管理员在SSL VPN网关上创建SSL VPN AC接口,并配置下发给SSL VPN客户端的路由表项。
如图1-4所示,IP方式接入过程如下:
(1) 用户在客户端上安装IP接入客户端软件后,启动该软件并登录。
(2) SSL VPN网关对其进行认证和授权。认证、授权通过后,SSL VPN网关为客户端的虚拟网卡分配IP地址,并将授权用户访问的IP接入资源(即路由表项)发送给客户端。
(3) 客户端为虚拟网卡设置IP地址,并添加路由表项,路由的出接口为虚拟网卡。
(4) 用户在客户端上访问企业内网服务器时,访问请求报文匹配添加的路由表项,该报文将进行SSL封装,并通过虚拟网卡发送给SSL VPN网关的SSL VPN AC接口。
(5) SSL VPN网关对SSL报文进行解封装,并将IP报文转发给内网服务器。
(6) 内网服务器将应答报文发送给SSL VPN网关。
(7) SSL VPN网关对报文进行SSL封装后,通过SSL VPN AC接口将其发送给客户端。
图1-4 IP接入方式的工作过程
SSL VPN用户认证是SSL VPN网关对SSL VPN用户身份的认证,用户身份认证通过后,才能访问对应的内网服务器资源。用户认证包括:用户名密码认证和验证码验证。若同时开启两种认证方式,则两种认证方式同时生效,用户需要同时通过两个验证才能访问企业内网资源。有关用户的详细介绍,请参见“用户接入与认证配置指导”中的“AAA”。
用户名密码认证指通过认证SSL VPN用户的用户名和密码从而认证用户身份。该认证的过程如下:
(1) SSL VPN用户在登录界面输入用户名和密码,用户设备会将用户名和密码发送给SSL VPN网关;
(2) SSL VPN网关将用户名和密码提交给AAA模块进行认证、授权和计费,或者交给自定义认证服务器进行认证和授权。
设备缺省支持15个用户同时登录。
购买并安装License后可以增加同时在线的用户数。关于License的详细介绍请参见“License管理配置指导”中的“License管理”。
以下SSL VPN相关配置在SSL VPN网关设备上进行。SSL VPN配置任务如下:
(1) 配置SSL VPN网关
(2) 配置SSL VPN用户接入认证
(3) 配置SSL VPN资源访问控制
a. 配置IP接入服务
(4) (可选)控制SSL VPN用户接入
(5) (可选)开启SSL VPN日志功能
进行SSL VPN配置前,需要在SSL VPN网关上完成以下操作:
配置SSL服务器端策略,配置方法请参见“安全配置指导”中的“SSL”。
SSL VPN网关使用的接口的IP地址和端口号与HTTPS管理地址和端口号不能完全相同,如果完全相同,则用户访问此地址和端口时,只能访问SSL VPN网关页面,而不能访问设备的管理页面。
如果引用的SSL服务器策略有变化,需要重新开启SSL VPN网关才能生效。
(1) 进入系统视图。
system-view
(2) 创建SSL VPN网关,并进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 配置SSL VPN网关使用的接口。
interface interface-type interface-number
缺省情况下,未配置SSL VPN网关使用的接口。
(4) 配置SSL VPN网关使用的HTTPS端口号。
https-port port-number
缺省情况下,SSL VPN网关使用的HTTPS端口号为443。
(5) 配置SSL VPN网关使用指定的ISP域进行AAA认证。
aaa domain domain-name
缺省情况下,SSL VPN网关使用缺省的ISP域进行认证。
SSL VPN用户的用户名中不能携带所属ISP域信息。执行本配置后,SSL VPN用户将采用指定ISP域内的认证、授权、计费方案对SSL VPN用户进行认证、授权和计费。
(6) 配置SSL VPN网关引用的SSL服务器端策略。
ssl server-policy policy-name
缺省情况下,SSL VPN网关引用自签名证书的SSL服务器端策略。
(7) (可选)配置SSL VPN会话保持空闲状态的最长时间。
timeout idle minutes
缺省情况下,SSL VPN会话保持空闲状态的最长时间为30分钟。
(8) 开启当前SSL VPN网关的IPv4服务。
service ipv4 enable
缺省情况下,当前SSL VPN网关的IPv4服务处于关闭状态。
目前仅支持用户名密码认证和验证码验证。当开启验证码验证功能时,需要同时通过验证码验证和用户名密码认证。当关闭验证码验证功能时,仅需要通过用户名密码认证即可。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 开启验证码验证功能。
verify-code enable
缺省情况下,验证码验证功能处于关闭状态。
为了使内部服务器的应答报文正确返回给SSL VPN客户端,在内部服务器上需要配置到达SSL VPN客户端虚拟网卡所在网段的静态路由。
当设备上安装了多个安全业务板时,IP接入方式需要与NAT配合使用,确保同一条流量的正反向报文被引流到同一个安全业务板。
IP接入服务配置任务如下:
(3) (可选)配置IP接入方式与NAT配合使用
(1) 进入系统视图。
system-view
(2) 创建SSL VPN AC接口,并进入SSL VPN AC接口视图。
interface sslvpn-ac interface-number
(3) 配置接口的IPv4地址。
ip address ip-address { mask | mask-length }
缺省情况下,没有指定接口的IPv4地址。
(4) (可选)配置接口的期望带宽。
bandwidth bandwidth-value
缺省情况下,接口的期望带宽为64kbps。
期望带宽供业务模块使用,不会对接口实际带宽造成影响。
(5) (可选)配置当前接口的描述信息。
description text
缺省情况下,接口的描述信息为“接口名 Interface”,例如:SSLVPN-AC1000 Interface。
(6) (可选)配置接口的MTU值。
mtu size
缺省情况下,接口的MTU值为1500。
(7) 开启当前接口。
undo shutdown
缺省情况下,SSL VPN AC接口均处于开启状态。
接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行本配置前,完全了解其对网络产生的影响。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN AC接口视图。
interface sslvpn-ac interface-number
(3) 恢复当前接口的缺省配置。
default
您可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。
SSL VPN网关下创建SSL VPN IP接入的地址池,在客户端通过验证后,SSL VPN网关将从创建的IP接入地址池中为客户端软件的虚拟网卡分配IP地址。
在SSL VPN网关下配置下发给IP接入客户端的IPv4路由后,IP接入客户端将可以通过该路由访问指定网段内的服务器。
地址池中配置的网段需要满足以下要求:
· 不能和客户端物理网卡的IP地址在同一个网段。
· 不能包含SSL VPN网关所在设备的接口地址,否则会导致地址冲突。
· 不能和欲访问的内网地址在同一个网段。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 配置IP接入引用的SSL VPN AC接口。
ip-tunnel interface sslvpn-ac interface-number
缺省情况下,IP接入未引用SSL VPN AC接口。
(4) 创建SSL VPN IP接入的IPv4地址池。
ip-tunnel address-pool start-ipv4-address end-ipv4-address mask { mask | mask-length }
(5) 配置下发给客户端的IPv4路由。
ip-tunnel access-route ipv4-address { mask | mask-length }
缺省情况下,不存在下发给客户端的IPv4路由。
(6) (可选)配置保活报文的发送时间间隔。
ip-tunnel keepalive seconds
缺省情况下,保活报文的发送时间间隔为30秒。
(7) (可选)配置为客户端指定的内网DNS服务器IPv4地址。
ip-tunnel dns-server { primary | secondary } ip-address
缺省情况下,未配置为客户端指定的DNS服务器IPv4地址。
(8) (可选)配置为客户端指定的内网WINS服务器地址。
ip-tunnel wins-server { primary | secondary } ip-address
缺省情况下,未配置为客户端指定的WINS服务器地址。
当设备上安装了多个安全业务板时,IP接入方式需要与NAT配合使用,即在SSL VPN网关连接内网服务器的接口的出方向配置NAT功能对源地址进行转换。确保同一条流量的正反向报文被引流到同一个安全业务板。
如果不做源地址转换,则可能会出现同一条流量的正反向报文被引流到不同安全业务板的情况,从而影响SSL VPN业务的正常处理。具体原因如下:
当SSL VPN网关接收到用户访问内网资源的正向报文时,将使用报文的源IP地址(用户主机物理网卡的IP地址)进行Hash选板;当SSL VPN网关接收到此条流量的反向报文时,将使用报文的目的IP地址(用户主机虚拟网卡的IP地址)进行Hash选板。这种情况下可能会出现两次Hash选择的安全业务板不同。
通过在SSL VPN网关上配置NAT功能,NAT模块将会对SSL VPN网关与内网服务器之前的报文进行IP地址转换,并生成Openflow引流规则,确保同一条流量的正反向报文被引流到同一个安全业务板。
有关NAT的详细介绍,请参见“NAT配置指导”中的“NAT”。
在SSL VPN网关连接内网服务器的接口的出方向配置NAT功能对源地址进行转换。
NAT地址组中的地址需要与配置NAT功能的接口上的IP地址在同一网段。
需要对IP客户端(即虚拟网卡)的IP地址进行NAT源地址转换。
(1) 进入系统视图。
system-view
(2) 创建NAT地址组,并进入NAT地址组视图。
nat address-group group-id
(3) 添加地址组成员。
address start-address end-address
可通过多次执行本命令添加多个地址组成员。
当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有的地址成员组成员重叠。
(4) 退回系统视图。
quit
(5) 进入接口视图。
interface interface-type interface-number
(6) 配置出方向动态地址转换。
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group group-id [ vpn-instance vpn-instance-name ] no-pat [ reversible ] [ rule rule-name ] [ priority priority ]
缺省情况下,不存在动态地址转换配置。
(2) (可选)为移动客户端指定Message服务器
EMO服务器用来为移动客户端提供服务。执行本命令后,SSL VPN网关会将配置的EMO服务器信息下发给客户端,以便移动客户端通过EMO服务器获取可以访问的服务资源。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 配置为客户端指定的EMO服务器。
ip-tunnel emo-server address { host-name | ipv4-address } port port-number
缺省情况下,未配置为客户端指定的EMO服务器。
Message服务器用来为移动客户端提供服务。执行本命令后,SSL VPN网关会将配置的Message服务器信息下发给客户端,以便客户端访问Message服务器。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 配置为客户端指定的Message服务器。
ip-tunnel message-server address { host-name | ipv4-address } port port-number
缺省情况下,未配置为客户端指定的Message服务器。
通过配置SSL VPN在线用户控制,可以控制SSL VPN登录用户的上下线和在线数量。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 强制在线用户下线。
force-logout { all | user-id user-id | username user-name }
(4) 配置SSL VPN网关的最大在线用户数。
max-online-users per-gateway max-number
缺省情况下,SSL VPN网关的最大在线用户数为1048575。
开启SSL VPN日志记录功能后,SSL VPN网关会记录日志信息,并发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。(有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。)
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 开启用户上下线日志生成功能。
log user-login enable
缺省情况下,用户上下线日志生成功能处于关闭状态。
(4) 开启用户资源访问日志生成功能。
log resource-access enable [ brief | filtering ] *
缺失情况下,用户访问资源日志生成功能处于关闭状态。
(5) 开启IP接入的日志生成功能。
log ip-tunnel { address-alloc-release | connection-close | packet-drop }
缺省情况下,IP接入的日志功能处于关闭状态。
可在任意视图下执行以下命令:
· 显示SSL VPN AC接口的相关信息。
display interface sslvpn-ac [ interface-number ] [ brief [ description | down ] ]
· 显示SSL VPN网关的信息。
display sslvpn gateway [ brief | name gateway-name ]
· 显示SSL VPN在线用户信息。
display sslvpn online-users [ gateway gateway-name ] [ user user-name | verbose ]
请在用户视图下执行以下命令:
· 清除SSL VPN AC接口的统计信息。
reset counters interface [ sslvpn-ac [ interface-number ] ]
Device为SSL VPN网关设备,连接公网用户和企业私有网络。用户通过Device可以通过IP
接入方式安全地访问私有网络内的Server。Device采用本地认证和授权方式对用户进行认证和授权。
图1-5 IP接入配置组网图
在开始下面的配置之前,假设已完成如下配置:
· Device已获取到CA证书ca.cer和服务器证书server.pfx,若SSL VPN网关不引用SSL 服务端策略,则使用设备缺省证书。
· Server上存在到达网段10.1.1.0/24的路由。
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 0/0/1
[Device-GigabitEthernet0/0/1] ip address 1.1.1.2 255.255.255.0
[Device-GigabitEthernet0/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 创建SSL VPN AC接口,用于转发IP接入流量
# 创建SSL VPN AC接口1,配置该接口的IP地址为10.1.1.100/24。
[Device] interface sslvpn-ac 1
[Device-SSLVPN-AC1] ip address 10.1.1.100 24
[Device-SSLVPN-AC1] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Server的下一跳IP地址为2.2.2.3,到达User的下一跳IP地址为1.1.1.3实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 20.2.2.2 24 2.2.2.3
[Device] ip route-static 40.1.1.1 24 1.1.1.3
(4) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 0/0/1
[Device-security-zone-Untrust] import interface sslvpn-ac 1
[Device-security-zone-Untrust] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 0/0/2
[Device-security-zone-Trust] quit
(5) 配置安全策略放行Untrust与Local安全域、Untrust与Trust安全域之间的流量,用于用户访问SSL VPN网关设备和Server
# 配置名称为sslvpnlocalout1的安全策略规则,使Device可以向用户发送报文,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name sslvpnlocalout1
[Device-security-policy-ip-1-sslvpnlocalout1] source-zone local
[Device-security-policy-ip-1-sslvpnlocalout1] destination-zone untrust
[Device-security-policy-ip-1-sslvpnlocalout1] action pass
[Device-security-policy-ip-1-sslvpnlocalout1] quit
# 配置名称为sslvpnlocalin1的安全策略规则,使用户可以向Device发送报文,具体配置步骤如下。
[Device-security-policy-ip] rule name sslvpnlocalin1
[Device-security-policy-ip-2-sslvpnlocalin1] source-zone untrust
[Device-security-policy-ip-2-sslvpnlocalin1] destination-zone local
[Device-security-policy-ip-2-sslvpnlocalin1] action pass
[Device-security-policy-ip-2-sslvpnlocalin1] quit
# 配置名称为sslvpnlocalout2的安全策略规则,使Device可以向Server发送报文,具体配置步骤如下。
[Device-security-policy-ip] rule name sslvpnlocalout2
[Device-security-policy-ip-3-sslvpnlocalout2] source-zone local
[Device-security-policy-ip-3-sslvpnlocalout2] destination-zone trust
[Device-security-policy-ip-3-sslvpnlocalout2] action pass
[Device-security-policy-ip-3-sslvpnlocalout2] quit
# 配置名称为sslvpnlocalin2的安全策略规则,使Server可以向Device发送报文,具体配置步骤如下。
[Device-security-policy-ip] rule name sslvpnlocalin2
[Device-security-policy-ip-4-sslvpnlocalin2] source-zone trust
[Device-security-policy-ip-4-sslvpnlocalin2] destination-zone local
[Device-security-policy-ip-4-sslvpnlocalin2] action pass
[Device-security-policy-ip-4-sslvpnlocalin2] quit
# 配置名称为untrust-trust的安全策略规则,使用户可以通过SSL VPN AC接口访问Server,具体配置步骤如下。
[Device-security-policy-ip] rule name untrust-trust
[Device-security-policy-ip-5-untrust-trust] source-zone untrust
[Device-security-policy-ip-5-untrust-trust] destination-zone trust
[Device-security-policy-ip-5-untrust-trust] action pass
[Device-security-policy-ip-5-untrust-trust] quit
# 配置名称为trust-untrust的安全策略规则,使Server可以通过SSL VPN AC接口向用户发送报文,具体配置步骤如下。
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-6-trust-untrust] source-zone trust
[Device-security-policy-ip-6-trust-untrust] destination-zone untrust
[Device-security-policy-ip-6-trust-untrust] action pass
[Device-security-policy-ip-6-trust-untrust] quit
[Device-security-policy-ip] quit
(6) 配置PKI域,设置证书申请所需的相关参数
[Device] pki domain sslvpn
[Device-pki-domain-sslvpn] public-key rsa general name sslvpn
[Device-pki-domain-sslvpn] undo crl check enable
[Device-pki-domain-sslvpn] quit
[Device] pki import domain sslvpn der ca filename ca.cer
[Device] pki import domain sslvpn p12 local filename server.pfx
(7) 配置SSL服务器端策略,引用PKI域
[Device] ssl server-policy ssl
[Device-ssl-server-policy-ssl] pki-domain sslvpn
[Device-ssl-server-policy-ssl] quit
(8) 配置SSL VPN网关,为用户提供登录SSL VPN网关的入口
# 配置SSL VPN网关gw使用的接口GigabitEthernet0/0/1,HTTPS端口号为4430,并引用SSL服务器端策略ssl。
[Device] sslvpn gateway gw
[Device-sslvpn-gateway-gw] interface gigabitethernet 0/0/1
[Device-sslvpn-gateway-gw] https-port 4430
[Device-sslvpn-gateway-gw] ssl server-policy ssl
[Device-sslvpn-gateway-gw] service ipv4 enable
(9) 配置SSL VPN网关,为用户提供SSL VPN IP接入服务
# 配置SSL VPN网关的IP接入参数,包括客户端地址池、下发给客户端的IPv4路由等。
[Device-sslvpn-gateway-gw] ip-tunnel interface sslvpn-ac 1
[Device-sslvpn-gateway-gw] ip-tunnel address-pool 10.1.1.1 10.1.1.10 mask 24
[Device-sslvpn-gateway-gw] ip-tunnel access-route 20.2.2.0 24
[Device-sslvpn-gateway-gw] quit
(10) 配置SSL VPN用户,用于访问SSL VPN网关
# 创建本地SSL VPN用户sslvpnuser,密码为123456,用户角色为network-operator。
[Device] local-user sslvpnuser class network
[Device-luser-network-sslvpnuser] password simple 123456
[Device-luser-network-sslvpnuser] service-type sslvpn
[Device-luser-network-sslvpnuser] authorization-attribute user-role network-operator
[Device-luser-network-sslvpnuser] quit
# 在Device上查看SSL VPN网关状态,可见SSL VPN网关gw处于Up状态。
[Device] display sslvpn gateway
Gateway name: gw
Operation state: Up
Down reason: Administratively down
AAA domain: Not specified
Code verification: Disabled
Associated SSL VPN Interface: GigabitEthernet0/0/1
SSL server policy configured: ssl
SSL server policy in use: ssl
HTTPS port: 4430
Maximum users allowed: 1048575
Idle timeout: 30 min
# 下载IP接入客户端软件,安装完成后,启动iNode客户端,输入如下图所示的参数。
图1-6 iNode客户端
# 单击<连接>按钮,成功登录SSL VPN客户端,如下图所示。
图1-7 成功登录SSL VPN网关
# SSL VPN用户sslvpnuser可以Ping通服务器地址20.2.2.2。
C:\>ping 20.2.2.2
Pinging 20.2.2.2 with 32 bytes of data:
Reply from 20.2.2.2: bytes=32 time=31ms TTL=254
Reply from 20.2.2.2: bytes=32 time=18ms TTL=254
Reply from 20.2.2.2: bytes=32 time=15ms TTL=254
Reply from 20.2.2.2: bytes=32 time=16ms TTL=254
Ping statistics for 20.2.2.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 15ms, Maximum = 31ms, Average = 20ms
# 在Device上可以看到SSL VPN用户sslvpnuser的在线用户信息。
[Device] display sslvpn online-users user sslvpnuser
User : sslvpnuser
Authentication method : Username/password authentication
Gateway : gw
Idle timeout : 30 min
Created at : 13:49:27 UTC Wed 05/14/2021
Lastest : 17:50:58 UTC Wed 05/14/2021
Allocated client IPv4 : 10.1.1.1
User IPv4 address : 172.16.1.16
User ID : 14
Endpoint information : Windows
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
