- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
14-SSL VPN命令
本章节下载: 14-SSL VPN命令 (351.93 KB)
目 录
1.1.2 display interface sslvpn-ac
1.1.4 display sslvpn online-users
1.1.15 ip-tunnel message-server
1.1.18 log resource-access enable
1.1.20 max-online-users per-gateway
1.1.21 reset counters interface sslvpn-ac
aaa domain命令用来配置SSL VPN网关使用指定的ISP域进行AAA认证
undo aaa domain命令用来恢复缺省情况。
【命令】
aaa domain domain-name
undo aaa domain
【缺省情况】
SSL VPN网关使用缺省的ISP域进行认证。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指导】
SSL VPN用户的用户名中不能携带所属ISP域信息。配置本命令后,SSL VPN用户将采用指定ISP域内的认证、授权、计费方案对SSL VPN用户进行认证、授权和计费。
【举例】
# 在名称为SSL VPN网关gw1下配置使用ISP域myserver进行AAA认证。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] aaa domain myserver
display interface sslvpn-ac命令用来显示SSL VPN AC接口的相关信息。
【命令】
display interface [ sslvpn-ac [ interface-number ] ] [ brief [ description | down ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
sslvpn-ac interface-number:显示指定SSL VPN AC接口的相关信息。interface-number表示SSL VPN AC接口的编号,取值范围为0~4095。如果不指定sslvpn-ac参数,将显示所有接口的相关信息;如果不指定interface-number,则显示所有SSL VPN AC接口的信息。
brief:显示接口的概要信息。如果不指定该参数,则显示接口的详细信息。
description:用来显示用户配置的接口的全部描述信息。如果某接口的描述信息超过27个字符,不指定该参数时,只显示描述信息中的前27个字符,超出部分不显示;指定该参数时,可以显示全部描述信息。
down:显示当前物理状态为down的接口的信息以及down的原因。如果不指定该参数,则不会根据接口物理状态来过滤显示信息。
【举例】
# 显示接口SSL VPN AC 1000的相关信息。
<Sysname> display interface sslvpn-ac 1000
SSLVPN-AC1000
Current state: UP
Line protocol state: DOWN
Description: SSLVPN-AC1000 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Internet protocol processing: Disabled
Link layer protocol is SSLVPN
Last clearing of counters: Never
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 0 packets, 0 bytes, 0 drops
Output: 0 packets, 0 bytes, 0 drops
表1-1 display interface sslvpn-ac命令显示信息描述表
|
字段 |
描述 |
|
SSLVPN-AC1000 |
接口SSL VPN AC 1000的相关信息 |
|
Current state |
接口的物理状态和管理状态,取值包括: · Administratively DOWN:表示该接口已经通过shutdown命令被关闭,即管理状态为关闭 · DOWN:该接口的管理状态为开启,但物理状态为关闭 · UP:该接口的管理状态和物理状态均为开启 |
|
Line protocol state |
接口的链路层协议状态,取值包括: · UP:表示该接口的链路层协议状态为开启 · UP (spoofing):表示该接口的链路层协议状态为开启,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立。通常NULL、LoopBack等接口会具有该属性 · DOWN:表示该接口的链路层协议状态为关闭 |
|
Description |
接口的描述信息 |
|
Bandwidth |
接口的期望带宽,单位为kbps |
|
Maximum transmission unit |
接口的最大传输单元 |
|
Internet protocol processing |
接口的IP地址。如果没有为接口配置IP地址,则该字段显示为Internet protocol processing: Disabled,表示不能处理IP报文 |
|
Internet address: ip-address/mask-length (Type) |
接口IP地址。Type表示地址获取方式,取值如下: · Primary:手动配置的主地址 · Sub:手动配置的从地址。当配置了主地址时,仅显示主地址;仅配置从地址时,才显示本信息 · DHCP-allocated:通过DHCP获取的IP地址,详细介绍请参见“网络互通配置指导”中的“DHCP” · BOOTP-allocated:通过BOOTP获取的IP地址,详细介绍请参见“网络互通配置指导”中的“DHCP” · Unnumbered:借用其他接口的IP地址
Type的取值情况与接口类型有关,请以实际情况为准 |
|
Link layer protocol |
链路层协议类型 |
|
Last clearing of counters |
最近一次使用reset counters interface命令清除接口下的统计信息的时间(如果从设备启动一直没有执行reset counters interface命令清除过该接口下的统计信息,则显示Never) |
|
Last 300 seconds input rate |
最近300秒钟的平均输入速率:bytes/sec表示平均每秒输入的字节数,bits/sec表示平均每秒输入的比特数,packets/sec表示平均每秒输入的包数 |
|
Last 300 seconds output rate |
最近300秒钟的平均输出速率:bytes/sec表示平均每秒输出的字节数,bits/sec表示平均每秒输出的比特数,packets/sec表示平均每秒输出的包数 |
|
Input: 0 packets, 0 bytes, 0 drops |
总计输入的报文数,总计输入的字节,总计丢弃的输入报文数 |
|
Output: 0 packets, 0 bytes, 0 drops |
总计输出的报文数,总计输出的字节,总计丢弃的输出报文数 |
# 显示所有SSL VPN AC类型接口的概要信息。
<Sysname> display interface sslvpn-ac brief
Brief information of interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
SSLVPN-AC1000 UP DOWN --
# 显示接口SSL VPN AC 1000的概要信息,包括用户配置的全部描述信息。
<Sysname> display interface sslvpn-ac 1000 brief description
Brief information of interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
SSLVPN-AC1000 UP UP 1.1.1.1 SSLVPN-AC1000 Interface
# 显示当前状态为down的接口的信息以及DOWN的原因。
<Sysname> display interface sslvpn-ac brief down
Brief information of interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Interface Link Cause
SSLVPN-AC1000 ADM
SSLVPN-AC1001 ADM
表1-2 display interface sslvpn-ac brief命令显示信息描述表
|
字段 |
描述 |
|
Brief information of interfaces in route mode: |
三层模式下(route)的接口的概要信息,即三层接口的概要信息 |
|
Link: ADM - administratively down; Stby - standby |
· 如果某接口的Link属性值为“ADM”,则表示该接口被管理员通过shutdown命令关闭,需要在该接口下执行undo shutdown命令才能恢复接口本身的物理状态 · 如果某接口的Link属性值为“Stby”,则表示该接口是一个处于Standby状态的备份接口,使用display interface-backup state命令可以查看该备份接口对应的主接口 |
|
Protocol: (s) - spoofing |
如果某接口的Protocol属性值中带有“(s)”字符串,则表示该接口的网络层协议状态显示是UP的,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立 |
|
Interface |
接口名称缩写 |
|
Link |
接口物理连接状态,取值包括: · UP:表示本链路物理上是连通的 · DOWN:表示本链路物理上是不通的 · ADM:表示本链路被管理员通过shutdown命令关闭,需要执行undo shutdown命令才能恢复接口真实的物理状态 · Stby:表示该接口是一个处于Standby状态的备份接口 |
|
Protocol |
接口的链路层协议状态,取值包括: · UP:表示该接口的链路层协议状态为开启 · UP (s):表示该接口的链路层协议状态为开启,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立。通常NULL、LoopBack等接口会具有该属性 · DOWN:表示该接口的链路层协议状态为关闭 |
|
Primary IP |
接口主IP地址 |
|
Description |
接口的描述信息 |
|
Cause |
接口物理连接状态为down的原因,取值为: · Administratively:表示本链路被手工关闭了(配置了shutdown命令),需要执行undo shutdown命令才能恢复真实的物理状态 · Not connected:表示物理层不通 |
【相关命令】
· reset counters interface
display sslvpn gateway命令用来显示SSL VPN网关的信息。
【命令】
display sslvpn gateway [ brief | name gateway-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示所有SSL VPN网关的简要信息。如果不指定本参数,则显示SSL VPN网关的详细信息。
name gateway-name:显示指定SSL VPN网关的详细信息。gateway-name表示SSL VPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN网关的信息。
【举例】
# 显示所有SSL VPN网关的详细信息。
<Sysname> display sslvpn gateway
Gateway name: gw
Operation state: Down
Down reason: Administratively down
AAA domain: Not specified
Code verification: Disabled
Associated SSL VPN Interface: GigabitEthernet0/0/1
SSL server policy configured: a
HTTPS port: 443
Maximum users allowed: 1048575
Idle timeout: 30 min
表1-3 display sslvpn gateway命令显示信息描述表
|
字段 |
描述 |
|
Gateway name |
SSL VPN网关的名称 |
|
Operation state |
SSL VPN网关的操作状态,取值包括: · Up:SSL VPN网关处于运行状态 · Down:SSL VPN网关未处于运行状态 |
|
Down reason |
SSL VPN网关处于down状态的原因,取值包括: · Administratively down:管理down,即没有通过service enable命令开启SSL VPN网关 · Applying SSL server-policy failed:为SSL VPN网关应用SSL服务器端策略失败 |
|
AAA domain |
SSL VPN网关使用的ISP域 |
|
Code verification |
SSL VPN网关是否开启验证码验证功能 |
|
Associated SSL VPN Interface |
SSL VPN网关引用的接口 |
|
SSL server policy configured |
配置的SSL服务器端策略名称。配置的SSL服务器端策略在重启SSL VPN网关后才能生效 |
|
HTTPS port |
SSL VPN网关的HTTPS端口号 |
|
Maximum users allowed |
SSL VPN网关的最大在线用户数 |
|
Idle timeout |
SSL VPN在线用户可以保持空闲状态的最长时间,单位为分钟 |
# 显示所有SSL VPN网关的简要信息。
<Sysname> display sslvpn gateway brief
Gateway name Admin Operation
gw1 Up Up
gw2 Down Down (Administratively down)
gw3 Up Up
表1-4 display sslvpn gateway brief命令显示信息描述表
|
字段 |
描述 |
|
Gateway name |
SSL VPN网关的名称 |
|
Admin |
SSL VPN网关的管理状态,取值包括: · Up:已通过service enable命令开启SSL VPN网关 · Down:未通过service enable命令开启SSL VPN网关 |
|
Operation |
SSL VPN网关的操作状态,取值包括: · Up:SSL VPN网关处于运行状态 · Down (Administratively down):管理down,即没有通过service enable命令开启SSL VPN网关 · Down (Applying SSL server-policy failed):为SSL VPN网关应用SSL服务器端策略失败 |
display sslvpn online-users命令用来显示SSL VPN在线用户信息。
【命令】
display sslvpn online-users [ gateway gateway-name ] [ user user-name | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
gateway gateway-name:显示指定SSL VPN网关下的SSL VPN在线用户的简要信息。gateway-name表示SSL VPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN网关下的SSL VPN在线用户的简要信息。
user user-name:显示指定或所有SSL VPN网关下指定SSL VPN用户名对应的SSL VPN在线用户的详细信息。user-name表示SSL VPN用户名称,为1~80个字符的字符串,不区分大小写。如果不指定本参数,则显示指定或所有SSL VPN网关下SSL VPN在线用户的简要信息。
verbose:显示指定或所有SSL VPN网关下SSL VPN在线用户中所有用户的详细信息。如果不指定本参数,则显示指定或所有SSL VPN网关下SSL VPN在线用户的简要信息。
【举例】
# 显示所有SSL VPN网关下SSL VPN在线用户的简要信息。
<Sysname> display sslvpn online-users
Total online-users: 2
SSL VPN gateway: gw1
Online-users: 2
Username Connections Idle time Created User IP
user1 5 0/00:00:23 0/04:47:16 192.0.2.1
user2 5 0/00:00:46 0/04:48:36 192.0.2.2
表1-5 display sslvpn online-users命令简要显示信息描述表
|
字段 |
描述 |
|
Total online-users |
所有网关下的总在线用户数目 |
|
SSL VPN gateway |
SSL VPN网关名称 |
|
Online-users |
当前网关下的在线用户数目 |
|
Username |
在线用户的登录用户名称 |
|
Connections |
在线用户的连接次数 |
|
Idle time |
在线用户的空闲时长,格式为天/时:分:秒 |
|
Created |
在线用户的创建时长,格式为天/时:分:秒 |
|
User IP |
在线用户使用的IP地址 |
# 显示SSL VPN用户user1对应的在线用户的详细信息。
<Sysname> display sslvpn online-users user user1
User : user1
Authentication method : Username/password authentication
Gateway : gw1
Idle timeout : 30 min
Created at : 13:49:27 UTC Wed 05/14/2021
Lastest : 17:50:58 UTC Wed 05/14/2021
Allocated client IPv4 : 2.2.2.1
User IPv4 address : 192.0.2.1
User ID : 1
Endpoint information : Internet Explorer
# 显示SSL VPN在线用户中所有用户的详细信息。
<Sysname> display sslvpn online-users verbose
User : user1
Authentication method : Username/password authentication
Gateway : gw1
Idle timeout : 30 min
Created at : 13:49:27 UTC Wed 05/14/2021
Lastest : 17:50:58 UTC Wed 05/14/2021
Allocated client IPv4 : 2.2.2.1
User IPv4 address : 192.0.2.1
User ID : 1
Endpoint information : Internet Explorer
User : user2
Authentication method : Username/password authentication
Gateway : gw1
Idle timeout : 2100 sec
Created at : 14:15:12 UTC Wed 05/14/2021
Lastest : 18:56:58 UTC Wed 05/14/2021
Allocated client IPv4 : 2.2.2.2
User IPv4 address : 192.0.2.2
User ID : 5
Endpoint information : Internet Explorer
表1-6 display sslvpn online-users user和display sslvpn online-users verbose命令显示信息描述表
|
字段 |
描述 |
|
User |
SSL VPN用户的登录名 |
|
Authentication method |
SSL VPN用户登录SSL VPN网关的认证方式,取值包括: · Username/password authentication:用户名密码认证 · Certificate authentication:证书认证 · Code verification:验证码验证 · SMS authentication:短信认证 · Custom authentication:自定义认证 以上认证方式可以组合使用,每一种组合认证方式下必须至少包含用户名密码认证和证书认证中的一种方式,且自定义认证和短信认证不可以同时使用。除了验证码验证,其他认证方式均可以单独使用。 |
|
Gateway |
SSL VPN用户所属的SSL VPN网关 |
|
Idle timeout |
SSL VPN超时时间 |
|
Created at |
SSL VPN在线用户的创建时间 |
|
Lastest |
用户最近一次访问时间 |
|
Allocated client IPv4 |
iNode客户端分配到的IPv4地址,通过iNode登录的用户,会显示该字段信息 |
|
User IPv4 address |
SSL VPN在线用户使用的IPv4地址 |
|
User ID |
SSL VPN在线用户的标识 |
|
Endpoint information |
SSL VPN登录用户所用的浏览器或操作系统类型信息 |
force-logout命令用来强制在线用户下线。
【命令】
force-logout { all | user-id user-id | username user-name }
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
all:强制所有在线用户下线。
user-id user-id:强制指定用户ID的在线用户下线。user-id表示在线用户的标识(通过display sslvpn online-users命令获取),取值范围为1~4294967295。
username user-name:强制指定用户名的在线用户下线。user-name表示SSL VPN用户名称,为1~80个字符的字符串,区分大小写。
【举例】
# 强制在线用户标识为1的在线用户下线。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] force-logout user-id 1
【相关命令】
· display sslvpn online-users
https-port命令用来配置SSL VPN网关使用的HTTPS端口号。
undo https-port命令用来恢复缺省情况。
【命令】
https-port port-number
undo https-port
【缺省情况】
SSL VPN网关使用的HTTPS端口号为443。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
port-number:SSL VPN网关的HTTPS端口号,取值范围为443、1025~65535,缺省值为443。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置SSL VPN网关gw1的HTTPS端口号为10443。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] https-port 10443
【相关命令】
· display sslvpn gateway
interface命令用来配置SSL VPN网关使用的接口。
undo interface命令用来恢复缺省情况。
【命令】
interface interface-type interface-number
undo interface interface-type interface-number
【缺省情况】
未配置SSL VPN网关使用的接口。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:表示接口类型和接口编号。
【使用指导】
通过本命令指定SSL VPN网关使用的接口后,当SSL VPN用户使用IP接入方式访问SSL VPN网关时,网关使用指定的接口与客户端通信。网关从该接口接收到客户端发送的报文后,将报文转发到远端服务器;服务器做出响应后,网关会把应答报文通过该接口发给客户端。
【举例】
# 进入SSL VPN网关gw1,并配置SSL VPN网关使用的接口为GigabitEthernet 1/0/1。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] interface gigabitEthernet 1/0/1
【相关命令】
· display sslvpn gateway
interface sslvpn-ac命令用来创建SSL VPN AC接口,并进入SSL VPN AC接口视图。如果指定的SSL VPN AC接口已经存在,则直接进入SSL VPN AC接口视图。
undo interface sslvpn-ac命令用来删除指定的SSL VPN AC接口。
【命令】
interface sslvpn-ac interface-number
undo interface sslvpn-ac interface-number
【缺省情况】
不存在SSL VPN AC接口。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interface-number:SSL VPN AC接口的编号,取值范围为0~4095。
【举例】
# 创建SSL VPN AC接口1000,并进入SSL VPN AC接口视图。
<Sysname>system-view
[Sysname]interface SSLVPN-AC 1000
[Sysname-SSLVPN-AC1000]
ip-tunnel access-route命令用来配置下发给客户端的IPv4路由。
undo ip-tunnel access-route命令用来删除下发给客户端的IPv4路由。
【命令】
ip-tunnel access-route ipv4-address { mask | mask-length }
undo ip-tunnel access-route ipv4-address { mask | mask-length }
【缺省情况】
不存在下发给客户端的IPv4路由。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
ip-address:IPv4路由的目的地址,不能是组播、广播、环回地址。
mask:IPv4路由目的地址的掩码。
mask-length:IPv4路由目的地址的掩码长度,取值范围为0~32。
【使用指导】
客户端通过IP接入方式访问网关时,网关将指定的路由下发给客户端。客户端若访问该网段内的服务器,将通过虚拟网卡发送报文给SSL VPN网关,防止报文进入Internet。
多次执行本命令,可以添加多条下发给客户端的IPv4路由。
【举例】
# 在SSL VPN网关gw1下配置下发给客户端的IPv4路由的目的地址为10.0.0.0,掩码长度为8。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel access-route 10.0.0.0 8
【相关命令】
· display sslvpn gateway
ip-tunnel address-pool命令用来创建IPv4地址池。
undo ip-tunnel address-pool命令用来删除指定的IPv4地址池。
【命令】
ip-tunnel address-pool start-ipv4-address end-ipv4-address mask { mask | mask-length }
undo ip-tunnel address-pool start-ipv4-address end-ipv4-address
【缺省情况】
不存在IPv4地址池。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
start-ipv4-address end-ipv4-address:表示IPv4地址池的起始地址和结束地址,结束地址必须大于起始地址。起始地址和结束地址均不能是组播、广播、环回地址。
mask { mask | mask-length }:指定IPv4地址池的掩码或掩码长度。mask表示IPv4地址池的掩码;mask-length表示IPv4地址池的掩码长度,取值范围为1~30。
【使用指导】
SSL VPN网关将从本命令配置的地址池中选择地址,并分配给IP接入方式的客户端。
可以多次执行本命令配置多个不同的地址池,但不同地址池的地址范围不允许重叠。
当一个网关下配置多个不同网段的IPv4地址池时,网关分配给客户端的IPv4地址可能与SSL VPN AC接口的IPv4地址不在同一个网段,需要在网关设备中添加一条经过SSL VPN AC接口到达客户端的路由。
【举例】
# 在SSL VPN网关gw1下,指定地址池范围为10.1.1.1~10.1.1.254。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel address-pool 10.1.1.1 10.1.1.254 mask 24
【相关命令】
· display sslvpn gateway
ip-tunnel dns-server命令用来配置为客户端指定的内网DNS服务器IPv4地址。
undo ip-tunnel dns-server命令用来恢复缺省情况。
【命令】
ip-tunnel dns-server { primary | secondary } ip-address
undo ip-tunnel dns-server { primary | secondary }
【缺省情况】
未配置为客户端指定的DNS服务器IPv4地址。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
primary:指定主DNS服务器。
secondary:指定备DNS服务器。
ip-address:DNS服务器的IPv4地址,不能是组播、广播、环回地址。
【举例】
# 在名称为SSL VPN网关gw1配置为客户端指定的主DNS服务器IPv4地址为1.1.1.1。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel dns-server primary 1.1.1.1
【相关命令】
· display sslvpn gateway
ip-tunnel emo-server命令用来配置为客户端指定的EMO(Endpoint Mobile Office,终端移动办公)服务器。
undo ip-tunnel emo-server命令用来恢复缺省情况。
【命令】
ip-tunnel emo-server address { host-name | ipv4-address } port port-number
undo ip-tunnel emo-server
【缺省情况】
未配置为客户端指定的EMO服务器。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
address:指定EMO服务器的主机名或IPv4地址。
host-name:EMO服务器的主机名,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。
ipv4-address:EMO服务器的IPv4地址,为点分十进制格式,不能是组播、广播、环回地址。
port port-number:指定EMO服务器使用的端口号。port-number取值范围为1025~65535。
【使用指导】
EMO服务器用来为移动客户端提供服务。执行本命令后,SSL VPN网关会将配置的EMO服务器信息下发给客户端,以便客户端访问EMO服务器。
在同一个SSL VPN网关视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN网关gw1下配置EMO服务器地址为10.10.1.1、端口号为9058。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel emo-server address 10.10.1.1 port 9058
【相关命令】
· display sslvpn gateway
ip-tunnel interface命令用来配置IP接入引用的SSL VPN AC接口。
undo ip-tunnel interface命令用来恢复缺省情况。
【命令】
ip-tunnel interface sslvpn-ac interface-number
undo ip-tunnel interface
【缺省情况】
IP接入未引用SSL VPN AC接口。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
sslvpn-ac interface-number:引用的SSL VPN AC接口。interface-number为SSL VPN AC接口编号,取值范围为设备上已创建的SSL VPN AC接口的编号。指定的SSL VPN AC接口必须在设备上已经存在。
【使用指导】
当SSL VPN用户使用IP接入方式访问SSL VPN网关时,网关使用指定的SSL VPN AC接口与客户端通信。网关从SSL VPN AC接口接收到客户端发送的报文后,将报文转发到远端服务器;服务器做出响应后,网关会把应答报文通过SSL VPN AC接口发给客户端。
【举例】
# 在名称为SSL VPN网关gw1下配置IP接入引用的接口为SSL VPN AC 100。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel interface sslvpn-ac 100
【相关命令】
· interface sslvpn-ac
ip-tunnel keepalive命令用来配置保活报文的发送时间间隔。
undo ip-tunnel keepalive命令用来恢复缺省情况。
【命令】
ip-tunnel keepalive seconds
undo ip-tunnel keepalive
【缺省情况】
保活报文的发送时间间隔为30秒。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
seconds:保活报文的发送间隔时间,取值范围为0~600,单位为秒。如果保活报文发送时间间隔配置为0,则客户端不发送保活报文。
【使用指导】
保活报文由客户端发送给网关,用于维持客户端和网关之间的连接。
如果SSL VPN在线用户的空闲时间超过timeout idle命令指定的时间,即在该命令指定的时间内,既没有收到客户端发送的数据报文,也没有收到保活报文,则会断开客户端与网关之间的连接。
通常情况下,配置的保活报文发送时间间隔应该小于timeout idle命令配置的最大空闲时间。
【举例】
# 在名称为SSL VPN网关gw1下配置保活报文的发送时间间隔为50秒。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel keepalive 50
【相关命令】
· display sslvpn gateway
ip-tunnel message-server命令用来配置为客户端指定的Message服务器。
undo ip-tunnel message-server命令用来恢复缺省情况。
【命令】
ip-tunnel message-server address { host-name | ipv4-address } port port-number
undo ip-tunnel message-server
【缺省情况】
没有配置为客户端指定的Message服务器。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
address:指定Message服务器的主机名或IPv4地址。
host-name:Message服务器的主机名,为1~127个字符的字符串,可以包含字母、数字、下划线、“-”和“.”,不区分大小写。
ipv4-address:Message服务器的IPv4地址,为点分十进制格式,不能是组播、广播、环回地址。
port port-number:指定Message服务器使用的端口号。port-number取值范围为1025~65535。
【使用指导】
Message服务器用来为移动客户端提供服务。执行本命令后,SSL VPN网关会将配置的Message服务器信息下发给客户端,以便客户端访问Message服务器。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN网关gw1下配置Message服务器。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel message-server address 10.10.1.1 port 8000
【相关命令】
· display sslvpn gateway
ip-tunnel wins-server命令用来配置为客户端指定的内网WINS服务器IPv4地址。
undo ip-tunnel wins-server命令用来恢复缺省情况。
【命令】
ip-tunnel wins-server { primary | secondary } ip-address
undo ip-tunnel wins-server { primary | secondary }
【缺省情况】
未配置为客户端指定的WINS服务器IPv4地址。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
primary:配置主WINS服务器。
secondary:配置备WINS服务器。
ip-address:WINS服务器的IPv4地址,不能是组播、广播、环回地址。
【举例】
# 在名称为SSL VPN网关gw1下配置为客户端指定的内网主WINS服务器IPv4地址为1.1.1.1。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip-tunnel wins-server primary 1.1.1.1
【相关命令】
· display sslvpn gateway
log ip-tunnel命令用来开启IP接入的日志生成功能。
undo log ip-tunne命令用来关闭IP接入的日志功能。
【命令】
log ip-tunnel { address-alloc-release | connection-close | packet-drop }
undo log ip-tunnel { address-alloc-release | connection-close | packet-drop }
【缺省情况】
IP接入的日志功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
address-alloc-release:IP接入客户端虚拟网卡IP地址分配和释放的日志开关。
connection-close:IP接入连接关闭日志的开关。
packet-drop:IP接入丢包日志开关。
【使用指导】
IP接入日志包括以下三种:
· 客户端虚拟网卡IP地址分配和释放日志:IP接入方式下,SSL VPN网关为客户端虚拟网卡分配和释放IP地址时,SSL VPN网关会生成日志信息。
· 连接关闭日志:IP接入建立的连接被关闭时,SSL VPN网关会生成日志信息。
· 丢包日志:IP接入建立的连接发生丢包时,SSL VPN网关会生成日志信息。
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 在SSL VPN网关gw1下开启丢包日志功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] log ip-tunnel connection-close
【相关命令】
· display sslvpn gateway
log resource-access enable命令用来开启用户访问资源日志生成功能。
undo log resource-access enable命令用来关闭用户访问资源日志生成功能。
【命令】
log resource-access enable [ brief | filtering ] *
undo log resource-access enable
【缺省情况】
用户访问资源日志生成功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
brief:开启用户访问资源日志摘要功能。当开启该功能后,仅显示访问资源的地址及其端口号,增强日志的可读性。若不指定该参数,当用户访问资源时,日志信息会包含大量网页的构成元素信息。
filtering:开启用户访问资源日志过滤功能。当开启该功能后,1分钟内同一用户重复访问相同资源时仅生成一条日志信息。若不指定该参数,则表示同一用户重复访问相同资源时,均生产日志信息。
【使用指导】
开启本功能后,用户访问资源信息时,SSL VPN网关会生成日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。
用户访问资源日志不会输出到控制台和监视终端。当信息中心配置的规则将用户访问资源日志输出到控制台和监视终端时,若仍需要查看用户访问资源日志,可通过执行display logbuffer命令查看。有关信息中心和display logbuffer命令的详细描述,请参见“设备管理配置指导”中的“信息中心”。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 开启用户访问资源日志生成功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] log resource-access enable
log user-login enable命令用来开启用户上下线日志生成功能。
undo log user-login enable命令用来关闭用户上下线日志生成功能。
【命令】
log user-login enable
undo log user-login enable
【缺省情况】
用户上下线日志生成功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
mdc-admin
network-admin
【使用指导】
开启本功能后,用户上线下线时,SSL VPN网关会生成日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 开启用户上下线日志生成功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] log user-login enable
max-online-users per-gateway命令用来配置SSL VPN网关的最大在线用户数。
undo max-online-users per-gateway命令用来恢复缺省情况。
【命令】
max-online-users per-gateway max-number
undo max-online-users per-gateway
【缺省情况】
SSL VPN网关的最大在线用户数为1048575。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
per-gateway max-number:指定SSL VPN网关的最大在线用户数,max-number取值范围为1~1048575。
【使用指导】
SSL VPN网关下的在线用户数目达到本命令配置的值后,新的用户将无法登录该SSL VPN网关。
【举例】
# 在SSL VPN网关gw1下,配置SSL VPN网关的最大在线用户数为500。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] max-online-users per-gateway 500
【相关命令】
· display sslvpn gateway
reset counters interface sslvpn-ac命令用来清除SSL VPN AC接口的统计信息。
【命令】
reset counters interface [ sslvpn-ac [ interface-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
sslvpn-ac [ interface-number ]:指定接口的类型及编号。interface-number为SSL VPN AC接口的编号,取值范围为0~4095。如果不指定sslvpn-ac,则清除所有接口的统计信息,如果指定sslvpn-ac而不指定interface-number,则清除所有SSL VPN AC接口的统计信息。
【使用指导】
在某些情况下,需要统计一定时间内某接口的流量,这就需要在统计开始前清除该接口原有的统计信息,重新进行统计。
【举例】
# 清除接口SSL VPN AC 1000的统计信息。
<Sysname> reset counters interface sslvpn-ac 1000
【相关命令】
· display interface sslvpn-ac
service ipv4 enable命令用来开启SSL VPN网关的IPv4服务。
undo service ipv4 enable命令用来关闭SSL VPN网关的IPv4服务。
【命令】
service ipv4 enable
undo service ipv4 enable
【缺省情况】
SSL VPN网关的IPv4服务处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【使用指导】
开启SSL VPN网关的IPv4服务后,SSL VPN网关将与远端接入用户建立SSL连接,转发远端用户和内网服务器之间的IPv4流量。
【举例】
# 开启SSL VPN网关的IPv4服务。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] service ipv4 enable
【相关命令】
· display sslvpn gateway
ssl server-policy命令用来配置SSL VPN网关服务引用SSL服务器端策略。
undo ssl server-policy命令用来取消SSL VPN网关服务引用SSL服务器端策略。
【命令】
ssl server-policy policy-name
undo ssl server-policy
【缺省情况】
SSL VPN网关引用自签名证书的SSL服务器端策略。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
policy-name:SSL VPN网关服务引用的SSL服务器端策略名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
通过本命令指定SSL VPN网关服务引用的SSL服务器端策略后,SSL VPN网关将采用该策略下的参数与远端接入用户建立SSL连接。
SSL VPN网关只能引用一个SSL服务器端策略。
【举例】
# 配置SSL VPN网关gw1引用SSL服务器端策略CA_CERT。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ssl server-policy CA_CERT
【相关命令】
· display sslvpn gateway
sslvpn gateway命令用来创建SSL VPN网关,并进入SSL VPN网关视图。如果指定的SSL VPN网关已经存在,则直接进入SSL VPN网关视图。
undo sslvpn gateway命令用来删除指定的SSL VPN网关。
【命令】
sslvpn gateway gateway-name
undo sslvpn gateway gateway-name
【缺省情况】
不存在SSL VPN网关。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
gateway-name:SSL VPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。
【使用指导】
SSL VPN网关位于远端接入用户和企业内部网络之间,负责在二者之间转发报文。SSL VPN网关与远端接入用户建立SSL连接,并对接入用户进行身份认证。远端接入用户的访问请求只有通过SSL VPN网关的安全检查和认证后,才会被SSL VPN网关转发到企业网络内部,从而实现对企业内部资源的保护。
【举例】
# 创建SSL VPN网关gw1,并进入SSL VPN网关视图。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1]
【相关命令】
· display sslvpn gateway
timeout idle命令用来配置SSL VPN在线用户保持空闲状态的最长时间。
undo timeout idle命令用来恢复缺省情况。
【命令】
timeout idle minutes
undo timeout idle
【缺省情况】
SSL VPN在线用户保持空闲状态的最长时间为30分钟。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【参数】
minutes:SSL VPN在线用户保持空闲状态的最长时间,取值范围为1~1440,单位为分钟。
【使用指导】
如果SSL VPN在线用户保持空闲状态的时间超过本命令配置的值,则将断开该连接。
【举例】
# 配置SSL VPN在线用户保持空闲状态的最长时间为50分钟。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] timeout idle 50
【相关命令】
· display sslvpn gateway
verify-code enable命令用来开启验证码验证功能。
undo verify-code enable命令用来关闭验证码验证功能。
【命令】
verify-code enable
undo verify-code enable
【缺省情况】
验证码验证功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
【使用指导】
开启验证码验证后,用户登录时需要输入验证码。只有验证码验证成功后,才允许用户登录SSL VPN页面。
【举例】
# 开启验证码验证功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] verify-code enable
【相关命令】
· display sslvpn gateway
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
