06-SSL VPN命令
本章节下载: 06-SSL VPN命令 (1.32 MB)
目 录
1.1.4 authentication server-type
1.1.7 certificate username-attribute
1.1.8 certificate-authentication enable
1.1.12 custom-authentication request-header-field
1.1.13 custom-authentication request-method
1.1.14 custom-authentication request-template
1.1.15 custom-authentication response-custom-template
1.1.16 custom-authentication response-field
1.1.17 custom-authentication response-format
1.1.18 custom-authentication response-success-value
1.1.19 custom-authentication timeout
1.1.20 custom-authentication url
1.1.23 description (shortcut view)
1.1.24 description (SSL VPN AC interface view)
1.1.25 display interface sslvpn-ac
1.1.28 display sslvpn ip address-pool
1.1.29 display sslvpn ip-tunnel statistics
1.1.30 display sslvpn ipv6 address-pool
1.1.31 display sslvpn policy-group
1.1.32 display sslvpn port-forward connection
1.1.33 display sslvpn prevent-cracking frozen-ip
1.1.35 display sslvpn webpage-customize template
1.1.40 execution (port forwarding item view)
1.1.41 execution (shortcut view)
1.1.44 filter ip-tunnel uri-acl
1.1.46 filter tcp-access uri-acl
1.1.48 filter web-access uri-acl
1.1.50 force-logout max-onlines enable
1.1.51 gateway (sms-auth sms-gw view)
1.1.52 gateway (SSL VPN context view)
1.1.53 gd-quantum encryption enable
1.1.56 idle-cut traffic-threshold
1.1.63 ip-tunnel address-pool (SSL VPN context view)
1.1.64 ip-tunnel address-pool (SSL VPN policy group view)
1.1.69 ip-tunnel ipv6 access-route
1.1.70 ip-tunnel ipv6 access-route force-all
1.1.71 ip-tunnel ipv6 address-pool (SSL VPN context view)
1.1.72 ip-tunnel ipv6 address-pool (SSL VPN policy group view)
1.1.73 ip-tunnel ipv6 bind address
1.1.74 ip-tunnel ipv6 dns-server
1.1.78 ip-tunnel web-resource auto-push
1.1.83 log resource-access enable
1.1.91 mobile-num-binding enable
1.1.96 password-authentication enable
1.1.98 password-changing enable (SSL VPN context view)
1.1.99 password-changing enable (SSL VPN user view)
1.1.100 password-complexity-message
1.1.104 prevent-cracking freeze-ip
1.1.105 prevent-cracking freeze-ip enable
1.1.106 prevent-cracking unfreeze-ip
1.1.107 prevent-cracking verify-code
1.1.108 prevent-cracking verify-code enable
1.1.111 reset counters interface sslvpn-ac
1.1.112 reset sslvpn ip-tunnel statistics
1.1.113 resources policy-group
1.1.114 resources port-forward
1.1.115 resources port-forward-item
1.1.117 resources shortcut-list
1.1.122 rewrite server-response-message
1.1.127 self-service imc address
1.1.128 server-address(iMC SMS auth view)
1.1.129 server-address(SSL VPN gdquantum view)
1.1.131 service enable (SSL VPN context view)
1.1.132 service enable (SSL VPN gateway view)
1.1.147 sslvpn import gd-quantum keyfile
1.1.148 sslvpn ip address-pool
1.1.149 sslvpn ip-client download-path
1.1.150 sslvpn ipv6 address-pool
1.1.152 sslvpn webpage-customize
1.1.154 sso auto-build custom-login-parameter
1.1.155 sso auto-build encrypt-file
1.1.156 sso auto-build login-parameter
1.1.157 sso auto-build request-method
1.1.158 sso basic custom-username-password enable
1.1.164 url (file policy view)
1.1.171 verification-code send-interval
1.1.172 verification-code validity
1.1.174 vpn-instance (smp-auth view)
1.1.175 vpn-instance (SSL VPN context view)
1.1.176 vpn-instance (SSL VPN gateway view)
1.1.178 web-access ip-client auto-activate
1.1.180 wechat-work-authentication agent-id
1.1.181 wechat-work-authentication app-secret
1.1.182 wechat-work-authentication authorize-field
1.1.183 wechat-work-authentication corp-id
1.1.184 wechat-work-authentication enable
1.1.185 wechat-work-authentication open-platform-url
1.1.186 wechat-work-authentication timeout
1.1.187 wechat-work-authentication url
1.1.188 wechat-work-authentication userid-field
非缺省vSystem不支持本特性的部分命令,具体情况请见本文相关描述。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。
aaa domain命令用来配置SSL VPN访问实例使用指定的ISP域进行AAA认证。
undo aaa domain命令用来恢复缺省情况。
【命令】
aaa domain domain-name
undo aaa domain
【缺省情况】
SSL VPN访问实例使用缺省的ISP域进行认证。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
domain-name:ISP域名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指导】
SSL VPN用户的用户名中不能携带所属ISP域信息。配置本命令后,SSL VPN用户将采用指定ISP域内的认证、授权、计费方案对SSL VPN用户进行认证、授权和计费。
【举例】
# 配置SSL VPN访问实例使用ISP域myserver进行AAA认证。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] aaa domain myserver
access-deny-client命令用来配置禁用的SSL VPN接入客户端软件类型。
undo access-deny-client命令用来恢复禁用的SSL VPN接入客户端软件类型。
【命令】
access-deny-client { browser | mobile-inode | pc-inode } *
undo access-deny-client { browser | mobile-inode | pc-inode } *
【缺省情况】
不限制SSL VPN用户登录SSL VPN网关使用的接入客户端软件类型。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
browser:表示使用浏览器客户端登录SSL VPN网关。
mobile-inode:表示使用移动iNode客户端登录SSL VPN网关。
pc-inode:表示使用PC iNode客户端登录SSL VPN网关。
【使用指导】
非缺省vSystem不支持本命令。
当需要限制用户通过某些类型的接入客户端软件登录SSL VPN网关时,可通过本命令配置禁用的SSL VPN接入客户端软件类型。
浏览器被禁用后,已登录用户和新用户均无法使用浏览器登录SSL VPN网关;当浏览器解除禁用后,用户需要刷新登录页面重新登录。其他类型接入客户端软件被禁用后,仅对新登录用户生效,已登录用户不受影响。
在同一个SSL VPN访问实例下,多次执行本命令配置的多个接入客户端软件类型均会生效。
【举例】
# 在SSL VPN访问实例ctx下,配置禁用的SSL VPN接入客户端软件类型为浏览器客户端。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] access-deny-client browser
app-account命令用来配置国盾量子应用账号。
undo app-account命令用来恢复缺省情况。
【命令】
app-account app-account
undo app-account
【缺省情况】
未配置国盾量子应用账号。
【视图】
SSL VPN国盾量子视图
【缺省用户角色】
network-admin
context-admin
【参数】
app-account:国盾量子应用账号,为1~31个字符的字符串,只能包含字母、数字和下划线,区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
国盾量子应用账号为国盾量子密码服务平台为设备分配的唯一身份标识。设备发送给国盾量子交换密码机的登录请求报文中将会携带此标识,用于设备的身份验证。
国盾量子应用账号需要联系国盾量子管理员获取。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN国盾量子视图下,配置国盾量子应用账号为Q124I35499。
<Sysname> system-view
[Sysname] sslvpn gd-quantum
[Sysname-sslvpn-gdquantum] app-account Q124I35499
authentication server-type命令用来配置SSL VPN认证服务器类型。
undo authentication server-type命令用来恢复缺省情况。
【命令】
authentication server-type { aaa | custom | smp }
undo authentication server-type
【缺省情况】
SSL VPN认证服务器类型为AAA认证服务器。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
aaa:表示SSL VPN认证服务器类型为AAA认证服务器。
custom:表示SSL VPN认证服务器类型为自定义认证服务器,非缺省vSystem不支持本参数。
smp:表示SSL VPN认证服务器类型为SMP认证服务器。
【使用指导】
若选择自定义认证服务器,则用户需要在SSL VPN访问实例视图下配置自定义认证的服务器URL地址、HTTP请求方式、HTTP应答报文的应答字段等参数。
若选择认证服务器类型为AAA认证服务器,请配置AAA的相关内容。有关AAA的详细介绍,请参见“安全配置指导”中的“AAA”。
若选择SMP认证服务器,则用户需要在SSL VPN访问实例下的SMP认证视图中,配置SMP对接的第三方认证平台类型、配置SMP主机名、SSL VPN网关与SMP建立连接时使用的密钥等参数。
【举例】
# 在SSL VPN访问实例ctx1下配置SSL VPN认证服务器类型为自定义认证服务器。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] authentication server-type custom
【相关命令】
· custom-authentication request-header-field
· custom-authentication request-method
· custom-authentication request-template
· custom-authentication response-custom-template
· custom-authentication response-field
· custom-authentication response-format
· custom-authentication response-success-value
· custom-authentication timeout
· custom-authentication url
· secret-key
· server-host
· smp authentication
· smp-platform type
authentication use命令用来配置SSL VPN用户登录访问实例的认证模式。
undo authentication use命令用来恢复缺省情况。
【命令】
authentication use { all | any-one }
undo authentication use
【缺省情况】
SSL VPN用户登录访问实例的认证模式为all。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
all:表示SSL VPN用户登录访问实例的认证模式为已配置的所有认证方式。
any-one:表示SSL VPN用户登录访问实例的认证模式为已配置的所有认证方式中的任意一种。
【使用指导】
可以通过配置authentication use命令来控制对SSL VPN用户的认证模式。用户名/密码认证功能和证书认证功能都开启的情况下,若认证模式选用any-one,则用户只需要通过其中一种认证即可登录SSL VPN访问实例;若认证模式选用all,则用户必须通过这两种认证(即用户名/密码和证书的组合认证)方可登录SSL VPN访问实例。
【举例】
# 配置SSL VPN用户登录访问实例的认证模式为已配置的所有认证方式中的任意一种。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] authentication use any-one
【相关命令】
· certificate-authentication enable
· display sslvpn context
· password-authentication enable
bandwidth命令用来配置接口的期望带宽。
undo bandwidth命令用来恢复缺省情况。
【命令】
bandwidth bandwidth-value
undo bandwidth
【缺省情况】
接口的期望带宽为64kbps。
【视图】
SSL VPN AC接口视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
bandwidth-value:接口的期望带宽,取值范围为1~400000000,单位为kbps。
【使用指导】
接口的期望带宽会对下列内容有影响:
· CBQ队列带宽。具体介绍请参见“ACL和QoS配置指导”中的“QoS”。
· 链路开销值。具体介绍请参见“三层技术-IP路由配置指导”中的“OSPF”、“OSPFv3”和“IS-IS”。
【举例】
# 配置接口SSL VPN AC 1000的期望带宽为10000kbps。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] bandwidth 10000
certificate username-attribute命令用来配置SSL VPN用户证书中的指定字段取值作为SSL VPN用户名。
undo certificate username-attribute命令用来恢复缺省情况。
【命令】
certificate username-attribute { cn | email-prefix | oid extern-id }
undo certificate username-attribute
【缺省情况】
使用SSL VPN用户证书中主题部分内的CN字段取值作为SSL VPN用户名。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
cn:将用户证书中主题部分内的CN字段的值作为SSL VPN用户名。
email-prefix:将用户证书中主题部分内的邮件地址前缀,即邮件地址中“@”字符前的字符串,作为SSL VPN用户名。
oid extern-id:将用户证书中OID为extern-id的字段的值作为SSL VPN用户名,其中OID为对象标识符,以点分十进制的形式表示。
【使用指导】
只有执行certificate-authentication enable命令开启证书认证功能后,本命令指定的SSL VPN用户名才会生效。
【举例】
# 配置SSL VPN用户证书中OID为1.1.1.1的字段的值作为SSL VPN用户名。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] certificate username-attribute oid 1.1.1.1
【相关命令】
· certificate-authentication enable
certificate-authentication enable命令用来开启证书认证功能。
undo certificate-authentication enable命令用来关闭证书认证功能。
【命令】
certificate-authentication enable
undo certificate-authentication enable
【缺省情况】
证书认证功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
开启证书认证功能后,需要同时在SSL服务器端策略视图下执行client-verify命令。SSL VPN网关会对SSL客户端(SSL VPN用户)进行基于数字证书的身份验证,并检查SSL VPN用户的用户名是否与SSL VPN用户的数字证书中的用户名信息一致。若不一致,则认证不通过,不允许SSL VPN用户登录。
【举例】
# 开启SSL VPN访问实例的证书认证功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] certificate-authentication enable
【相关命令】
· client-verify enable(安全命令参考/SSL)
· client-verify optional(安全命令参考/SSL)
content-type命令用来配置改写的文件类型。
undo content-type命令用来恢复缺省情况。
【命令】
content-type { css | html | javascript | other }
undo content-type
【缺省情况】
未配置文件改写类型,设备根据解析HTTP响应报文获得的文件类型对网页文件进行改写。
【视图】
文件策略视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
css:表示按照css文件类型进行改写。
html:表示按照html文件类型进行改写。
javascript:表示按照JavaScript文件类型进行改写。
other:表示文件类型为css、html、JavaScript之外的其他文件类型,不对网页文件进行改写。
【使用指导】
在对网页文件改写的过程中,设备会按照配置的文件类型对网页文件进行改写。如果配置的改写类型与报文中的文件类型不一致,则文件改写将会不准确。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置按照html文件类型进行改写。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp] content-type html
country-code命令用来配置国家代码。
undo country-code命令用来恢复缺省情况。
【命令】
country-code country-code
undo country-code
【缺省情况】
国家代码为86。
【视图】
短信网关认证视图
【缺省用户角色】
network-admin
context-admin
【参数】
country-code:国家代码数值,为1~7个字符的字符串,仅支持数字。
【使用指导】
非缺省vSystem不支持本命令。
【举例】
# 在sms-gw短信网关认证视图下配置国家代码为86。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw] country-code 86
csp-id命令用来配置国盾量子密码服务平台软件ID。
undo csp-id命令用来恢复缺省情况。
【命令】
csp-id csp-id
undo csp-id
【缺省情况】
未配置国盾量子密码服务平台软件ID。
【视图】
SSL VPN国盾量子视图
【缺省用户角色】
network-admin
context-admin
【参数】
csp-id csp-id:国盾量子密码服务平台软件ID,为1~31个字符的字符串,区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
国盾量子密码服务平台软件ID为国盾量子密码服务平台的唯一标识。设备发送给国盾量子交换密码机的登录请求报文中将会携带此标识,用于设备的身份验证。
国盾量子密码服务平台软件ID需要联系国盾量子管理员获取。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN国盾量子视图下,配置国盾量子密码服务平台软件的ID为8765098761。
<Sysname> system-view
[Sysname] sslvpn gd-quantum
[Sysname-sslvpn-gdquantum] csp-id 8765098761
custom-authentication request-header-field命令用来配置自定义认证的HTTP请求报文首部字段。
undo custom-authentication request-header-field命令用来取消配置自定义认证的HTTP请求报文首部字段。
【命令】
custom-authentication request-header-field field-name value value
undo custom-authentication request-header-field field-name
【缺省情况】
自定义认证的HTTP请求报文首部字段内包含如下内容:Content-type:application/x-www-form-urlencoded
User-Agent:nodejs 4.1
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
field-name:自定义认证的HTTP请求报文首部字段属性名,为1~63个字符的字符串,不区分大小写,不包括如下字符:
· ()<>@,;:\"/[]?={}
· 空格符
· 水平制表符
· ASCII码中小于等于31、大于等于127的字符
value value:自定义认证的HTTP请求报文首部字段属性值,为1~255个字符的字符串,不支持正则元字符?。
【使用指导】
非缺省vSystem不支持本命令。
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备发送给自定义认证服务器的HTTP请求报文首部字段参数,该参数需要与自定义认证的HTTP请求方式、认证服务器的URL地址和认证信息请求模板等参数配合使用才能生效。
在同一个SSL VPN访问实例视图下,多次执行本命令,如果field-name的值不同,则可以配置多个不同属性的值;如果field-name的值相同,则最后一次配置生效。
【举例】
# 在SSL VPN访问实例ctx1下配置自定义认证的HTTP请求首部的Host字段为192.168.56.2:8080。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication request-header-field host value 192.168.56.2:8080
【相关命令】
· authentication server-type
· custom-authentication request-method
· custom-authentication request-template
· custom-authentication url
custom-authentication request-method命令用来配置自定义认证的HTTP请求方式。
undo custom-authentication request-method命令用来恢复缺省情况。
【命令】
custom-authentication request-method { get | post }
undo custom-authentication request-method
【缺省情况】
自定义认证的HTTP请求方式为GET。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
get:表示HTTP请求方式为GET。
post:表示HTTP请求方式为POST。
【使用指导】
非缺省vSystem不支持本命令。
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备发送给自定义认证服务器的HTTP请求的方式,该设置需要与自定义认证的请求报文首部字段、认证服务器的URL地址和认证信息请求模板等参数配合使用才能生效。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下配置自定义认证的HTTP请求方式为POST。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication request-method post
【相关命令】
· authentication server-type
· custom-authentication request-template
· custom-authentication url
custom-authentication request-template命令用来配置自定义认证的认证信息请求模板。
undo custom-authentication request-template命令用来恢复缺省情况。
【命令】
custom-authentication request-template template
undo custom-authentication request-template
【缺省情况】
未配置自定义认证的认证信息请求模板。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
template:SSL VPN网关向自定义认证服务器发送用户名、密码等信息的认证信息请求模板,为1~255个字符的字符串,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备发送给自定义认证服务器的认证信息请求模板,该设置需要与自定义认证的请求报文首部字段、认证服务器的URL地址和HTTP请求的方式等参数配合使用才能生效。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
本命令支持的三种预定义请求模板格式如下:
· form表单格式:(请求方式为POST/GET)
username=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1234
· json格式:(请求方式为POST)
{“name”:”$$USERNAME$$”,“password”:”,$$PASSWORD$$”,“resid”:”1234”}
· xml格式:(请求方式为POST)
<uname>$$USERNAME$$</uname><psw>$$PASSWORD$$</psw>
以上模板格式中,两个$$符号之间的变量目前包括以下几种:
· USERNAME:用户名
· PASSWORD:密码
· PASSWORD_MD5:经过MD5加密的密码
SSL VPN用户登录SSL VPN网关时,SSL VPN网关会用SSL VPN用户登录时的用户名和密码替换认证信息请求模板中的USERNAME、PASSWORD_MD5等变量,并将认证信息请求模板发送至自定义认证服务器。
【举例】
# 在SSL VPN访问实例ctx1下配置自定义认证的认证信息请求模板为:username=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1952252223973828。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication request-template username=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1952252223973828
【相关命令】
· authentication server-type
· custom-authentication request-method
· custom-authentication url
custom-authentication response-custom-template命令用来配置自定义认证的自定义应答模板。
undo custom-authentication response-custom-template命令用来恢复缺省情况。
【命令】
custom-authentication response-custom-template { group | message | result } template
undo custom-authentication response-custom-template { group | message | result }
【缺省情况】
未配置自定义认证的自定义应答模板。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
group:表示group字段后面为授权资源组的自定义应答模板。
message:表示message字段后面为认证结果提示信息的自定义应答模板。
result:表示result字段后面为认证结果的自定义应答模板。
template:自定义应答模板,为1~63个字符的字符串,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备解析自定义认证服务器应答的认证结果模板,该模板需要与HTTP应答报文格式等参数配合使用才能生效。例如,配置了认证结果字段result的模板为“result=$$value$$”,那么在解析custom格式的应答报文时就用“result=$$value$$”的格式去解析认证结果字段。
自定义应答模板中value前后的内容需要与认证服务器应答报文中的value值前后的内容保持一致。例如服务器应答的报文为“auth-result=true,”,则应答模板应该配置为“auth-result=$$value$$,”($$value$$前后的开始和结束标识符“auth-result=”和“,”应与true前后的内容保持一致)。
模板中的$$符用于程序检测开始和结束标识符,当程序检测到第一个$$时,则认为其前面的内容为解析报文时用到的开始标识符,当检测到第二个$$时,则将其后面的内容作为解析报文时用到的结束标识符。
【举例】
# 在SSL VPN访问实例ctx1下配置自定义认证的自定义应答模板为result=$$value$$,company=$$value$$,message=$$value$$。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication response-custom-template result result=$$value$$,
[Sysname-sslvpn-context-ctx1] custom-authentication response-custom-template group company=$$value$$,
[Sysname-sslvpn-context-ctx1] custom-authentication response-custom-template message message=$$value$$
【相关命令】
· authentication server-type
· custom-authentication response-format
· custom-authentication response-success-value
custom-authentication response-field命令用来配置自定义认证的HTTP应答报文的应答字段名。
undo custom-authentication response-field命令用来恢复缺省情况。
【命令】
custom-authentication response-field { group group | message message | result result }
undo custom-authentication response-field { group | message | result }
【缺省情况】
未配置HTTP应答报文的应答字段名。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
group group:HTTP应答报文中的资源组字段名,表示应答报文中group字段后面的值为授权资源组,为1~31个字符的字符串,不区分大小写。
message message:HTTP应答报文中的提示信息字段名,表示应答报文中message字段后面的值为认证结果提示信息,为1~31个字符的字符串,不区分大小写。
result result:HTTP应答报文中的结果字段名,表示应答报文中result字段后面的值为认证结果,为1~31个字符的字符串,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备解析自定义认证服务器应答的指定字段:
· 若指定了HTTP应答报文中的资源组字段名,如果自定义认证服务器在回应的HTTP应答报文中能够返回此用户对应的group字段,那么SSL VPN网关能够通过配置的group字段名,找到group字段对应的值。例如定义了资源组字段名为company,则company后面的内容为资源组名称。SSL VPN网关通过比较自定义认证服务器返回的授权资源组和本地配置的资源组,取两者的交集则为最终授权的资源组。如果服务器未返回授权资源组字段,或者SSL VPN网关没有配置资源组,则给用户授权缺省的策略组。
· 若指定了HTTP应答报文中的结果提示信息字段名,则SSL VPN会利用此字段提取认证结果提示信息,包括认证成功、认证失败等提示信息。
· 若指定了HTTP应答报文中的结果字段名,则SSL VPN会利用此字段提取应答值,并根据配置的应答值,判断用户认证是否成功。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下配置自定义认证的应答字段名为group:company,message:resultDescription。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication response-field group company
[Sysname-sslvpn-context-ctx1] custom-authentication response-field message resultDescription
【相关命令】
· authentication server-type
custom-authentication response-format命令用来配置自定义认证的HTTP应答报文格式。
undo custom-authentication response-format命令用来恢复缺省情况。
【命令】
custom-authentication response-format { custom | json | xml }
undo custom-authentication response-format
【缺省情况】
自定义认证的HTTP应答报文格式为JSON。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
custom:表示应答报文格式为用户自定义应答报文格式。
json:表示应答报文格式为JSON。
xml:表示应答报文格式为XML。
【使用指导】
非缺省vSystem不支持本命令。
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备解析自定义认证服务器应答的应答报文格式,该应答报文格式需要与HTTP应答报文的应答字段名等参数配合使用才能生效。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下配置自定义认证的HTTP应答报文格式为JSON。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication response-format json
【相关命令】
· authentication server-type
· custom-authentication response-custom-template
custom-authentication response-success-value命令用来配置自定义认证的HTTP应答报文中标识认证成功的应答值。
undo custom-authentication response-success-value命令用来恢复缺省情况。
【命令】
custom-authentication response-success-value success-value
undo custom-authentication response-success-value
【缺省情况】
未配置HTTP应答报文中标识认证成功的应答值。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
success-value:HTTP应答报文中标识认证成功的应答值,为1~31个字符的字符串,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置设备解析自定义认证服务器应答的标识认证成功的应答值,该设置需要与自定义认证的请求报文首部字段、HTTP请求方式和认证信息请求模板等参数配合使用才能生效。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
只有当自定义认证服务器返回的HTTP应答报文的应答结果为本命令指定的值时,SSL VPN网关才会认为用户认证成功。
【举例】
# 在SSL VPN访问实例ctx1下配置HTTP应答报文中标识认证成功的应答值为true。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication response-success-value true
【相关命令】
· authentication server-type
· custom-authentication response-field
custom-authentication timeout命令用来配置自定义认证的超时时间。
undo custom-authentication timeout命令用来恢复缺省情况。
【命令】
custom-authentication timeout seconds
undo custom-authentication timeout
【缺省情况】
自定义认证的超时时间为15秒。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
seconds:自定义认证的超时时间,取值范围为5~50,单位为秒。
【使用指导】
非缺省vSystem不支持本命令。
SSL VPN网关向自定义认证服务器发送HTTP请求报文,如果SSL VPN网关在超时时间内没有收到服务器的应答报文,则向SSL VPN客户端返回认证失败信息。
【举例】
# 在SSL VPN访问实例ctx1下配置自定义认证的超时时间为20秒。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication timeout 20
【相关命令】
· authentication server-type
custom-authentication url命令用来配置自定义认证服务器的URL地址。
undo custom-authentication url命令用来恢复缺省情况。
【命令】
custom-authentication url url
undo custom-authentication url
【缺省情况】
未配置自定义认证服务器的URL地址。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
url:SSL VPN网关向自定义认证服务器发送的HTTP请求报文中的认证服务器的URL地址,为1~255个字符的字符串,不区分大小写,不支持正则元字符?。
【使用指导】
非缺省vSystem不支持本命令。
当采用自定义类型的SSL VPN认证服务器时(通过authentication server-type custom命令),可通过本命令配置自定义认证服务器的URL地址,该设置需要与自定义认证的请求报文首部字段、HTTP请求方式和认证信息请求模板等参数配合使用才能生效。
一个URL由协议类型、主机名或地址、端口号、资源路径四部分组成,完整格式为“协议类型://主机名称或地址:端口号/资源路径”。协议类型目前仅支持HTTP和HTTPS,如果没有指定,协议类型缺省为HTTP。如果URL中包含IPv6地址,需要为该IPv6地址增加一个中括号,例如https://[1234::5678]:4430。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下配置自定义认证服务器的URL地址为https://192.168.56.2:4430/register/user/checkUserAndPwd。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication url https://192.168.56.2:4430/register/user/checkUserAndPwd
【相关命令】
· authentication server-type
· custom-authentication request-method
· custom-authentication request-template
default命令用来恢复接口的缺省配置。
【命令】
default
【视图】
SSL VPN AC接口视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行本配置前,完全了解其对网络产生的影响。
可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。
【举例】
# 将接口SSL VPN AC 1000恢复为缺省配置。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] default
This command will restore the default settings. Continue? [Y/N]:y
default-policy-group命令用来指定缺省策略组。
undo default-policy-group命令用来恢复缺省情况。
【命令】
default-policy-group group-name
undo default-policy-group
【缺省情况】
未指定缺省策略组。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
group-name:策略组名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。指定的策略组必须在设备上已经存在。
【使用指导】
一个SSL VPN访问实例下可以配置多个策略组。远端接入用户访问SSL VPN访问实例时,AAA服务器将授权给该用户的策略组信息下发给SSL VPN网关。该用户可以访问的资源由授权的策略组决定。如果AAA服务器没有为该用户进行授权,则用户可以访问的资源由缺省策略组决定。
【举例】
# 指定名为pg1的策略组为缺省策略组。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] quit
[Sysname-sslvpn-context-ctx1] default-policy-group pg1
【相关命令】
· display sslvpn context
· policy-group
description命令用来配置快捷方式的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
未配置快捷方式的描述信息。
【视图】
快捷方式视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
text:快捷方式的描述信息,为1~63个字符的字符串,区分大小写。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置快捷方式shortcut1的描述信息。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] shortcut shortcut1
[Sysname-sslvpn-context-ctx1-shortcut-shortcut1] description shortcut1
description命令用来配置接口的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
接口的描述信息为“接口名 Interface”,例如:SSLVPN-AC1000 Interface。
【视图】
SSL VPN AC接口视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
text:接口的描述信息,为1~255个字符的字符串,区分大小写。
【使用指导】
当设备上存在多个接口时,可以根据接口的连接信息或用途来配置接口的描述信息,以便区别和管理各接口。
本命令仅用于标识某接口,并无特别的功能。使用display interface等命令可以看到设置的描述信息。
【举例】
# 配置接口SSL VPN AC 1000的描述信息为“SSL VPN A”。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] description SSL VPN A
display interface sslvpn-ac命令用来显示SSL VPN AC接口的相关信息。
【命令】
display interface [ sslvpn-ac [ interface-number ] ] [ brief [ description | down ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
sslvpn-ac interface-number:显示指定SSL VPN AC接口的相关信息。interface-number表示SSL VPN AC接口的编号,取值范围为0~4095。如果不指定sslvpn-ac参数,将显示除VA(Virtual Access,虚拟访问)接口外的所有接口的相关信息;如果不指定interface-number,则显示所有SSL VPN AC接口的信息。有关VA接口的详细介绍,请参见“二层技术-广域网接入配置指导”中的“PPP”。
brief:显示接口的概要信息。如果不指定该参数,则显示接口的详细信息。
description:用来显示用户配置的接口的全部描述信息。如果某接口的描述信息超过27个字符,不指定该参数时,只显示描述信息中的前27个字符,超出部分不显示;指定该参数时,可以显示全部描述信息。
down:显示当前物理状态为down的接口的信息以及down的原因。如果不指定该参数,则不会根据接口物理状态来过滤显示信息。
【举例】
# 显示接口SSL VPN AC 1000的相关信息。
<Sysname> display interface sslvpn-ac 1000
SSLVPN-AC1000
Current state: UP
Line protocol state: DOWN
Description: SSLVPN-AC1000 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Internet protocol processing: Disabled
Link layer protocol is SSLVPN
Last clearing of counters: Never
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 0 packets, 0 bytes, 0 drops
Output: 0 packets, 0 bytes, 0 drops
表1-1 display interface sslvpn-ac命令显示信息描述表
字段 |
描述 |
SSLVPN-AC1000 |
接口SSL VPN AC 1000的相关信息 |
Current state |
接口的物理状态和管理状态,取值包括: · Administratively DOWN:表示该接口已经通过shutdown命令被关闭,即管理状态为关闭 · DOWN:该接口的管理状态为开启,但物理状态为关闭 · UP:该接口的管理状态和物理状态均为开启 |
Line protocol state |
接口的链路层协议状态,取值包括: · UP:表示该接口的链路层协议状态为开启 · UP (spoofing):表示该接口的链路层协议状态为开启,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立。通常NULL、LoopBack等接口会具有该属性 · DOWN:表示该接口的链路层协议状态为关闭 |
Description |
接口的描述信息 |
Bandwidth |
接口的期望带宽,单位为kbps |
Maximum transmission unit |
接口的最大传输单元 |
Internet protocol processing |
接口的IP地址。如果没有为接口配置IP地址,则该字段显示为Internet protocol processing: Disabled,表示不能处理IP报文 |
Internet address: ip-address/mask-length (Type) |
接口IP地址。Type表示地址获取方式,取值如下: · Primary:手动配置的主地址 |
Link layer protocol |
链路层协议类型 |
Last clearing of counters |
最近一次使用reset counters interface命令清除接口下的统计信息的时间(如果从设备启动一直没有执行reset counters interface命令清除过该接口下的统计信息,则显示Never) |
Last 300 seconds input rate |
最近300秒钟的平均输入速率:bytes/sec表示平均每秒输入的字节数,bits/sec表示平均每秒输入的比特数,packets/sec表示平均每秒输入的包数 |
Last 300 seconds output rate |
最近300秒钟的平均输出速率:bytes/sec表示平均每秒输出的字节数,bits/sec表示平均每秒输出的比特数,packets/sec表示平均每秒输出的包数 |
Input: 0 packets, 0 bytes, 0 drops |
总计输入的报文数,总计输入的字节,总计丢弃的输入报文数 |
Output: 0 packets, 0 bytes, 0 drops |
总计输出的报文数,总计输出的字节,总计丢弃的输出报文数 |
# 显示所有SSL VPN AC类型接口的概要信息。
<Sysname> display interface sslvpn-ac brief
Brief information of interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
SSLVPN-AC1000 UP DOWN --
# 显示接口SSL VPN AC 1000的概要信息,包括用户配置的全部描述信息。
<Sysname> display interface sslvpn-ac 1000 brief description
Brief information of interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
SSLVPN-AC1000 UP UP 1.1.1.1 SSLVPN-AC1000 Interface
# 显示当前状态为down的接口的信息以及DOWN的原因。
<Sysname> display interface sslvpn-ac brief down
Brief information of interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Interface Link Cause
SSLVPN-AC1000 ADM
SSLVPN-AC1001 ADM
表1-2 display interface sslvpn-ac brief命令显示信息描述表
字段 |
描述 |
Brief information of interfaces in route mode: |
三层模式下(route)的接口的概要信息,即三层接口的概要信息 |
Link: ADM - administratively down; Stby - standby |
· 如果某接口的Link属性值为“ADM”,则表示该接口被管理员通过shutdown命令关闭,需要在该接口下执行undo shutdown命令才能恢复接口本身的物理状态 · 如果某接口的Link属性值为“Stby”,则表示该接口是一个处于Standby状态的备份接口,使用display interface-backup state命令可以查看该备份接口对应的主接口 |
Protocol: (s) - spoofing |
如果某接口的Protocol属性值中带有“(s)”字符串,则表示该接口的网络层协议状态显示是UP的,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立 |
Interface |
接口名称缩写 |
Link |
接口物理连接状态,取值包括: · UP:表示本链路物理上是连通的 · DOWN:表示本链路物理上是不通的 · ADM:表示本链路被管理员通过shutdown命令关闭,需要执行undo shutdown命令才能恢复接口真实的物理状态 · Stby:表示该接口是一个处于Standby状态的备份接口 |
Protocol |
接口的链路层协议状态,取值包括: · UP:表示该接口的链路层协议状态为开启 · UP (s):表示该接口的链路层协议状态为开启,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立。通常NULL、LoopBack等接口会具有该属性 · DOWN:表示该接口的链路层协议状态为关闭 |
Primary IP |
接口主IP地址 |
Description |
接口的描述信息 |
Cause |
接口物理连接状态为down的原因,取值为: · Administratively:表示本链路被手工关闭了(配置了shutdown命令),需要执行undo shutdown命令才能恢复真实的物理状态 · Not connected:表示物理层不通 |
【相关命令】
· reset counters interface
display sslvpn context命令用来显示SSL VPN访问实例的信息。
【命令】
display sslvpn context [ brief | name context-name [ { ip-route-list list-name | ipv6-route-list ipv6-list-name | policy-group group-name | port-forward port-forward-name | shortcut-list list-name | uri-acl uri-acl-name | url-list list | verbose } [ kernel ] [ slot slot-number ] ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
brief:显示所有SSL VPN访问实例的简要信息。如果不指定本参数,则显示SSL VPN访问实例的详细信息。
name context-name:显示指定SSL VPN访问实例的详细信息。context-name表示SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例的信息。
ip-route-list list-name:表示IPv4路由列表名称,list-name为1~31个字符的字符串,不区分大小写,支持输入中文字符。
ipv6-route-list ipv6-list-name:表示IPv6路由列表名称,ipv6-list-name为1~31个字符的字符串,不区分大小写,支持输入中文字符。
policy-group group-name:表示SSL VPN策略组名称,group-name为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。
port-forward port-forward-name:表示端口转发列表名称,port-forward-name为1~31个字符的字符串,不区分大小写,支持输入中文字符。
shortcut-list list-name:表示快捷方式列表名称,list-name为1~31个字符的字符串,不区分大小写。
uri-acl uri-acl-name:表示URI ACL名称,uri-acl-name为1~31个字符的字符串,不区分大小写。
url-list list:表示URL列表名称,list为1~31个字符的字符串,不区分大小写,支持输入中文字符。
verbose:表示显示指定SSL VPN访问实例的详细信息。如果不指定本参数,则显示指定SL VPN访问实例的简要信息。
kernel:显示指定SSL VPN访问实例的内核态配置信息。如果不指定此参数,则显示指定SSL VPN访问实例的用户态配置信息。
slot slot-number:显示指定成员设备上的SSL VPN访问实例配置信息,slot-number表示设备在IRF中的成员编号。如果不指定本参数,则显示主设备上的SSL VPN访问实例配置信息。
【举例】
# 显示所有SSL VPN访问实例的信息。
<Sysname> display sslvpn context
Context name: ctx1
Operation state: Up
AAA domain: domain1
Certificate authentication: Enabled
Certificate username-attribute: CN
Password authentication:Enabled
Authentication use: All
Authentication server-type: aaa
SMS auth type: iMC
Code verification: Disabled
Default policy group: Not configured
Associated SSL VPN gateway: gw1
Domain name: 1
Associated SSL VPN gateway: gw2
Virtual host: example.com
Associated SSL VPN gateway: gw3
SSL client policy configured: ssl1
SSL client policy in use: ssl
Maximum users allowed: 200
VPN instance:vpn1
Idle timeout: 30 min
Idle-cut traffic threshold: 100 Kilobytes
Password changing: Disabled
Context name: ctx2
Operation state: Down
Down reason: Administratively down
AAA domain not specified
Certificate authentication: Enabled
Certificate username-attribute: OID(2.5.4.10)
Password authentication:Disabled
Authentication use: Any-one
Authentication server-type: custom
SMS auth type: sms-gw
Code verification: Disabled
Default group policy: gp
Associated SSL VPN gateway: -
SSL client policy configured: ssl1
SSL client policy in use: ssl
Maximum users allowed: 200
VPN instance not configured
Idle timeout: 50 min
Idle-cut traffic threshold: 100 Kilobytes
Address pool: Conflicted with an IP address on the device
Password changing: Enabled
Denied client types: Browsers
表1-3 display sslvpn context命令显示信息描述表
字段 |
描述 |
Context name |
SSL VPN访问实例的名称 |
Operation state |
SSL VPN访问实例的操作状态,取值包括: · Up:SSL VPN访问实例处于运行状态 · Down:SSL VPN访问实例未处于运行状态 |
Down reason |
SSL VPN访问实例处于down状态的原因,取值包括: · Administratively down:管理down,即未通过service enable命令开启SSL VPN访问实例 · No gateway associated:SSL VPN访问实例未引用SSL VPN网关 · Applying SSL client-policy failed:为SSL VPN访问实例应用SSL客户端策略失败 |
AAA domain |
SSL VPN访问实例使用的ISP域 |
Certificate authentication |
SSL VPN访问实例是否开启证书认证功能,取值包括: · Enabled:证书认证功能开启 · Disabled:证书认证功能未开启 |
Certificate username-attribute |
采用SSL VPN用户证书中的指定字段作为SSL VPN用户名,取值包括: · CN:用户证书中的CN字段 · Email-prefix:用户证书中的邮件地址前缀 · OID(x.x.x.x):用户证书中指定OID值标识的字段,OID为对象标识符,以点分十进制的形式表示 本字段仅在开启证书认证时显示 |
Password authentication |
SSL VPN访问实例是否开启用户名/密码认证功能,取值包括: · Enabled:用户名/密码认证功能开启 · Disabled:用户名/密码认证功能未开启 |
Authentication use |
SSL VPN用户登录访问实例的认证模式,取值包括: · All:通过所有的认证方式 · Any-one:通过任意一种认证方式 |
Authentication server-type |
SSL VPN用户登录访问实例的认证服务器类型,取值包括: · aaa:AAA认证服务器 · custom:自定义认证服务器 |
SMS auth type |
SSL VPN用户配置短信认证类型,取值包括: · iMC:iMC短信认证 · sms-gw:短信网关认证 |
Code verification |
SSL VPN访问实例是否开启验证码验证功能 |
Default policy group |
SSL VPN访问实例使用的缺省策略组 |
Associated SSL VPN gateway |
SSL VPN访问实例引用的SSL VPN网关 |
Domain name |
SSL VPN访问实例的域名 |
Virtual host |
SSL VPN访问实例的虚拟主机名称 |
SSL client policy configured |
配置的SSL客户端策略名称。配置的SSL客户端策略在重启SSL VPN访问实例后才能生效 |
SSL client policy in use |
生效的SSL客户端策略名称 |
Maximum users allowed |
SSL VPN访问实例的最大用户会话数 |
VPN instance |
SSL VPN访问实例关联的VPN实例 |
Idle timeout |
SSL VPN会话可以保持空闲状态的最长时间,单位为分钟 |
Idle-cut traffic threshold |
SSL VPN会话保持空闲状态的流量阈值 |
Address pool: Conflicted with an IP address on the device |
检测到SSL VPN访问实例IP地址冲突 |
Password changing |
修改SSL VPN登录密码功能是否开启,取值包括: · Enabled:修改密码功能开启 · Disabled:修改密码功能关闭 |
Denied client types |
禁用的SSL VPN客户端,取值包括: · Browsers:浏览器客户端 · PC-iNode:PC版iNode客户端 · Mobile-iNode:移动版iNode客户端 · Not configured:未配置禁用的SSL VPN客户端 |
# 显示所有SSL VPN访问实例的简要信息。
<Sysname> display sslvpn context brief
Context name Admin Operation VPN instance Gateway Domain/VHost
ctx1 Up Up - gw1 -/1
gw2 example.com/-
gw3 -/-
ctx2 Down Down - - -/-
表1-4 display sslvpn context brief命令显示信息描述表
字段 |
描述 |
Context name |
SSL VPN访问实例的名称 |
Admin |
SSL VPN访问实例的管理状态,取值包括: · up:已通过service enable命令开启SSL VPN访问实例 · down:未通过service enable命令开启SSL VPN 访问实例 |
Operation |
SSL VPN访问实例的操作状态,取值包括: · up:SSL VPN访问实例处于运行状态 · down:SSL VPN访问实例未处于运行状态 |
VPN instance |
SSL VPN访问实例关联的VPN实例 |
Gateway |
SSL VPN访问实例引用的SSL VPN网关 |
Domain/VHost |
SSL VPN访问实例的域名或虚拟主机名称 |
# 显示名称为con的SSL VPN访问实例的详细信息。
<Sysname> display sslvpn context name con verbose
Context name: con
Context ID: 2
Operation state: Down
Down reason: Administratively down
AAA domain: Not specified
Certificate authentication: Disabled
Password authentication: Enabled
Authentication use: All
SMS auth type: Not configured
Urlmasking: Disabled
Code verification: Disabled
Default policy group: Not configured
Associated SSL VPN gateway: -
Maximum users allowed: 1048575
VPN instance: Not configured
Idle timeout: 30 min
Authentication server-type: aaa
Password changing: Enabled
Denied client types: Not configured
Url-list name: list
Url-list ID: 1
表1-5 display sslvpn context verbose命令显示信息描述表
字段 |
描述 |
Context name |
SSL VPN访问实例的名称 |
Context ID |
SSL VPN访问实例名称的ID |
Operation state |
SSL VPN访问实例的操作状态,取值包括: · Up:SSL VPN访问实例处于运行状态 · Down:SSL VPN访问实例未处于运行状态 |
Down reason |
SSL VPN访问实例处于down状态的原因,取值包括: · Administratively down:管理down,即未通过service enable命令开启SSL VPN访问实例 · No gateway associated:SSL VPN访问实例未引用SSL VPN网关 · Applying SSL client-policy failed:为SSL VPN访问实例应用SSL客户端策略失败 |
AAA domain |
SSL VPN访问实例使用的ISP域 |
Certificate authentication |
SSL VPN访问实例是否开启证书认证功能,取值包括: · Enabled:证书认证功能开启 · Disabled:证书认证功能未开启 |
Certificate username-attribute |
采用SSL VPN用户证书中的指定字段作为SSL VPN用户名,取值包括: · CN:用户证书中的CN字段 · Email-prefix:用户证书中的邮件地址前缀 · OID(x.x.x.x):用户证书中指定OID值标识的字段,OID为对象标识符,以点分十进制的形式表示 本字段仅在开启证书认证时显示 |
Password authentication |
SSL VPN访问实例是否开启用户名/密码认证功能,取值包括: · Enabled:用户名/密码认证功能开启 · Disabled:用户名/密码认证功能未开启 |
Authentication use |
SSL VPN用户登录访问实例的认证模式,取值包括: · All:通过所有的认证方式 · Any-one:通过任意一种认证方式 |
Authentication server-type |
SSL VPN用户登录访问实例的认证服务器类型,取值包括: · aaa:AAA认证服务器 · custom:自定义认证服务器 |
SMS auth type |
SSL VPN用户配置短信认证类型,取值包括: · iMC:iMC短信认证 · sms-gw:短信网关认证 |
Code verification |
SSL VPN访问实例是否开启验证码验证功能 |
Default policy group |
SSL VPN访问实例使用的缺省策略组 |
Associated SSL VPN gateway |
SSL VPN访问实例引用的SSL VPN网关 |
Domain name |
SSL VPN访问实例的域名 |
Virtual host |
SSL VPN访问实例的虚拟主机名称 |
SSL client policy configured |
配置的SSL客户端策略名称。配置的SSL客户端策略在重启SSL VPN访问实例后才能生效 |
SSL client policy in use |
生效的SSL客户端策略名称 |
Maximum users allowed |
SSL VPN访问实例的最大用户会话数 |
VPN instance |
SSL VPN访问实例关联的VPN实例 |
Idle timeout |
SSL VPN会话可以保持空闲状态的最长时间,单位为分钟 |
Idle-cut traffic threshold |
SSL VPN会话保持空闲状态的流量阈值 |
Address pool: Conflicted with an IP address on the device |
检测到SSL VPN访问实例IP地址冲突 |
Password changing |
修改SSL VPN登录密码功能是否开启,取值包括: · Enabled:修改密码功能开启 · Disabled:修改密码功能关闭 |
Denied client types |
禁用的SSL VPN客户端,取值包括: · Browsers:浏览器客户端 · PC-iNode:PC版iNode客户端 · Mobile-iNode:移动版iNode客户端 · Not configured:未配置禁用的SSL VPN客户端 |
Shortcut-list name |
快捷方式列表的名称 |
Shortcut-list ID |
快捷方式列表名称的ID |
Ip-route-list name |
IPv4路由列表的名称 |
Ip-route-list ID |
IPv4路由列表名称的ID |
Ipv6-route-list name |
IPv6路由列表的名称 |
Ipv6-route-list ID |
IPv6路由列表名称的ID |
Policy-group name |
策略组的名称 |
Policy-group ID |
策略组名称的ID |
Port-forward name |
端口转发列表的名称 |
Port-forward ID |
端口转发列表名称的ID |
Uri-acl name |
URI ACL的名称 |
Uri-acl ID |
URI ACL名称的ID |
Url-list name |
URL列表的名称 |
Url-list ID |
URL列表名称的ID |
# 显示SSL VPN访问实例ctx下引用的名称为pg的SSL VPN策略组的配置信息。
<Sysname> display sslvpn context name ctx1 policy-group pg
Policy group name: pg
Policy group ID: 1
Resources url-list name: list
Resources url-list ID:1
Resources url-list name: list1
Resources url-list ID:2
表1-6 display sslvpn context policy-group命令显示信息描述表
字段 |
描述 |
Policy group name |
策略组的名称 |
Policy group ID |
策略组的ID号 |
Resources url-list name |
引用url-list的名称 |
Resources url-list ID |
引用url-list名称的ID |
display sslvpn gateway命令用来显示SSL VPN网关的信息。
【命令】
display sslvpn gateway [ brief | name gateway-name [ verbose [ kernel ] [ slot slot-number ] ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
brief:显示所有SSL VPN网关的简要信息。如果不指定本参数,则显示SSL VPN网关的详细信息。
name gateway-name:显示指定SSL VPN网关的详细信息。gateway-name表示SSL VPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN网关的信息。
verbose:表示显示指定SSL VPN网关的详细信息。如果不指定此参数,则显示指定SSL VPN网关的简要信息。
kernel:显示指定SSL VPN网关的内核态配置信息。如果不指定此参数,则显示SSL VPN网关的用户态配置信息。
slot slot-number:显示指定成员设备上的SSL VPN网关配置信息,slot-number表示设备在IRF中的成员编号。如果不指定本参数,则显示主设备上的SSL VPN网关配置信息。
【举例】
# 显示所有SSL VPN网关的详细信息。
<Sysname> display sslvpn gateway
Gateway name: gw1
Operation state: Up
IP: 192.168.10.75 Port: 443
HTTP redirect port: 80
SSL server policy configured: ssl1
SSL server policy in use: ssl
Front VPN instance: vpn1
GD-quantum encryption: Enabled (Non-mandatory)
Gateway name: gw2
Operation state: Down
Down reason: Administratively down
IP: 0.0.0.0 Port: 443
SSL server policy configured: ssl1
SSL server policy in use: ssl
Front VPN instance: Not configured
GD-quantum encryption: Disabled
Gateway name: gw3
Operation state: Up
IPv6: 3000::2 Port: 443
SSL server policy configured: ssl1
SSL server policy in use: ssl
Front VPN instance: Not configured
GD-quantum encryption: Enabled (Mandatory)
表1-7 display sslvpn gateway命令显示信息描述表
字段 |
描述 |
Gateway name |
SSL VPN网关的名称 |
Operation state |
SSL VPN网关的操作状态,取值包括: · Up:SSL VPN网关处于运行状态 · Down:SSL VPN网关未处于运行状态 |
Down reason |
SSL VPN网关处于down状态的原因,取值包括: · Administratively down:管理down,即没有通过service enable命令开启SSL VPN网关 · VPN instance not exist:SSL VPN网关所属的VPN实例不存在 · Applying SSL server-policy failed:为SSL VPN网关应用SSL服务器端策略失败 |
IP |
SSL VPN网关的IPv4地址 |
IPv6 |
SSL VPN网关的IPv6地址 |
Port |
SSL VPN网关的端口号 |
HTTP redirect port |
HTTP重定向端口号 |
SSL server policy configured |
配置的SSL服务器端策略名称。配置的SSL服务器端策略在重启SSL VPN网关后才能生效 |
SSL server policy in use |
生效的SSL服务器端策略名称 |
Front VPN instance |
前端VPN实例名称,即SSL VPN网关所属的VPN实例名称 |
GD-quantum encryption |
国盾量子加密功能的状态,取值包括: · Enabled (Non-mandatory):SSL VPN国盾量子加密功能处于开启状态 · Enabled (Mandatory):SSL VPN国盾量子强制加密功能处于开启状态 · Disabled:SSL VPN国盾量子加密功能处于关闭状态 仅支持国盾量子加密功能的产品显示此字段 |
# 显示所有SSL VPN网关的简要信息。
<Sysname> display sslvpn gateway brief
Gateway name Admin Operation
gw1 Up Up
gw2 Down Down (Administratively down)
gw3 Up Up
表1-8 display sslvpn gateway brief命令显示信息描述表
字段 |
描述 |
Gateway name |
SSL VPN网关的名称 |
Admin |
SSL VPN网关的管理状态,取值包括: · Up:已通过service enable命令开启SSL VPN网关 · Down:未通过service enable命令开启SSL VPN网关 |
Operation |
SSL VPN网关的操作状态,取值包括: · Up:SSL VPN网关处于运行状态 · Down (Administratively down):管理down,即没有通过service enable命令开启SSL VPN网关 · Down (VPN instance not exist):SSL VPN网关所属的VPN实例不存在 · Down (Applying SSL server-policy failed):为SSL VPN网关应用SSL服务器端策略失败 |
# 显示名称为gw1的SSL VPN网关的详细信息。
<Sysname> display sslvpn gateway name gw1 verbose
Gateway name: gw
Gateway ID: 1
Operation state: Down
Down reason: Administratively down
IP: 10.123.12.10 Port: 443
Front VPN instance: Not configured
GD-quantum encryption: Disabled
表1-9 display sslvpn gateway命令显示信息描述表
字段 |
描述 |
Gateway name |
SSL VPN网关的名称 |
Gateway ID |
SSL VPN网关的ID号 |
Operation state |
SSL VPN网关的操作状态,取值包括: · Up:SSL VPN网关处于运行状态 · Down:SSL VPN网关未处于运行状态 |
Down reason |
SSL VPN网关处于Down状态的原因,取值包括: · Administratively down:管理down,即没有通过service enable命令开启SSL VPN网关 · VPN instance not exist:SSL VPN网关所属的VPN实例不存在 · Applying SSL server-policy failed:为SSL VPN网关应用SSL服务器端策略失败 |
IP |
SSL VPN网关的IPv4地址 |
IPv6 |
SSL VPN网关的IPv6地址 |
Port |
SSL VPN网关的端口号 |
HTTP redirect port |
HTTP重定向端口号 |
SSL server policy configured |
配置的SSL服务器端策略名称。配置的SSL服务器端策略在重启SSL VPN网关后才能生效 |
SSL server policy in use |
生效的SSL服务器端策略名称 |
Front VPN instance |
前端VPN实例名称,即SSL VPN网关所属的VPN实例名称 |
Vrfindex |
VPN索引值 |
GD-quantum encryption |
国盾量子加密功能的状态,取值包括: · Enabled:开启 · Disabled:关闭 仅支持国盾量子加密功能的产品显示此字段 |
display sslvpn ip address-pool命令用来显示指定IPv4地址池配置信息。
【命令】
display sslvpn ip address-pool [ pool-name ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
pool-name:表示IP地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。若不指定本参数,则显示所有IP地址池配置信息。
slot slot-number:显示指定成员设备上的IP地址池配置信息,slot-number表示设备在IRF中的成员编号。如果不指定本参数,则显示主设备上的IP地址池配置信息。
【举例】
# 显示名称为1的IP地址池配置信息。
<Sysname> display sslvpn ip address-pool 1
IP address pool name: 1
IP address pool ID: 1
Start IP: 10.1.1.10
End IP: 10.1.1.125
表1-10 display sslvpn ip address-pool命令显示信息描述表
字段 |
描述 |
IP address pool name |
IPv4地址池的名称 |
IP address pool ID |
IPv4地址池的ID号 |
Start IP |
IPv4开始地址 |
End IP |
IPv4结束地址 |
display sslvpn ip-tunnel statistics命令用来显示通过IP接入的SSL VPN用户的报文统计信息。
【命令】
display sslvpn ip-tunnel statistics [ context context-name ] [ user user-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
context context-name:显示指定SSL VPN访问实例下通过IP接入的SSL VPN用户的报文统计信息。context-name表示SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例下通过IP方式接入的SSL VPN用户的报文统计信息。
user user-name:显示指定或所有SSL VPN访问实例下指定SSL VPN用户对应的报文统计信息。user-name表示SSL VPN用户名称,为1~63个字符的字符串,不区分大小写。如果不指定本参数,则显示指定或所有SSL VPN访问实例下所有通过IP接入的SSL VPN用户的报文统计信息。
【使用指导】
如果未指定任何参数,则显示所有SSL VPN访问实例下的通过IP接入的报文统计信息。
【举例】
# 显示所有SSL VPN访问实例下通过IP接入的SSL VPN用户的报文统计信息。
<Sysname> display sslvpn ip-tunnel statistics
IP-tunnel statistics in SSL VPN context ctx1:
Client:
In bytes : 125574 Out bytes : 1717349
Server:
In bytes : 1717349 Out bytes : 116186
IP-tunnel statistics in SSL VPN context ctx2:
Client:
In bytes : 521 Out bytes : 1011
Server:
In bytes : 1011 Out bytes : 498
# 显示SSL VPN访问实例ctx1下通过IP接入的报文统计信息和登录该访问实例的每个SSL VPN用户的报文统计信息。
<Sysname> display sslvpn ip-tunnel statistics context ctx1
IP-tunnel statistics in SSL VPN context ctx1:
Client:
In bytes : 125574 Out bytes : 1717349
Server:
In bytes : 1717349 Out bytes : 116186
SSL VPN session IP-tunnel statistics:
Context : ctx1
User : user1
Session ID : 1
User IPv4 address : 192.168.56.1
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalive replies : 1
Received configuration updates: 0
Sent configuration updates : 0
Context : ctx1
User : user2
Session ID : 2
User IPv6 address : 1234::5001
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalive replies : 1
Received configuration updates: 0
Sent configuration updates : 0
# 显示SSL VPN用户user1通过IP接入的报文统计信息。
<Sysname> display sslvpn ip-tunnel statistics user user1
SSL VPN session IP-tunnel statistics:
Context : ctx1
User : user1
Session ID : 1
User IPv4 address : 192.168.56.1
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalive replies : 1
Received configuration updates: 0
Sent configuration updates : 0
Context : ctx2
User : user1
Session ID : 2
User IPv6 address : 1234::5001
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalives replies : 1
Received configuration updates: 0
Sent configuration updates : 0
# 显示SSL VPN访问实例ctx1下SSL VPN用户user1通过IP接入的报文统计信息。
<Sysname> display sslvpn ip-tunnel statistics context ctx1 user user1
SSL VPN session IP-tunnel statistics:
Context : ctx1
User : user1
Session ID : 1
User IPv4 address : 192.168.56.1
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalive replies : 1
Received configuration updates: 0
Sent configuration updates : 0
Context : ctx1
User : user1
Session ID : 2
User IPv6 address : 1234::5001
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalives replies : 1
Received configuration updates: 0
Sent configuration updates : 0
表1-11 display sslvpn ip-tunnel statistics命令显示信息描述表
字段 |
描述 |
Context |
SSL VPN用户所属的SSL VPN访问实例 |
User |
SSL VPN用户的登录名 |
Session ID |
SSL VPN会话的标识 |
User IPv4 address |
SSL VPN用户的IPv4地址 |
User IPv6 address |
SSL VPN用户的IPv6地址 |
Received requests |
SSL VPN网关设备接收自SSL VPN用户的IP接入业务请求报文数 |
Sent requests |
SSL VPN网关设备转发给资源服务器的IP接入业务请求报文数 |
Dropped requests |
SSL VPN网关设备丢弃SSL VPN用户的IP接入业务请求报文数 |
Received replies |
SSL VPN网关设备接收资源服务器的IP接入业务应答报文数 |
Sent replies |
SSL VPN网关设备转发给SSL VPN用户的IP接入业务应答报文数 |
Dropped replies |
SSL VPN网关设备丢弃的IP接入业务应答报文数 |
Received keepalives |
SSL VPN网关设备接收自SSL VPN用户的保活报文数 |
Sent keepalives replies |
SSL VPN网关设备发送给SSL VPN用户的保活应答报文数 |
Received configuration updates |
SSL VPN网关设备接收自SSL VPN用户主动请求发送配置更新的报文数 |
Sent configuration updates |
SSL VPN网关设备发送给SSL VPN用户的配置更新报文数 |
Client |
SSL VPN网关设备与客户端之间的报文字节数统计,取值如下: · In bytes:SSL VPN网关设备接收自SSL VPN用户的IP接入业务请求报文字节数 · Out bytes:SSL VPN网关设备转发给SSL VPN用户的IP接入业务应答报文字节数 |
Server |
SSL VPN网关设备与服务器之间的统计信息,取值如下: · In bytes:SSL VPN网关设备接收资源服务器的IP接入业务应答报文字节数 · Out bytes:SSL VPN网关设备转发给资源服务器的IP接入业务请求报文字节数 |
display sslvpn ipv6 address-pool命令用来显示指定IPv6地址池配置信息。
【命令】
display sslvpn ipv6 address-pool [ pool-name ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
pool-name:表示IPv6地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。若不指定本参数,则显示所有IPv6地址池配置信息。
slot slot-number:显示指定成员设备上的IPv6地址池配置信息,slot-number表示设备在IRF中的成员编号。如果不指定本参数,则显示主设备上的IPv6地址池配置信息。
【举例】
# 显示名称为pool的IPv6地址池配置信息。
<Sysname> display sslvpn ipv6 address-pool pool1
IPv6 address pool name: pool1
IPv6 address pool ID: 2
Start IPv6: 1234::1
End IPv6: 1234::100
表1-12 display sslvpn ipv6 address-pool命令显示信息描述表
字段 |
描述 |
IPv6 address pool name |
IPv6地址池的名称 |
IPv6 address pool ID |
IPv6地址池的ID号 |
Start IPv6 |
IPv6开始地址 |
End IPv6 |
IPv6结束地址 |
display sslvpn policy-group命令用来显示指定策略组的信息。
【命令】
display sslvpn policy-group group-name [ context context-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
group-name:策略组名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
context context-name:显示指定SSL VPN访问实例下的指定策略组的信息。context-name表示SSL VPN访问实例的名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例下的指定名称的策略组信息。
【举例】
# 显示所有SSL VPN访问实例下名称为pg1的策略组的信息。
<Sysname> display sslvpn policy-group pg1
Group policy: pg1
Context: context1
Idle timeout: 35 min
Redirect resource type: url-item
Redirect resource name: url1
Context: context2
Idle timeout: 40 min
Redirect resource: Not configured
表1-13 display sslvpn policy-group命令显示信息描述表
字段 |
描述 |
Group policy |
策略组名称 |
Context |
SSL VPN访问实例名称 |
Idle timeout |
SSL VPN会话可以保持空闲状态的最长时间,单位为分钟 |
Redirect resource |
策略组中授权给SSL VPN的重定向资源 |
Redirect resource type |
策略组中授权给SSL VPN的重定向资源类型 |
Redirect resource name |
策略组中授权给SSL VPN的重定向资源名称 |
display sslvpn port-forward connection命令用来显示TCP端口转发的连接信息。
【命令】
display sslvpn port-forward connection [ context context-name ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
context context-name:显示指定SSL VPN访问实例下的TCP端口转发连接信息。context-name 表示SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例下的TCP端口转发连接信息。
slot slot-number:显示指定成员设备的SSL VPN访问实例下的TCP端口转发连接信息。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示所有成员设备上的SSL VPN访问实例下的TCP端口转发连接信息。
【举例】
# 显示所有SSL VPN访问实例下TCP端口转发的连接信息。
<Sysname> display sslvpn port-forward connection
SSL VPN context : ctx1
Client address : 192.0.2.1
Client port : 1025
Server address : 192.168.0.39
Server port : 80
Slot : 1
Status : Connected
SSL VPN context : ctx2
Client address : 3000::983F:7A36:BD06:342D
Client port : 56190
Server address : 300::1
Server port : 23
Slot : 1
Status : Connecting
表1-14 display sslvpn port-forward connection命令显示信息描述表
字段 |
描述 |
Client address |
SSL VPN客户端的IP地址 |
Client port |
SSL VPN客户端的本地端口号 |
Server address |
企业网内服务器的IP地址 |
Server port |
企业网内服务器的端口号 |
Slot |
设备在IRF中的成员编号 |
Status |
连接状态,取值包括: · Connected:连接成功 · Connecting:正在连接 |
display sslvpn prevent-cracking frozen-ip命令用来显示被防暴力破解功能冻结的IP地址信息。
【命令】
display sslvpn prevent-cracking frozen-ip { statistics | table } [ context context-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
statistics:表示被冻结的IP地址相关统计信息。
table:表示被冻结的IP地址表项信息。
context context-name:表示SSL VPN访问实例的名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例下被冻结的IP地址信息。
【使用指导】
非缺省vSystem不支持本命令。
【举例】
# 显示所有SSL VPN访问实例下被冻结的IP地址统计信息。
<Sysname> display sslvpn prevent-cracking frozen-ip statistics
SSL VPN context: ctx1
Total number of frozen IP addresses: 1
Total number of username/password authentication failures: 1
Total number of code verification failures: 1
Total number of SMS authentication failures: 1
Total number of custom authentication failures: 1
SSL VPN context: ctx2
Total number of frozen IP addresses: 1
Total number of username/password authentication failures: 1
Total number of code verification failures: 1
Total number of SMS authentication failures: 1
Total number of custom authentication failures: 1
# 显示所有SSL VPN访问实例下被冻结的IP地址表项信息。
<Sysname> display sslvpn prevent-cracking frozen-ip table
SSL VPN context: ctx1
IP address Authentication method Frozen at Unfrozen at
8.1.1.80 code verification 2019-10-08 08:30:01 2019-10-08 08:35:04
3.3.3.30 Username/password authentication 2019-10-08 08:35:01 2019-10-08 08:39:04
SSL VPN context: ctx2
IP address Authentication method Frozen at Unfrozen at
121.5.5.32 Username/password authentication 2019-10-08 08:31:01 2019-10-08 08:45:04
123.3.3.3 code verification 2019-10-08 08:35:01 2019-10-08 08:55:04
表1-15 display sslvpn prevent-cracking frozen-ip命令显示信息描述表
字段 |
描述 |
SSL VPN context |
SSL VPN访问实例名称 |
Total number of frozen IP addresses |
访问实例下所有被冻结的IP地址总数目 |
Total number of username/password authentication failures |
访问实例下用户名密码认证失败总数目 |
Total number of code verification failures |
访问实例下验证码验证失败总数目 |
Total number of SMS authentication failures |
访问实例下短信认证失败总数目 |
Total number of custom authentication failures |
访问实例下自定义认证失败总数目 |
IP address |
被冻结的IP地址 |
Authentication method |
防暴力破解统计的SSL VPN用户登录访问实例的认证方式包括: · Username/password authentication:用户名密码认证 · Code verification:验证码验证 · SMS authentication:短信认证 · Custom authentication:自定义认证 以上认证方式可以组合使用,每一种组合认证方式下必须包含用户名密码认证方式,且自定义认证和短信认证不可以同时使用。除了验证码验证,其他认证方式均可以单独使用 |
Frozen at |
IP地址被冻结的时间 |
Unfrozen at |
IP地址预计解冻时间,N/A表示永久冻结 |
display sslvpn session命令用来显示SSL VPN会话信息。
【命令】
display sslvpn session [ context context-name ] [ user user-name | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
context context-name:显示指定SSL VPN访问实例下的SSL VPN会话的简要信息。context-name表示SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SSL VPN访问实例下的SSL VPN会话的简要信息。
user user-name:显示指定或所有SSL VPN访问实例下指定SSL VPN用户对应的SSL VPN会话的详细信息。user-name表示SSL VPN用户名称,为1~63个字符的字符串,不区分大小写。如果不指定本参数,则显示指定或所有SSL VPN访问实例下SSL VPN会话的简要信息。
verbose:显示指定或所有SSL VPN访问实例下SSL VPN会话中所有用户的详细信息。如果不指定本参数,则显示指定或所有SSL VPN访问实例下SSL VPN会话的简要信息。
【举例】
# 显示所有SSL VPN访问实例下SSL VPN会话的简要信息。
<Sysname> display sslvpn session
Total users: 4
SSL VPN context: ctx1
Users: 2
Username Connections Idle time Created User IP
user1 5 0/00:00:23 0/04:47:16 192.0.2.1
user2 5 0/00:00:46 0/04:48:36 192.0.2.2
SSL VPN context: ctx2
Users: 2
Username Connections Idle time Created User IP
user3 5 0/00:00:30 0/04:50:06 192.168.2.1
user4 5 0/00:00:50 0/04:51:16 192.168.2.2
表1-16 display sslvpn session命令简要显示信息描述表
字段 |
描述 |
Total users |
所有访问实例下的总用户数目 |
SSL VPN context |
SSL VPN访问实例名称 |
Users |
当前访问实例下的用户数目 |
Total users |
所有访问实例下的总用户数目 |
Username |
SSL VPN会话的登录用户名称 |
Connections |
SSL VPN会话的连接次数 |
Idle time |
SSL VPN会话的空闲时长,格式为天/时:分:秒 |
Created |
SSL VPN会话的创建时长,格式为天/时:分:秒 |
User IP |
SSL VPN会话使用的IP地址 |
# 显示SSL VPN用户user1对应的SSL VPN会话的详细信息。
<Sysname> display sslvpn session user user1
User : user1
Authentication method : Username/password authentication
Context : context1
Policy group : pgroup
Idle timeout : 30 min
Created at : 13:49:27 UTC Wed 05/14/2014
Lastest : 17:50:58 UTC Wed 05/14/2014
Allocated IPv4 : 2.2.2.1
Allocated IPv6 : 2000::1
User IPv4 address : 192.0.2.1
Session ID : 1
Web browser/OS : Internet Explorer
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
User : user1
Authentication method : Username/password authentication
Context : context2
Policy group : Default
Idle timeout : 2100 sec
Created at : 14:15:12 UTC Wed 05/14/2014
Lastest : 18:56:58 UTC Wed 05/14/2014
User IPv6 address : 0:30::983F:7A36:BD06:342D
Session ID : 5
Web browser/OS : Internet Explorer
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
# 显示SSL VPN会话中所有用户的详细信息。
<Sysname> display sslvpn session verbose
User : user1
Authentication method : Username/password authentication
Context : context1
Policy group : pgroup
Idle timeout : 30 min
Created at : 13:49:27 UTC Wed 05/14/2014
Lastest : 17:50:58 UTC Wed 05/14/2014
User IPv4 address : 192.0.2.1
Session ID : 1
Web browser/OS : Internet Explorer
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
User : user1
Authentication method : Username/password authentication
Context : context2
Policy group : Default
Idle timeout : 2100 sec
Created at : 14:15:12 UTC Wed 05/14/2014
Lastest : 18:56:58 UTC Wed 05/14/2014
User IPv6 address : 0:30::983F:7A36:BD06:342D
Session ID : 5
Web browser/OS : Internet Explorer
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
表1-17 display sslvpn session user和display sslvpn session verbose命令显示信息描述表
字段 |
描述 |
User |
SSL VPN用户的登录名 |
Authentication method |
SSL VPN用户登录访问实例的认证方式,取值包括: · Username/password authentication:用户名密码认证 · Certificate authentication:证书认证 · Code verification:验证码验证 · SMS authentication:短信认证 · Custom authentication:自定义认证 以上认证方式可以组合使用,每一种组合认证方式下必须至少包含用户名密码认证和证书认证中的一种方式,且自定义认证和短信认证不可以同时使用。除了验证码验证,其他认证方式均可以单独使用。 |
Context |
SSL VPN用户所属的SSL VPN访问实例 |
Policy group |
SSL VPN用户使用的策略组 |
Idle timeout |
SSL VPN超时时间 |
Created at |
SSL VPN会话的创建时间 |
Lastest |
用户最近一次访问时间 |
Allocated IPv4 |
iNode客户端分配到的IP地址,通过iNode登录的用户,会显示该字段信息 |
Allocated IPv6 |
iNode客户端分配到的IPv6地址,通过iNode登录的用户,会显示该字段信息 |
User IPv4 address |
SSL VPN会话使用的IPv4地址 |
User IPv6 address |
SSL VPN会话使用的IPv6地址 |
Session ID |
SSL VPN会话的标识 |
Web browser/OS |
SSL VPN登录用户所用的浏览器或操作系统类型信息 |
Send rate |
SSL VPN会话的发送速率,单位取值包括: · B/s:字节/秒 · KB/s:千字节/秒 · MB/s:兆字节/秒 · GB/s:吉字节/秒 · TB/s:太字节/秒 · PB/s:拍字节/秒 |
Receive rate |
SSL VPN会话的接收速率,单位取值包括: · B/s:字节/秒 · KB/s:千字节/秒 · MB/s:兆字节/秒 · GB/s:吉字节/秒 · TB/s:太字节/秒 · PB/s:拍字节/秒 |
Sent bytes |
SSL VPN会话的总发送流量,单位取值包括: · B:字节 · KB:千字节 · MB:兆字节 · GB:吉字节 · TB:太字节 · PB:拍字节 |
Received bytes |
SSL VPN会话的总接收流量,单位取值包括: · B:字节 · KB:千字节 · MB:兆字节 · GB:吉字节 · TB:太字节 · PB:拍字节 |
display sslvpn webpage-customize template命令用来显示SSL VPN页面模板信息。
【命令】
display sslvpn webpage-customize template
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【使用指导】
非缺省vSystem不支持本命令。
【举例】
# 显示所有页面模板信息。
<Sysname> display sslvpn webpage-customize template
Template name Type Status
default Pre-defined Normal
system Pre-defined Normal
User1 User-defined File login.html missing
User2 User-defined File home.html missing
表1-18 display sslvpn webpage-customize template命令显示信息描述表
字段 |
描述 |
Template name |
页面模板的名称 |
Type |
页面模板的类型,取值包括: · Pre-defined:表示该页面模板为预定义页面模板 · User-defined:表示该页面模板为用户自定义页面模板 |
Status |
页面模板的状态,取值包括: · Normal:表示该页面模板完整,可以使用 · File login.html missing:表示该页面模板缺少login.html文件 · File home.html missing:表示该页面模板缺少home.html文件 |
【相关命令】
· sslvpn webpage-customize
· webpage-customize
ecm-id命令用来配置国盾量子交换密码机ID。
undo ecm-id命令用来恢复缺省情况。
【命令】
ecm-id ecm-id
undo ecm-id
【缺省情况】
未配置国盾量子交换密码机ID。
【视图】
SSL VPN国盾量子视图
【缺省用户角色】
network-admin
context-admin
【参数】
ecm-id ecm-id:国盾量子交换密码机ID,为1~31个字符的字符串,区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
国盾量子交换密码机ID为国盾量子交换密码机的唯一标识。设备发送给国盾量子交换密码机的登录请求报文中将会携带此标识,用于设备的身份验证。
国盾量子交换密码机ID需要联系国盾量子管理员获取。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN国盾量子视图下,配置国盾量子交换密码机的ID为34876667890。
<Sysname> system-view
[Sysname] sslvpn gd-quantum
[Sysname-sslvpn-gdquantum] ecm-id 34876667890
emo-server命令用来配置为客户端指定的EMO(Endpoint Mobile Office,终端移动办公)服务器。
undo emo-server命令用来恢复缺省情况。
【命令】
emo-server address { host-name | ipv4-address } port port-number
undo emo-server
【缺省情况】
未配置为客户端指定的EMO服务器。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
address:指定EMO服务器的主机名或IPv4地址。
host-name:EMO服务器的主机名,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。
ipv4-address:EMO服务器的IPv4地址,为点分十进制格式,不能是组播、广播、环回地址。
port port-number:指定EMO服务器使用的端口号。port-number取值范围为1025~65535。
【使用指导】
EMO服务器用来为移动客户端提供服务。执行本命令后,SSL VPN网关会将配置的EMO服务器信息下发给客户端,以便客户端访问EMO服务器。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为ctx1的SSL VPN访问实例下配置EMO服务器地址为10.10.1.1、端口号为9058。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] emo-server address 10.10.1.1 port 9058
exclude命令用来在IPv4路由列表中添加IPv4例外路由。
undo exclude命令用来删除IPv4路由列表中的IPv4例外路由。
【命令】
exclude ip-address { mask | mask-length }
undo exclude ip-address { mask | mask-length }
【缺省情况】
IPv4路由列表中不存在IPv4例外路由。
【视图】
IPv4路由列表视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ip-address:IPv4路由的目的IP地址,不能是组播、广播、环回地址。
mask:IPv4路由目的地址的掩码。
mask-length:IPv4路由目的地址的掩码长度,取值范围为0~32。
【使用指导】
策略组引用路由列表后,SSL VPN网关将路由列表中的例外路由表项下发给客户端。客户端在本地添加这些IPv4路由表项,匹配这些IPv4路由表项的报文将不会被发送给SSL VPN网关。客户端报文按照最长匹配原则选择匹配的IPv4例外路由。通过配置IPv4例外路由,可以防止访问指定网段的报文通过虚拟网卡发送给SSL VPN网关,便于网络管理员灵活设置路由表项。
多次执行本命令,可以在IPv4路由列表中添加多条IPv4例外路由。
通过include命令和exclude命令指定相同的IPv4路由表项时,最后一次执行的命令生效。
【举例】
# 在IPv4路由列表rtlist下添加IPv4例外路由192.168.0.0/16。
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-route-list rtlist
[Sysname-sslvpn-context-ctx1-route-list-rtlist] exclude 192.168.0.0 16
【相关命令】
· include
exclude ipv6命令用来在IPv6路由列表中添加IPv6例外路由。
undo exclude ipv6命令用来删除IPv6路由列表中的IPv6例外路由。
【命令】
exclude ipv6 ipv6-address prefix-length
undo exclude ipv6 ipv6-address prefix-length
【缺省情况】
不存在IPv6例外路由。
【视图】
IPv6路由列表视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6-address:IPv6路由的目的地址,只能是单播或任播地址,不能是多播、环回、本地链路单播地址。
prefix-length:IPv6地址的前缀长度,取值范围为0~128。
【使用指导】
策略组引用IPv6路由列表后,SSL VPN网关将IPv6路由列表中的例外路由表项下发给客户端。客户端在本地添加这些IPv6路由表项,匹配这些IPv6路由表项的报文将不会被发送给SSL VPN网关。客户端报文按照最长匹配原则选择匹配的IPv6例外路由。通过配置IPv6例外路由,可以防止访问指定网段的报文通过虚拟网卡发送给SSL VPN网关,便于网络管理员灵活设置路由表项。
多次执行本命令,可以在IPv6路由列表中添加多条IPv6例外路由。
通过include ipv6命令和exclude ipv6命令指定相同的IPv6路由表项时,最后一次执行的命令生效。
【举例】
#在IPv6路由列表ipv6rtlist下添加IPv6例外路由1234::100,前缀长度为48。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ipv6-route-list ipv6rtlist
[Sysname-sslvpn-context-ctx1-ipv6-route-list-ipv6rtlist] exclude ipv6 1234::100 48
【相关命令】
· include ipv6
execution命令用来配置端口转发表项对应的资源。
undo execution命令用来恢复缺省情况。
【命令】
execution script
undo execution
【缺省情况】
不存在端口转发表项对应的资源。
【视图】
端口转发表项视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
script:端口转发表项对应的资源,为1~255个字符的字符串,不区分大小写。
【使用指导】
SSL VPN网关管理员可以通过以下两种方式配置资源:
· 预定义模板方式:系统预定义了url('url-value')模板,SSL VPN网关管理员只需输入url('url-value'),便可以打开url-value对应的URL链接。url-value由协议类型、主机名称或地址、端口号、资源路径四部分组成,完整格式为“协议类型://主机名称或地址:端口号/资源路径”。
· 自定义方式:SSL VPN网关管理员可以自己编写任意一个可执行的JavaScript脚本,实现访问特定的资源。
每个端口转发表项只能配置一个对应的资源。配置本命令后,用户可以在Web页面上单击指定的链接访问资源。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置端口转发表项pfitem1对应的资源为url(‘https://127.0.0.1’)。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] port-forward-item pfitem1
[Sysname-sslvpn-context-ctx1-forward-item-pfitem1] execution url(‘https://127.0.0.1’)
execution命令用来配置快捷方式对应的资源。
undo execution命令用来恢复缺省情况。
【命令】
execution script
undo execution
【缺省情况】
不存在快捷方式对应的资源。
【视图】
快捷方式视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
script:快捷方式对应的资源,为1~255个字符的字符串,不区分大小写。
【使用指导】
SSL VPN网关管理员可以通过以下两种方式配置资源:
· 预定义模板方式:
¡ url('url-value'):系统预定义了url('url-value')模板,SSL VPN网关管理员只需输入url('url-value'),便可以打开url-value对应的URL链接。url-value由协议类型、主机名称或地址、端口号、资源路径四部分组成,完整格式为“协议类型://主机名称或地址:端口号/资源路径”。
¡ app('app-value'):系统预定义了app('app-value')模板,SSL VPN网关管理员只需输入app('app-value'),便可以打开app-value对应的应用程序。app-value为应用程序路径,例如:“c:\windows\system32\notepad++.exe”,该应用程序路径用于打开应用程序“notepad++.exe”。
· 自定义方式:SSL VPN网关管理员可以自己编写任意一个可执行的JavaScript脚本,实现访问特定的资源。
配置本命令后,用户可以在Web页面上单击指定的快捷方式访问资源。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置快捷方式shortcut1对应的资源为url(‘https://10.0.0.1’)。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] shortcut shortcut1
[Sysname-sslvpn-context-ctx1-shortcut-shortcut1] execution url(‘https://10.0.0.1’)
# 配置快捷方式shortcut2对应的资源为app(‘c:\windows\system32\notepad++.exe’)。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] shortcut shortcut2
[Sysname-sslvpn-context-ctx1-shortcut-shortcut2] execution app(‘c:\windows\system32\notepad++.exe’)
file-policy命令用来创建文件策略,并进入文件策略视图。如果指定的文件策略已经存在,则直接进入该文件策略视图。
undo file-policy命令用来删除指定的文件策略。
【命令】
file-policy policy-name
undo file-policy policy-name
【缺省情况】
不存在文件策略。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
policy-name:文件策略名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
此命令创建的文件策略用于对Web接入方式访问的Web服务器网页文件进行匹配和改写。
同一个SSL VPN访问实例视图中可以配置多个文件策略。
【举例】
# 创建名称为fp的文件策略,并进入文件策略视图。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp]
【相关命令】
· sslvpn context
filter ip-tunnel acl命令用来配置对IP接入进行高级ACL过滤。
undo filter ip-tunnel acl命令用来恢复缺省情况。
【命令】
filter ip-tunnel [ ipv6 ] acl advanced-acl-number
undo filter ip-tunnel [ ipv6 ] acl
【缺省情况】
SSL VPN网关允许SSL VPN客户端访问IP接入资源。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6:指定引用的ACL类型为IPv6 ACL。若不指定该参数,则表示引用IPv4 ACL。
acl advanced-acl-number:用来过滤IP接入报文的高级ACL的编号。advanced-acl-number表示高级ACL,取值范围为3000~3999。引用的ACL规则中不能存在VPN实例,否则该规则不生效。
【使用指导】
用户访问资源时,匹配顺序为:
(1) 进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。
(2) 若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。
(3) 若高级ACL检查失败,则授权失败,用户不允许访问资源。如果引用的ACL不存在,则SSL VPN网关拒绝所有IP接入方式的访问。
若URI ACL和高级ACL均未引用,则SSL VPN网关默认允许所有IP接入方式的访问。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置策略组pg1通过IPv4 ACL 3000和IPv6 ACL 3500过滤IP接入方式访问。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] filter ip-tunnel acl 3000
[Sysname-sslvpn-context-ctx1-policy-group-pg1] filter ip-tunnel ipv6 acl 3500
【相关命令】
· filter ip-tunnel uri-acl
filter ip-tunnel uri-acl命令用来配置对IP接入进行URI ACL过滤。
undo filter ip-tunnel uri-acl命令用来取消IP接入的URI ACL过滤。
【命令】
filter ip-tunnel uri-acl uri-acl-name
undo filter ip-tunnel uri-acl
【缺省情况】
SSL VPN网关允许SSL VPN客户端访问IP接入资源。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
uri-acl-name:URI ACL名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。
【使用指导】
用户访问资源时,匹配顺序为:
(1) 进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。
(2) 若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。
(3) 若高级ACL检查失败,则授权失败,用户不允许访问资源。如果引用的ACL不存在,则SSL VPN网关拒绝所有IP接入方式的访问。
若URI ACL和高级ACL均未引用,则SSL VPN网关默认允许所有IP接入方式的访问。
配置对IP接入进行URI ACL过滤时,指定的URI ACL规则中不能包含HTTP和HTTPS协议,否则该规则不生效。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN策略组abcpg中,配置通过URI ACL abcuriacl过滤IP接入方式访问。
<Sysname> system-view
[Sysname] sslvpn context abc
[Sysname-sslvpn-context-abc] policy-group abcpg
[Sysname-sslvpn-context-abc-policy-group-abcpg] filter ip-tunnel uri-acl abcuriacl
filter tcp-access acl命令用来配置对TCP接入进行高级ACL过滤。
undo filter tcp-access acl命令用来恢复缺省情况。
【命令】
filter tcp-access [ ipv6 ] acl advanced-acl-number
undo filter tcp-access [ ipv6 ] acl
【缺省情况】
SSL VPN网关仅允许SSL VPN客户端访问端口转发列表下的资源。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6:指定引用的ACL类型为IPv6 ACL。如果不指定该参数,则表示引用IPv4 ACL。
acl advanced-acl-number:指定用于过滤TCP接入的高级ACL。advanced-acl-number表示高级ACL的编号,取值范围为3000~3999。引用的ACL规则中不能存在VPN实例,否则该规则不生效。
【使用指导】
对于手机版TCP客户端,用户访问资源时,匹配顺序为:
(1) 优先匹配端口转发资源列表,成功匹配后用户可以访问授权资源。
(2) 若端口转发资源列表匹配失败时,则进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。
(3) 若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。
(4) 若高级ACL检查失败,则授权失败,用户不允许访问资源。
对于PC版TCP客户端,仅当成功匹配端口转发资源列表后用户可以访问授权资源,否则禁止所有客户端访问TCP接入资源。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置策略组pg1通过IPv4 ACL 3000和IPv6 ACL 3500过滤TCP接入。
<Sysname> system-view
[Sysname]sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group pg1] filter tcp-access acl 3000
[Sysname-sslvpn-context-ctx1-policy-group pg1] filter tcp-access ipv6 acl 3500
【相关命令】
· filter tcp-access uri-acl
filter tcp-access uri-acl命令用来配置对TCP接入进行URI ACL过滤。
undo filter tcp-access uri-acl命令用来取消TCP接入的URI ACL的过滤。
【命令】
filter tcp-access uri-acl uri-acl-name
undo filter tcp-access uri-acl
【缺省情况】
SSL VPN网关仅允许SSL VPN客户端访问被授权URL列表下的资源。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
uri-acl-name:URI ACL名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。
【使用指导】
对于手机版TCP客户端,用户访问资源时,匹配顺序为:
(1) 优先匹配端口转发资源列表,成功匹配后用户可以访问授权资源。
(2) 若端口转发资源列表匹配失败时,则进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。
(3) 若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。
(4) 若高级ACL检查失败,则授权失败,用户不允许访问资源。
对于PC版TCP客户端,仅当成功匹配端口转发资源列表后用户可以访问授权资源,否则禁止所有客户端访问TCP接入资源。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN策略组abcpg中,配置通过URI ACL abcuriacl2过滤TCP接入方式访问。
<Sysname> system-view
[Sysname] sslvpn context abc
[Sysname-sslvpn-context-abc] policy-group abcpg
[Sysname-sslvpn-context-abc-policy-group-abcpg] filter tcp-access uri-acl abcuriacl2
【相关命令】
· filter tcp-access acl
filter web-access acl命令用来配置对Web接入进行高级ACL过滤。
undo filter web-access acl命令用来恢复缺省情况。
【命令】
filter web-access [ ipv6 ] acl advanced-acl-number
undo filter web-access [ ipv6 ] acl
【缺省情况】
SSL VPN网关仅允许SSL VPN客户端访问被授权URL列表下的资源。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6:指定引用的ACL类型为IPv6 ACL。如果不指定该参数,则表示引用IPv4 ACL。
acl advanced-acl-number:指定用于过滤Web接入的高级ACL。advanced-acl-number表示高级ACL的编号,取值范围为3000~3999。引用的ACL规则中不能存在VPN实例,否则该规则不生效。
【使用指导】
用户访问资源时,匹配顺序为:
(1) 优先匹配被授权URL列表下的资源,成功匹配后用户可以访问授权资源。
(2) 若被授权URL列表下的资源匹配失败时,则进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。
(3) 若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。
(4) 若高级ACL检查失败,则授权失败,用户不允许访问资源。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置策略组pg1通过IPv4 ACL 3000和IPv6 ACL 3500过滤Web接入。
<Sysname> system-view
[Sysname]sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group pg1] filter web-access acl 3000
[Sysname-sslvpn-context-ctx1-policy-group pg1] filter web-access ipv6 acl 3500
【相关命令】
· filter web-access uri-acl
filter web-access uri-acl命令用来配置对Web接入进行URI ACL过滤。
undo filter web-access uri-acl命令用来取消Web接入的URI ACL的过滤。
【命令】
filter web-access uri-acl uri-acl-name
undo filter web-access uri-acl
【缺省情况】
SSL VPN网关仅允许SSL VPN客户端访问被授权URL列表下的资源。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
uri-acl-name:URI ACL名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。
【使用指导】
用户访问资源时,匹配顺序为:
(1) 优先匹配被授权URL列表下的资源,成功匹配后用户可以访问授权资源。
(2) 若被授权URL列表下的资源匹配失败时,则进行URI ACL的规则检查,成功匹配URI ACL中permit规则后用户的访问请求才允许通过。
(3) 若URI ACL匹配失败时,再进行高级ACL的检查,成功匹配permit规则后用户的访问请求才允许通过。
(4) 若高级ACL检查失败,则授权失败,用户不允许访问资源。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN策略组abc中,配置通过URI ACL abcuriacl1过滤Web接入方式访问。
<Sysname> system-view
[Sysname] sslvpn context abc
[Sysname-sslvpn-context-abc] policy-group abcpg
[Sysname-sslvpn-context-abc-policy-group-abcpg] filter web-access uri-acl abcuriacl1
【相关命令】
· filter web-access acl
force-logout命令用来强制在线用户下线。
【命令】
force-logout [ all | session session-id | user user-name ]
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
all:强制所有用户下线。
session session-id:强制指定会话的用户下线。session-id表示用户会话标识,取值范围为1~4294967295。
user user-name:强制指定用户名的用户下线。user-name表示SSL VPN用户名称,为1~63个字符的字符串,区分大小写。
【举例】
# 强制会话标识为1的用户下线。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] force-logout session 1
force-logout max-onlines enable命令用来开启达到最大在线数时的用户强制下线功能。
undo force-logout max-onlines enable命令用来关闭达到最大在线数时的用户强制下线功能。
【命令】
force-logout max-onlines enable
undo force-logout max-onlines enable
【缺省情况】
达到最大在线数时的用户强制下线功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
当某个用户达到同一用户名同时最大在线数,该用户再次登录时,如果开启了本功能,则从该用户的在线连接中选择一个空闲时间最长的,强制其下线,新登录用户上线;如果未开启本功能,则不允许新用户登录。
【举例】
# 开启达到最大在线数再登录时强制下线功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] force-logout max-onlines enable
gateway命令用来配置短信网关认证引用短信网关。
undo gateway命令用来恢复缺省情况。
【命令】
gateway sms-gateway-name
undo gateway
【缺省情况】
未引用短信网关。
【视图】
短信网关认证视图
【缺省用户角色】
network-admin
context-admin
【参数】
sms-gateway-name:短信网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
【举例】
# 在sms-gw短信网关认证视图下配置引用短信网关gw1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw] gateway gw1
gateway命令用来配置SSL VPN访问实例引用SSL VPN网关。
undo gateway命令用来删除指定的SSL VPN网关。
【命令】
gateway gateway-name [ domain domain-name | virtual-host virtual-host-name ]
undo gateway [ gateway-name ]
【缺省情况】
未引用SSL VPN网关。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
gateway-name:SSL VPN网关名称。为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。
domain domain-name:域名,为1~127个字符的字符串,不区分大小写,支持输入中文字符。
virtual-host virtual-host-name:虚拟主机名称,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。
【使用指导】
多个SSL VPN访问实例引用同一个SSL VPN网关时,可以通过以下方法判断远端接入用户所属的SSL VPN访问实例:
· 为不同的SSL VPN访问实例指定不同的域名。远端用户登录SSL VPN网关时,指定自己所在的域,SSL VPN网关根据用户指定的域判断该用户所属的SSL VPN访问实例。
· 为不同的SSL VPN访问实例、指定不同的虚拟主机名称。远端用户访问SSL VPN网关时,输入虚拟主机名称,SSL VPN网关根据虚拟主机名称判断该用户所属的SSL VPN访问实例。
如果SSL VPN访问实例引用SSL VPN网关时没有指定域名和虚拟主机名称,那么其他的SSL VPN访问实例就不能再引用该SSL VPN网关。
在同一个SSL VPN访问实例视图下,最多可以引用10个SSL VPN网关。
【举例】
# 配置名为ctx1的SSL VPN访问实例引用SSL VPN网关gw1,域名为domain1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] gateway gw1 domain domain1
【相关命令】
· display sslvpn context
gd-quantum encryption enable命令用来开启国盾量子加密功能。
undo gd-quantum encryption enable命令用来关闭国盾量子加密功能。
【命令】
gd-quantum encryption enable [ mandatory ]
undo gd-quantum encryption enable
【缺省情况】
国盾量子加密功能处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
context-admin
mandatory:表示国盾量子强制加密功能。若不指定该参数,则表示不强制SSL VPN用户采用国盾量子加密功能。
【使用指导】
开启国盾量子加密功能后,当iNode客户端与SSL VPN网关进行SSL协商时,将使用从国盾量子服务器获取的密钥参与协商,生成最终的对称密钥。iNode客户端和SSL VPN网关将使用该对称密钥,对SSL VPN用户的业务数据进行加解密。
借助量子密钥的安全性,可进一步提升SSL VPN业务的安全性。
SSL VPN网关上开启非强制国盾量子加密功能后(即未设置mandatory参数),如果iNode客户端与SSL VPN网关进行SSL协商时使用了量子加密功能,那么该协商过程会使用量子密钥;如果iNode客户端没用使用量子加密功能或SSL VPN用户通过Web接入,则使用非量子密钥方式进行SSL协商。开启国盾量子强制加密功能后(设置mandatory参数),则SSL VPN网关只能接受使用量子加密功能的iNode客户端与之进行SSL协商,其他客户端无法接入。
本功能仅在SSL VPN IP接入方式下生效,且iNode客户端需要支持国盾量子加密功能。
国盾量子强制加密功能可以进一步增强SSL VPN网关的安全性,但会降低对其它SSL VPN用户接入的兼容性,请在必要的场景下开启。
非缺省vSystem不支持本命令。
【举例】
# 在SSL VPN网关视图下,开启国盾量子加密功能。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] gd-quantum encryption enable
heading命令用来配置URL列表标题。
undo heading命令用来删除URL列表标题。
【命令】
heading string
undo heading
【缺省情况】
URL列表的标题为“Web”。
【视图】
URL列表视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
string:URL列表标题,为1~31个字符的文本字符串,区分大小写,支持输入中文字符。
【举例】
# 配置URL列表的标题为urlhead。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-list url
[Sysname-sslvpn-context-ctx1-url-list-url] heading urlhead
【相关命令】
· sslvpn context
· url-list
http-redirect命令用来开启HTTP流量的重定向功能。
undo http-redirect命令用来关闭HTTP流量的重定向功能。
【命令】
http-redirect [ port port-number ]
undo http-redirect
【缺省情况】
HTTP流量的重定向功能处于关闭状态,SSL VPN网关不会处理HTTP流量。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
port-number:需要重定向的HTTP流量的端口号,取值范围为80、1025~65535,缺省值为80。
【使用指导】
配置该命令后,SSL VPN网关将监听指定的端口号,并把指定端口号的HTTP流量重定向到HTTPS服务监听的端口,向客户端发送重定向报文,让客户端重新以HTTPS方式登录。
【举例】
# 为端口号为1025的HTTP流量开启重定向功能。
<Sysname> system-view
[Sysname] sslvpn gateway gateway1
[Sysname-sslvpn-gateway-gateway1] http-redirect port 1025
idle-cut traffic-threshold命令用来配置SSL VPN会话保持空闲状态的流量阈值。
undo idle-cut traffic-threshold命令用来恢复缺省情况。
【命令】
idle-cut traffic-threshold kilobytes
undo idle-cut traffic-threshold
【缺省情况】
SSL VPN会话保持空闲状态的流量阈值为0千字节。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
kilobytes:表示SSL VPN会话保持空闲状态的流量阈值,取值范围为1~4294967295,单位为千字节。
【使用指导】
配置该命令后,SSL VPN网关将会对SSL VPN会话保持空闲状态的流量进行统计,如果在timeout idle命令配置的时间范围内SSL VPN用户发送至SSL VPN网关的流量未达到配置的流量阈值,则SSL VPN网关将断开该会话。
若修改本命令或timeout idle命令配置的值,则会清空已统计的流量。
【举例】
# 在SSL VPN访问实例ctx1下配置流量阈值为1000千字节。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] idle-cut traffic-threshold 1000
【相关命令】
· timeout idle
include命令用来在IPv4路由列表中添加路由。
undo include命令用来删除IPv4路由列表中的路由。
【命令】
include ip-address { mask | mask-length }
undo include ip-address { mask | mask-length }
【缺省情况】
不存在IPv4路由。
【视图】
IPv4路由列表视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ip-address:IPv4路由的目的地址,不能是组播、广播、环回地址。
mask:IPv4路由目的地址的掩码。
mask-length:IPv4路由的掩码长度,取值范围为0~32。
【使用指导】
本命令指定的目的网段需要是企业内部服务器所在的网络。策略组引用路由列表后,SSL VPN网关将IPv4路由列表中的路由表项下发给客户端。客户端在本地添加这些IPv4路由表项,以便客户端将访问企业网络内部服务器的报文通过虚拟网卡发送给SSL VPN网关,防止这些报文进入Internet。
多次执行本命令,可以在IPv4路由列表中添加多条IPv4路由。
通过include命令和exclude命令指定相同的IPv4路由表项时,最后一次执行的命令生效。
【举例】
# 在IPv4路由列表rtlist下添加IPv4路由10.0.0.0/8。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-route-list rtlist
[Sysname-sslvpn-context-ctx1-route-list-rtlist] include 10.0.0.0 8
【相关命令】
· exclude
include ipv6命令用来在IPv6路由列表中添加IPv6路由。
undo include ipv6命令用来删除IPv6路由列表中的IPv6路由。
【命令】
include ipv6 ipv6-address prefix-length
undo include ipv6 ipv6-address prefix-length
【缺省情况】
不存在IPv6路由。
【视图】
IPv6路由列表视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6-address:IPv6路由的目的地址,只能是单播或任播地址,不能是多播、环回、本地链路单播地址。
prefix-length:IPv6地址的前缀长度,取值范围为0~128。
【使用指导】
本命令指定的目的网段需要是企业内部服务器所在的网络。策略组引用IPv6路由列表后,SSL VPN网关将IPv6路由列表中的路由表项下发给客户端。客户端在本地添加这些路由表项,以便客户端将访问企业网络内部服务器的报文通过虚拟网卡发送给SSL VPN网关,防止这些报文进入Internet。
多次执行本命令,可以在IPv6路由列表中添加多条IPv6路由。
通过include ipv6命令和exclude ipv6命令指定相同的IPv6路由表项时,最后一次执行的命令生效。
【举例】
# 在IPv6路由列表ipv6rtlist下添加IPv6路由1234::100,前缀长度为48。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ipv6-route-list ipv6rtlist
[Sysname-sslvpn-context-ctx1-ipv6-route-list-ipv6rtlist] include ipv6 1234::100 48
【相关命令】
· exclude ipv6
interface sslvpn-ac命令用来创建SSL VPN AC接口,并进入SSL VPN AC接口视图。如果指定的SSL VPN AC接口已经存在,则直接进入SSL VPN AC接口视图。
undo interface sslvpn-ac命令用来删除指定的SSL VPN AC接口。
【命令】
interface sslvpn-ac interface-number
undo interface sslvpn-ac interface-number
【缺省情况】
不存在SSL VPN AC接口。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
interface-number:SSL VPN AC接口的编号,取值范围为0~4095。
【举例】
# 创建SSL VPN AC接口1000,并进入SSL VPN AC接口视图。
<Sysname>system-view
[Sysname]interface SSLVPN-AC 1000
[Sysname-SSLVPN-AC1000]
ip address命令用来配置SSL VPN网关的IPv4地址和端口号。
undo ip address命令用来恢复缺省情况。
【命令】
ip address ip-address [ port port-number ]
undo ip address
【缺省情况】
SSL VPN网关的IP地址为0.0.0.0,端口号为443。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ip-address:SSL VPN网关的IPv4地址,为点分十进制格式。
port port-number:指定SSL VPN网关的端口号。port-number取值范围为443、1025~65535,缺省值为443。
【使用指导】
远端接入用户可以通过本命令配置的IPv4地址和端口号访问SSL VPN网关。当配置的IP地址为非缺省IP地址时,本命令指定的IP地址应为SSL VPN网关上接口的IP地址,并需要保证该IP地址路由可达。
SSL VPN网关使用缺省地址时,端口号不能与设备的HTTPS管理地址的端口号相同。
SSL VPN网关的IPv4地址和端口号与HTTPS管理地址和端口号不能完全相同,如果完全相同,则用户访问此地址和端口时,只能访问SSL VPN网关页面,而不能访问设备的管理页面。
SSL VPN网关的IPv4地址和IPv6地址不能同时生效,若同时配置了IPv4地址和IPv6地址(通过ipv6 address命令),则最后一次配置的IP地址生效。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置SSL VPN网关的IPv4地址为10.10.1.1、端口号为8000。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip address 10.10.1.1 port 8000
【相关命令】
· display sslvpn gateway
· ipv6 address
ip-route-list命令用来创建IPv4路由列表,并进入IPv4路由列表视图。如果指定的IPv4路由列表已经存在,则直接进入IPv4路由列表视图。
undo ip-route-list命令用来删除指定的IPv4路由列表。
【命令】
ip-route-list list-name
undo ip-route-list list-name
【缺省情况】
不存在IPv4路由列表。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
list-name:IPv4路由列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
【使用指导】
在IPv4路由列表视图下,可以配置IPv4路由表项,客户端可以通过这些IPv4路由表项访问企业网络内部的服务器。
若IPv4路由列表被策略组引用,则不允许删除该IPv4路由列表。请先通过undo ip-tunnel access-route命令取消引用,再执行本命令删除IPv4路由列表。
【举例】
# 在名为ctx1的SSL VPN访问实例下,创建IPv4路由列表rtlist,并进入IPv4路由列表视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-route-list rtlist
[Sysname-sslvpn-context-ctx1-route-list-rtlist]
【相关命令】
· ip-tunnel access-route
ip-tunnel access-route命令用来配置下发给客户端的IPv4路由表项。
undo ip-tunnel access-route命令用来恢复缺省情况。
【命令】
ip-tunnel access-route { ip-address { mask-length | mask } | force-all | ip-route-list list-name }
undo ip-tunnel access-route
【缺省情况】
未指定下发给客户端的IPv4路由表项。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ip-address { mask-length | mask }:将IPv4指定路由下发给客户端。ip-address为IPv4路由的目的地址,不能是组播、广播、环回地址;mask-length为路由的掩码长度,取值范围为0~32;mask为路由的掩码。
force-all:强制将客户端的流量转发给SSL VPN网关。
ip-route-list list-name:将指定IPv4路由列表中的IPv4路由表项下发给客户端。list-name表示IPv4路由列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。本参数指定的IPv4路由列表必须先通过ip-route-list命令创建。
【使用指导】
客户端通过IP接入方式访问网关时,网关将指定的路由下发给客户端。客户端若访问该网段内的服务器,报文就会通过虚拟网卡发送给SSL VPN网关,防止报文进入Internet。
通过指定IPv4路由列表,可以同时将IPv4路由列表中的多条IPv4路由下发给客户端。若只需要为客户端下发一条路由,则可以直接配置ip-address { mask-length | mask }参数,无需指定IPv4路由列表。
执行本命令时如果指定了force-all参数,则SSL VPN网关将在客户端上添加优先级最高的缺省IPv4路由,IPv4路由的出接口为虚拟网卡,从而使得所有没有匹配到IPv4路由表项的流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端,不允许SSL VPN客户端删除此缺省IPv4路由,且不允许SSL VPN客户端添加优先级高于此路由的缺省路由。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在策略组pg1下,配置将IPv4路由列表rtlist中的IPv4路由下发给客户端。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-route-list rtlist
[Sysname-sslvpn-context-ctx1-route-list-rtlist] include 10.0.0.0 8
[Sysname-sslvpn-context-ctx1-route-list-rtlist] include 20.0.0.0 8
[Sysname-sslvpn-context-ctx1-route-list-rtlist] quit
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] ip-tunnel access-route ip-route-list rtlist
【相关命令】
· ip-route-list
ip-tunnel address-pool命令用来配置IP接入引用IPv4地址池。
undo ip-tunnel address-pool命令用来恢复缺省情况。
【命令】
ip-tunnel address-pool pool-name mask { mask-length | mask }
undo ip-tunnel address-pool
【缺省情况】
IP接入未引用IPv4地址池。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
pool-name:引用的IPv4地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
mask { mask-length | mask }:指定IPv4地址池的掩码或掩码长度。mask-length表示地址池的掩码长度,取值范围为1~30;mask表示地址池的掩码。
【使用指导】
客户端使用IP接入方式访问SSL VPN网关时,网关需要为客户端分配IP地址。SSL VPN访问实例引用的IPv4地址池,若用户被授权的策略组没有引用IPv4地址池,则从此IPv4地址池为用户分配地址。若地址池中无可用地址,则分配失败。
本命令可以引用不存在的IPv4地址池。但此时SSL VPN网关无法为客户端分配IPv4地址。只有创建IPv4地址池后,SSL VPN网关才可以为客户端分配IPv4地址。
每个SSL VPN访问实例视图下只能引用一个IPv4地址池。多次执行本命令,最后一次执行的命令生效。
为了不影响用户接入,请管理员合理规划IP地址,避免地址池中的地址与设备上其他地址冲突。
【举例】
# 配置IP接入引用IPv4地址池pool1。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] ip-tunnel address-pool pool1 mask 24
【相关命令】
· sslvpn ip address-pool
ip-tunnel address-pool命令用来配置IP接入引用IPv4地址池。
undo ip-tunnel address-pool命令用来恢复缺省情况。
【命令】
ip-tunnel address-pool pool-name mask { mask-length | mask }
undo ip-tunnel address-pool
【缺省情况】
策略组下IP接入未引用IPv4地址池。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
pool-name:引用的IPv4地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
mask { mask-length | mask }:指定IPv4地址池的掩码或掩码长度。mask-length表示地址池的掩码长度,取值范围为1~30;mask表示地址池的掩码。
【使用指导】
客户端使用IP接入方式访问SSL VPN网关时,网关需要为客户端分配IP地址。本命令指定了SSL VPN策略组引用的IPv4地址池,当用户被授权了该策略组之后,将从此IPv4地址池中为用户分配地址。
当SSL VPN访问实例和策略组下同时引用IPv4地址池时,将从策略组下的IPv4地址池分配地址,若地址池中无可用地址,则分配失败。当策略组中未引用IPv4地址池时,从访问实例的IPv4地址池中分配地址。
本命令可以引用不存在的IPv4地址池,但是不能从该地址池分配地址,只有创建地址池后,SSL VPN网关才可以为使用该地址池为客户端分配IPv4地址。
每个SSL VPN策略组下只能引用一个IPv4地址池。多次执行本命令,最后一次执行的命令生效。
为了不影响用户接入,请管理员合理规划IP地址,避免地址池中的地址与设备上其他地址冲突。
【举例】
# 在策略组pg1下配置用户IP接入引用IPv4地址池pool1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] ip-tunnel address-pool pool1 mask 24
【相关命令】
ip-tunnel bind address命令用来配置SSL VPN用户绑定IPv4地址。
undo ip-tunnel bind address命令用来恢复缺省情况。
【命令】
ip-tunnel bind address { ip-address-list | auto-allocate number }
undo ip-tunnel bind address
【缺省情况】
SSL VPN用户未绑定IPv4地址。
【视图】
SSL VPN用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ip-address-list:为该用户绑定分配的IPv4地址列表,为1~255个字符的字符串,只能包含数字、“.”、“,”和“-”,列表中不能包含组播、广播、环回地址。列表中可以包含IPv4地址和地址范围,地址或地址范围之间以“,”隔开,地址范围中的起始和结束地址用“-”隔开。例如:10.1.1.5,10.1.1.10-10.1.1.20。列表中包含的IPv4地址个数最多为10000个。
auto-allocate number:SSL VPN网关为客户端自动分配空闲的IPv4地址。number表示自动分配的IPv4地址的数目,取值范围为1~10。
【使用指导】
客户端使用IP接入方式访问SSL VPN网关时,网关需要为客户端分配IPv4地址。通过本命令可以指定SSL VPN网关为客户端分配的IPv4地址:
· 若指定了参数ip-address-list,则当网关从地址池中为客户端分配IPv4地址时,优先分配绑定的IPv4地址。如果IPv4地址列表中的地址已被分配给其他用户,则断开其他用户的连接并释放其IPv4地址。
· 若指定了参数auto-allocate number,则网关会从地址池中获取number个空闲IPv4地址,为该用户绑定。
当SSL VPN策略组中引用了地址池时,配置SSL VPN用户绑定的IPv4地址必须是此地址池中的IP地址。
当SSL VPN策略组中未引用地址池时,配置SSL VPN用户绑定的IPv4地址必须是此SSL VPN访问实例引用的地址池中的IPv4地址。
未关联VPN实例或在同一VPN实例中,不同SSL VPN用户不能绑定相同的IPv4地址。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为用户user1绑定分配的IPv4地址为10.1.1.5,10.1.1.10~10.1.1.20和10.1.1.30。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] user user1
[Sysname-sslvpn-context-ctx-user-user1] ip-tunnel bind address 10.1.1.5,10.1.1.10-10.1.1.20,10.1.1.30
【相关命令】
· user
ip-tunnel dns-server命令用来配置为客户端指定的内网DNS服务器IPv4地址。
undo ip-tunnel dns-server命令用来恢复缺省情况。
【命令】
ip-tunnel dns-server { primary | secondary } ip-address
undo ip-tunnel dns-server { primary | secondary }
【缺省情况】
未配置为客户端指定的DNS服务器IPv4地址。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
primary:指定主DNS服务器。
secondary:指定备DNS服务器。
ip-address:DNS服务器的IPv4地址,不能是组播、广播、环回地址。
【举例】
# 配置为客户端指定的主DNS服务器IPv4地址为1.1.1.1。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] ip-tunnel dns-server primary 1.1.1.1
ip-tunnel enable命令用来开启角色的IP接入功能。
undo ip-tunnel enable命令用来关闭角色的IP接入功能。
【命令】
ip-tunnel enable
undo ip-tunnel enable
【缺省情况】
角色的IP接入功能处于关闭状态。
【视图】
角色视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
在角色中开启IP接入功能后,属于该角色的SSL VPN用户将可以使用IP接入方式访问内网资源。
【举例】
# 在角色role1中,开启IP接入功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-contxt-ctx] role role1
[Sysname-sslvpn-contxt-ctx-role-role1] ip-tunnel enable
ip-tunnel interface命令用来配置IP接入引用的SSL VPN AC接口。
undo ip-tunnel interface命令用来恢复缺省情况。
【命令】
ip-tunnel interface sslvpn-ac interface-number
undo ip-tunnel interface
【缺省情况】
IP接入未引用SSL VPN AC接口。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
sslvpn-ac interface-number:引用的SSL VPN AC接口。interface-number为SSL VPN AC接口编号,取值范围为设备上已创建的SSL VPN AC接口的编号。指定的SSL VPN AC接口必须在设备上已经存在。
【使用指导】
当SSL VPN用户使用IP接入方式访问SSL VPN网关时,网关使用指定的SSL VPN AC接口与客户端通信。网关从SSL VPN AC接口接收到客户端发送的报文后,将报文转发到远端服务器;服务器做出响应后,网关会把应答报文通过SSL VPN AC接口发给客户端。
【举例】
# 指定IP接入引用的接口为SSL VPN AC 100。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] ip-tunnel interface sslvpn-ac 100
【相关命令】
· interface sslvpn-ac
ip-tunnel ipv6 access-route命令用来配置下发给客户端的IPv6路由表项。
undo ip-tunnel ipv6 access-route命令用来恢复缺省情况。
【命令】
ip-tunnel ipv6 access-route { ipv6-address prefix-length | ipv6-route-list ipv6-list-name }
undo ip-tunnel ipv6 access-route
【缺省情况】
未指定下发给客户端的IPv6路由表项。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6-address prefix-length:将指定IPv6路由下发给客户端。ipv6-address为IPv6路由的目的地址,只能是单播或任播地址,不能是多播、环回、本地链路单播地址;prefix-length为IPv6路由的前缀长度,取值范围为0~128。
ipv6-route-list ipv6-list-name:将指定IPv6路由列表中的路由表项下发给客户端。ipv6-list-name表示IPv6路由列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。本参数指定的IPv6路由列表必须先通过ipv6-route-list命令创建。
【使用指导】
客户端通过IP接入方式访问网关时,网关将指定的IPv6路由下发给客户端。客户端若访问该网段内的服务器,报文就会通过虚拟网卡发送给SSL VPN网关,防止报文进入Internet。
通过指定IPv6路由列表,可以同时将IPv6路由列表中的多条路由下发给客户端。若只需要为客户端下发一条IPv6路由,则可以直接配置ipv6-address prefix-length参数,无需指定路由列表。多次执行本命令,最后一次执行的命令生效。
【举例】
#在SSL VPN策略组pg1下配置将IPv6路由列表ipv6rtlist中的路由下发给客户端。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ipv6-route-list ipv6rtlist
[Sysname-sslvpn-context-ctx1-ipv6-route-list-ipv6rtlist] include ipv6 1234::100 64
[Sysname-sslvpn-context-ctx1-ipv6-route-list-ipv6rtlist] quit
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] ip-tunnel ipv6 access-route ipv6-route-list ipv6rtlist
【相关命令】
· ipv6-route-list
ip-tunnel ipv6 access-route force-all命令用来配置强制将客户端的IPv6流量转发给SSL VPN网关。
undo ip-tunnel ipv6 access-route force-all命令用来恢复缺省情况。
【命令】
ip-tunnel ipv6 access-route force-all
undo ip-tunnel ipv6 access-route force-all
【缺省情况】
未配置强制将客户端的IPv6流量转发给SSL VPN网关。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
force-all:强制将客户端的IPv6流量转发给SSL VPN网关。
【使用指导】
执行本命令时SSL VPN网关将在客户端上添加优先级最高的缺省IPv6路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到IPv6路由表项的IPv6流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端,不允许SSL VPN客户端删除此缺省IPv6路由,且不允许SSL VPN客户端添加优先级高于此IPv6路由的缺省IPv6路由。
【举例】
#在SSL VPN策略组pg1下配置强制将客户端的IPv6流量转发给SSL VPN网关。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] ip-tunnel ipv6 access-route force-all
ip-tunnel ipv6 address-pool命令用来配置IP接入引用IPv6地址池。
undo ip-tunnel ipv6 address-pool命令用来恢复缺省情况。
【命令】
ip-tunnel ipv6 address-pool ipv6-pool-name prefix prefix-length
undo ip-tunnel ipv6 address-pool
【缺省情况】
IP接入未引用IPv6地址池。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6-pool-name:引用的IPv6地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
prefix prefix-length:指定IPv6地址池的前缀长度,取值范围为1~127。
【使用指导】
客户端使用IP接入方式访问SSL VPN网关时,网关需要为客户端分配IP地址。SSL VPN访问实例引用的IPv6地址池,若用户被授权的策略组没有引用IPv6地址池,则从此IPv6地址池为用户分配地址。若地址池中无可用地址,则分配失败。
本命令可以引用不存在的IPv6地址池。但此时SSL VPN网关无法为客户端分配IPv6地址。只有创建IPv6地址池后,SSL VPN网关才可以为客户端分配IPv6地址。每个SSL VPN访问实例视图下只能引用一个IPv6地址池。多次执行本命令,最后一次执行的命令生效。为了不影响用户接入,请管理员合理规划IP地址,避免地址池中的地址与设备上其他地址冲突。
【举例】
# 在SSL VPN访问实例ctx1下配置IP接入引用IPv6地址池pool1,前缀长度为48。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-tunnel ipv6 address-pool pool1 prefix 48
ip-tunnel ipv6 address-pool命令用来配置IP接入引用IPv6地址池。
undo ip-tunnel ipv6 address-pool命令用来恢复缺省情况。
【命令】
ip-tunnel ipv6 address-pool ipv6-pool-name prefix prefix-length
undo ip-tunnel ipv6 address-pool
【缺省情况】
策略组下IP接入未引用IPv6地址池。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6-pool-name:引用的IPv6地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
prefix prefix-length:指定IPv6地址池的前缀长度,取值范围为1~127。
【使用指导】
客户端使用IP接入方式访问SSL VPN网关时,网关需要为客户端分配IP地址。本命令指定了SSL VPN策略组引用的IPv6地址池,当用户被授权了该策略组之后,将从此IPv6地址池中为用户分配地址。当SSL VPN访问实例和策略组下同时引用IPv6地址池时,将从策略组下的IPv6地址池分配地址,若地址池中无可用地址,则分配失败。当策略组中未引用IPv6地址池时,将从访问实例的IPv6地址池中分配地址。
本命令可以引用不存在的IPv6地址池,但是不能从该地址池分配地址,只有创建地址池后,SSL VPN网关才可以使用该地址池为客户端分配IPv6地址。
每个SSL VPN策略组下只能引用一个IPv6地址池。多次执行本命令,最后一次执行的命令生效。
为了不影响用户接入,请管理员合理规划IP地址,避免地址池中的地址与设备上其他地址冲突。
【举例】
# 在SSL VPN策略组pg1下配置IP接入引用IPv6地址池pool1,前缀长度为48。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] ip-tunnel ipv6 address-pool pool1 prefix 48
【相关命令】
· sslvpn ipv6 address-pool
ip-tunnel ipv6 bind address 命令用来配置SSL VPN用户绑定IPv6地址。
undo ip-tunnel ipv6 bind address命令用来恢复缺省情况
【命令】
ip-tunnel ipv6 bind address { ipv6-address-list | auto-allocate number }
undo ip-tunnel ipv6 bind address
【缺省情况】
SSL VPN用户未绑定IPv6地址。
【视图】
SSL VPN用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6-address-list:为该用户绑定分配的IPv6地址列表,为1~459个字符的字符串,只能包含十六进制数字、“:”、“,”和“-”,列表中只能是单播或任播地址,不能是未指定、多播、环回地址。列表中可以包含IPv6地址和IPv6地址范围,地址和地址范围之间以“,”隔开,地址范围中的起始和结束地址用“-”隔开,结束地址必须大于或等于起始地址。例如:1234::10,1234::100-1234::200。列表中包含的IPv6地址个数最多为10000个。
auto-allocate number:SSL VPN网关为客户端自动分配空闲的IPv6地址。number表示自动分配的IPv6地址的数目,取值范围为1~10。
【使用指导】
客户端使用IP接入方式访问SSL VPN网关时,网关需要为客户端分配IP地址。通过本命令可以指定SSL VPN网关为客户端分配的IPv6地址:
· 若指定了参数ipv6-address-list,则当网关从IPv6地址池中为客户端分配IPv6地址时,优先分配绑定的IPv6地址。如果IP地址列表中的地址已被分配给其他用户,则断开其他用户的连接并释放其IPv6地址。
· 若指定了参数auto-allocate number,则网关会从IPv6地址池中获取number个空闲IPv6地址,为该用户绑定。
当SSL VPN策略组中引用了IPv6地址池时,配置SSL VPN用户绑定的IPv6地址必须是此IPv6地址池中的地址。
当SSL VPN策略组中未引用IPv6地址池时,配置SSL VPN用户绑定的IPv6地址必须是此SSL VPN访问实例引用的IPv6地址池中的地址。
未关联VPN实例或在同一VPN实例中,不同SSL VPN用户不能绑定相同的IPv6地址。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为用户user1绑定分配的IPv6地址为1234::10,1234::100-1234::200和1234::20。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] user user1
[Sysname-sslvpn-context-ctx1-user-user1] ip-tunnel ipv6 bind address 1234::10,1234::100-1234::200,1234::20
【相关命令】
· user
ip-tunnel ipv6 dns-server命令用来配置为客户端指定的内网DNS服务器IPv6地址。
undo ip-tunnel ipv6 dns-server命令用来恢复缺省情况。
【命令】
ip-tunnel ipv6 dns-server { primary | secondary } ipv6-address
undo ip-tunnel ipv6 dns-server { primary | secondary }
【缺省情况】
未配置为客户端指定的DNS服务器的IPv6地址。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
primary:指定主DNS服务器。
secondary:指定备DNS服务器。
ipv6-address:DNS服务器的IPv6地址,只能是单播或任播地址,不能是未指定、多播、环回地址、链路本地地址。
【举例】
# 在SSL VPN访问实例ctx1下配置为客户端指定的主DNS服务器的IPv6地址为1234::100。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-tunnel ipv6 dns-server primary 1234::100
ip-tunnel keepalive命令用来配置保活报文的发送时间间隔。
undo ip-tunnel keepalive命令用来恢复缺省情况。
【命令】
ip-tunnel keepalive seconds
undo ip-tunnel keepalive
【缺省情况】
保活报文的发送时间间隔为30秒。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
seconds:保活报文的发送间隔时间,取值范围为0~600,单位为秒。如果保活报文发送时间间隔配置为0,则客户端不发送保活报文。
【使用指导】
保活报文由客户端发送给网关,用于维持客户端和网关之间的会话。
如果SSL VPN会话的空闲时间超过timeout idle命令指定的时间,即在该命令指定的时间内,既没有收到客户端发送的数据报文,也没有收到保活报文,则会断开客户端与网关之间的会话。
通常情况下,配置的保活报文发送时间间隔应该小于timeout idle命令配置的最大空闲时间。
【举例】
# 在SSL VPN访问实例ctx下配置保活报文的发送时间间隔为50秒。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] ip-tunnel keepalive 50
ip-tunnel log命令用来开启IP接入的日志生成功能。
undo ip-tunnel log命令用来关闭IP接入的日志功能。
【命令】
ip-tunnel log { address-alloc-release | connection-close | packet-drop }
undo ip-tunnel log { address-alloc-release | connection-close | packet-drop }
【缺省情况】
IP接入的日志功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
address-alloc-release:IP接入客户端虚拟网卡IP地址分配和释放的日志开关。
connection-close:IP接入连接关闭日志的开关。
packet-drop:IP接入丢包日志开关。
【使用指导】
IP接入日志包括以下三种:
· 客户端虚拟网卡IP地址分配和释放日志:IP接入方式下,SSL VPN网关为客户端虚拟网卡分配和释放IP地址时,SSL VPN网关会生成日志信息。
· 连接关闭日志:IP接入建立的连接被关闭时,SSL VPN网关会生成日志信息。
· 丢包日志:IP接入建立的连接发生丢包时,SSL VPN网关会生成日志信息。
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 开启SSL VPN 访问实例ctx1的丢包日志功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-tunnel log connection-close
【相关命令】
· sslvpn context
ip-tunnel rate-limit命令用来开启IP接入方式的限速功能,并配置限速速率。
undo ip-tunnel rate-limit命令用来关闭指定方向的IP接入方式限速功能。
【命令】
ip-tunnel rate-limit { downstream | upstream } { kbps | pps } value
undo ip-tunnel rate-limit { downstream | upstream }
【缺省情况】
IP接入方式的限速功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
downstream:下行流量,即内网资源服务器发送给SSL VPN用户的流量。
upstream:上行流量,即SSL VPN用户访问内网资源服务器的流量。
kbps:表示限速速率单位为千比特每秒。
pps:表示限速速率单位为报文数每秒。
value:表示允许的最大速率,取值范围为1000~100000000。
【使用指导】
本功能用于限制SSL VPN访问实例的IP接入速率,超过此速率之后,访问实例收到的报文将被丢弃。管理员可根据需求和实际情况进行合理配置。
可多次执行本命令,分别对上行流量和下行流量进行限速。针对上行或下行流量,重复配置,最后一次配置生效。
【举例】
# 配置SSL VPN访问实例ctx1下IP接入的上行流量最大速率限制为10000pps。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-tunnel rate-limit upstream pps 10000
ip-tunnel web-resource auto-push命令用来开启IP方式成功登录SSL VPN网关后自动推送资源列表功能。
undo ip-tunnel web-resource auto-push命令用来关闭IP方式成功登录SSL VPN网关后自动推送资源列表功能。
【命令】
ip-tunnel web-resource auto-push
undo ip-tunnel web-resource auto-push
【缺省情况】
IP方式成功登录SSL VPN网关后自动推送资源列表功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
开启此功能,SSL VPN用户通过IP方式(iNode客户端)成功登录SSL VPN网关后,设备会自动推送资源列表,以便用户通过Web方式访问所授权的资源。
本功能仅支持在Windows系统安装了iNode环境下使用,安装iNode客户端有如下两种方式:
· 通过浏览器登录SSL VPN网关后,下载并安装设备自带的iNode客户端。
· 安装官网下载的iNode客户端,这种方式下需要在定制iNode客户端时勾选“生成VPN网关iNode安装包”选项,否则会因为推送的Web页面无法检测iNode客户端是否已登录,而导致用户自动下线。
【举例】
# 在SSL VPN访问实例ctx1下开启IP方式成功登录SSL VPN网关后自动推送资源列表功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-tunnel web-resource auto-push
ip-tunnel wins-server命令用来配置为客户端指定的内网WINS服务器IPv4地址。
undo ip-tunnel wins-server命令用来恢复缺省情况。
【命令】
ip-tunnel wins-server { primary | secondary } ip-address
undo ip-tunnel wins-server { primary | secondary }
【缺省情况】
未配置为客户端指定的WINS服务器IPv4地址。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
primary:配置主WINS服务器。
secondary:配置备WINS服务器。
ip-address:WINS服务器的IPv4地址,不能是组播、广播、环回地址。
【举例】
# 配置为客户端指定的内网主WINS服务器IPv4地址为1.1.1.1。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] ip-tunnel wins-server primary 1.1.1.1
ipv6 address命令用来配置SSL VPN网关的IPv6地址和端口号。
undo ipv6 address命令用来恢复缺省情况。
【命令】
ipv6 address ipv6-address [ port port-number ]
undo ipv6 address
【缺省情况】
未配置SSL VPN网关的IPv6地址和端口号。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6-address:SSL VPN网关的IPv6地址,为以冒号(:)分隔的一连串16比特的十六进制数。
port port-number:指定SSL VPN网关的端口号。port-number取值范围为443、1025~65535,缺省值为443。
【使用指导】
远端接入用户可以通过本命令配置的IPv6地址和端口号访问SSL VPN网关。本命令指定的IPv6地址应为SSL VPN网关上接口的IPv6地址,并需要保证该IPv6地址路由可达。
SSL VPN网关的IPv6地址不能与设备的管理地址相同。
SSL VPN网关的IPv6地址和端口号与HTTPS管理地址和端口号不能完全相同,如果完全相同,则用户访问此地址和端口时,只能访问SSL VPN网关页面,而不能访问设备的管理页面。
SSL VPN网关的IPv4地址和IPv6地址不能同时生效,若同时配置了IPv4地址(通过ip address命令)和IPv6地址,则最后一次配置的IP地址生效。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置SSL VPN网关的IPv6地址为200::1、端口号为8000。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ipv6 address 200::1 port 8000
【相关命令】
· display sslvpn gateway
· ip address
ipv6-route-list命令用来创建IPv6路由列表,并进入IPv6路由列表视图。如果指定的IPv6路由列表已经存在,则直接进入IPv6路由列表视图。
undo ipv6-route-list命令用来删除指定的IPv6路由列表。
【命令】
ipv6-route-list ipv6-list-name
undo ipv6-route-list ipv6-list-name
【缺省情况】
不存在IPv6路由列表。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6-list-name:IPv6路由列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
【使用指导】
在IPv6路由列表视图下,可以配置IPv6路由表项,客户端可以通过这些路由表项访问企业网络内部的服务器。若IPv6路由列表被策略组引用,则不允许删除该IPv6路由列表。请先通过undo ip-tunnel access-route ipv6命令取消引用,再执行本命令删除IPv6路由列表。
【举例】
# 在SSL VPN访问实例ctx1下创建IPv6路由列表ipv6rtlist,并进入IPv6路由列表视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ipv6-route-list ipv6rtlist
[Sysname-sslvpn-context-ctx1-ipv6-route-list-ipv6rtlist]
【相关命令】
· ip-tunnel ipv6 access-route
local-port命令用来添加一个端口转发实例。
undo local-port命令用来删除指定的端口转发实例。
【命令】
local-port local-port-number local-name local-name remote-server remote-server remote-port remote-port-number [ description text ]
undo local-port
【缺省情况】
不存在端口转发实例。
【视图】
端口转发表项视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
local-port-number:企业网内的TCP服务映射的本地端口号,取值范围为1~65535,且不能与本地已有服务的端口号相同。
local-name local-name:指定企业网内的TCP服务映射的本地地址或本地主机名称。local-name为1~253个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。如果local-name为IPv6地址,需要为该地址增加一个中括号,例如:local-name [1234::5678]。
remote-server remote-server:指定企业网内TCP服务的IP地址或完整域名。remote-server为为1~253个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。如果remote-server为IPv6地址,需要为该地址增加一个中括号,例如:remote-server [1234::5678]。
remote-port remote-port-number:指定企业网内TCP服务的端口号。remote-port-number取值范围为1~65535。
description text:指定端口转发实例的描述信息。description-string为1~63个字符的字符串,区分大小写。
【使用指导】
本命令用来将企业网内的基于TCP的服务(如Telnet、SSH、POP3)映射为SSL VPN客户端上的本地地址和本地端口,以便SSL VPN客户端通过本地地址和本地端口访问企业网内的服务器。例如,执行如下命令,表示在SSL VPN客户端上通过127.0.0.1、端口80可以访问企业网内的HTTP服务器192.168.0.213。
local-port 80 local-name 127.0.0.1 remote-server 192.168.0.213 remote-port 80
添加端口转发实例时,需要注意的是,
· 配置的local-port-number不能与本地已有服务的端口号相同。
· 如果将企业网内的TCP服务映射为本地地址,则建议将本地地址配置为127.0.0.0/8网段的地址;如果映射为本地主机名,SSL VPN的TCP接入客户端软件会在主机文件hosts(C:\Windows\System32\drivers\etc\hosts)中添加主机名对应的IP地址,并在用户退出时恢复原来的主机文件hosts。
· 每个端口转发表项只能添加一个端口转发实例。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置端口转发实例:将企业网内的HTTP服务器192.168.0.213映射为本地地址127.0.0.1、本地端口80。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] port-forward-item pfitem1
[Sysname-sslvpn-context-ctx1-port-forward-item-pfitem1] local-port 80 local-name 127.0.0.1 remote-server 192.168.0.213 remote-port 80 description http
【相关命令】
· port-forward-item
log resource-access enable命令用来开启用户访问资源日志生成功能。
undo log resource-access enable命令用来关闭用户访问资源日志生成功能。
【命令】
log resource-access enable [ brief | filtering ] *
undo log resource-access enable
【缺省情况】
用户访问资源日志生成功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
brief:开启用户访问资源日志摘要功能。当开启该功能后,仅显示访问资源的地址及其端口号,增强日志的可读性。若不指定该参数,当用户访问资源时,日志信息会包含大量网页的构成元素信息。
filtering:开启用户访问资源日志过滤功能。当开启该功能后,1分钟内同一用户重复访问相同资源时仅生成一条日志信息。若不指定该参数,则表示同一用户重复访问相同资源时,均生产日志信息。
【使用指导】
开启本功能后,用户访问资源信息时,SSL VPN网关会生成日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。
用户访问资源日志不会输出到控制台和监视终端。当信息中心配置的规则将用户访问资源日志输出到控制台和监视终端时,若仍需要查看用户访问资源日志,可通过执行display logbuffer命令查看。有关信息中心和display logbuffer命令的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 开启用户访问资源日志生成功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] log resource-access enable
log user-login enable命令用来开启用户上下线日志生成功能。
undo log user-login enable命令用来关闭用户上下线日志生成功能。
【命令】
log user-login enable
undo log user-login enable
【缺省情况】
用户上下线日志生成功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
开启本功能后,用户上线下线时,SSL VPN网关会生成日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 开启用户上下线生成日志功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] log user-login enable
login-message命令用来配置SSL VPN登录页面的欢迎信息。
undo login-message命令用来恢复缺省情况。
【命令】
login-message { chinese chinese-message | english english-message }
undo login-message { chinese | english }
【缺省情况】
英文登录页面的欢迎信息为“Welcome to SSL VPN”,中文登录页面的欢迎信息为“欢迎进入SSL VPN”。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
chinese chinese-message:指定中文页面的欢迎信息。chinese-message为1~255个字符的字符串,区分大小写。
english english-message:指定英文页面的欢迎信息。english-message为1~255个字符的字符串,区分大小写。
【举例】
# 配置SSL VPN英文页面的欢迎信息为“hello”,中文页面的欢迎信息为“你好”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] login-message english hello
[Sysname-sslvpn-context-ctx1] login-message chinese 你好
logo命令用来配置SSL VPN页面上显示的logo。
undo logo命令用来恢复缺省情况。
【命令】
logo { file file-name | none }
undo logo
【缺省情况】
SSL VPN页面上显示“H3C”logo图标。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
file file-name:指定logo图标文件。file-name为1~255字符的字符串,不区分大小写。filename指定的logo图标文件必须为gif、jpg或png格式,且不能超过100KB,建议图片尺寸在110*30像素左右。
none:不显示logo图标。
【使用指导】
指定的logo图标文件必须是本地已经存在的文件。
如果指定logo图标文件后,删除该文件,则仍然会显示该文件对应的logo图标。
【举例】
# 配置SSL VPN页面上显示的logo为flash:/mylogo.gif文件对应的logo图标。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] logo file flash:/mylogo.gif
max-onlines命令用来配置同一用户名的同时最大在线数。
undo max-onlines命令用来恢复缺省情况。
【命令】
max-onlines number
undo max-onlines
【缺省情况】
同一用户名的同时最大在线数为32。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
number:SSL VPN的同一用户名同时最大在线数,取值范围为0~1048575,取值为0时表示不限制同一用户的同时最大在线数。
【使用指导】
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置同一用户名的同时最大在线数为50。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] max-onlines 50
max-users命令用来配置SSL VPN访问实例的最大会话数。
undo max-users命令用来恢复缺省情况。
【命令】
max-users max-number
undo max-users
【缺省情况】
SSL VPN访问实例的最大会话数为1048575。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
max-number:SSL VPN访问实例的最大会话数,取值范围为1~1048575。
【使用指导】
SSL VPN访问实例下的会话数目达到本命令配置的值后,新的用户将无法登录。
【举例】
# 配置SSL VPN访问实例的最大会话数为500。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] max-users 500
【相关命令】
· display sslvpn context
message-server命令用来配置为客户端指定的Message服务器。
undo message-server命令用来恢复缺省情况。
【命令】
message-server address { host-name | ipv4-address } port port-number
undo message-server
【缺省情况】
没有配置为客户端指定的Message服务器。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
address:指定Message服务器的主机名或IPv4地址。
host-name:Message服务器的主机名,为1~127个字符的字符串,可以包含字母、数字、下划线、“-”和“.”,不区分大小写。
ipv4-address:Message服务器的IPv4地址,为点分十进制格式,不能是组播、广播、环回地址。
port port-number:指定Message服务器使用的端口号。port-number取值范围为1025~65535。
【使用指导】
Message服务器用来为移动客户端提供服务。执行本命令后,SSL VPN网关会将配置的Message服务器信息下发给客户端,以便客户端访问Message服务器。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置SSL VPN Context的Message服务器。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] message-server address 10.10.1.1 port 8000
【相关命令】
· sslvpn context
mobile-num命令用来配置用于接收短信的手机号码。
undo mobile-num命令用来恢复缺省情况。
【命令】
mobile-num number
undo mobile-num
【缺省情况】
未配置用于接收短信的手机号码。
【视图】
SSL VPN用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
number:用于接收短信的手机号码,为1~31个字符的字符串,仅支持数字。
【使用指导】
非缺省vSystem不支持本命令。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为用户user1配置接收短信的手机号码为111111。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] user user1
[Sysname-sslvpn-context-ctx1-user-user1] mobile-num 111111
mobile-num-binding enable命令用来开启用户手机号码绑定功能。
undo mobile-num-binding enable命令用来关闭用户手机号码绑定功能。
【命令】
mobile-num-binding enable
undo mobile-num-binding enable
【缺省情况】
用户手机号码绑定功能处于关闭状态。
【视图】
短信网关认证视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
开启了短信网关认证功能后,用户登录SSL VPN网关时,需要通过接收到的短信验证信息完成登录认证。
如果开启了本功能,用户首次登录时系统会提示“请输入电话号码”,后续不再提示。用户将使用绑定的手机号码接收认证短信。
如果未开启本功能,系统会使用SSL VPN用户视图下配置的手机号码接收认证短信。若SSL VPN用户视图下未配置手机号码,则用户登录失败。
【举例】
# 在sms-gw短信网关认证视图下开启用户手机号码绑定功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx-sms-auth-sms-gw] mobile-num-binding enable
【相关命令】
· mobile-num
mtu命令用来配置接口的MTU值。
undo mtu命令用来恢复缺省情况。
【命令】
mtu size
undo mtu
【缺省情况】
接口的MTU值为1500字节。
【视图】
SSL VPN AC接口视图
【缺省用户角色】
network-admin
context-admin
【参数】
size:接口的MTU值,取值范围为100~64000,单位为字节。
【使用指导】
非缺省vSystem不支持本命令。
【举例】
# 配置接口SSL VPN AC 1000的MTU值为1430字节。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] mtu 1430
new-content命令用来配置改写之后的文件内容。
undo new-content命令用来恢复缺省情况。
【命令】
new-content string
undo new-content
【缺省情况】
未配置改写之后的文件内容。
【视图】
改写规则视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
string:改写之后的文件内容,为1~256个字符的字符串,区分大小写。
【使用指导】
在对网页文件进行改写的过程中,首先通过old-content命令配置的string对文件内容进行匹配,匹配成功之后,采用本命令配置的string对文件内容进行替换。
如果改写的文件内容中存在空格,需要使用双引号把文件内容引起来。
【举例】
# 配置改写之后的文件内容。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp] rewrite-rule rule1
[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1] new-content sslvpn_rewrite_htmlcode(d)
【相关命令】
· old-content
notify-message命令用来配置公告信息。
undo notify-message命令用来恢复缺省情况。
【命令】
notify-message { login-page | resource-page } { chinese chinese-message | english english-message }
undo notify-message { login-page | resource-page } { chinese | english }
【缺省情况】
未配置公告消息。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
login-page:指定SSL VPN登录页面公告信息。
resource-page:指定SSL VPN资源页面公告信息。
chinese chinese-message:指定中文页面公告信息。chinese-message为1~255个字符的字符串,区分大小写。
english english-message:指定英文页面公告信息。english-message为1~255个字符的字符串,区分大小写。
【使用指导】
本命令配置的公告信息为显示在SSL VPN登录页面和资源页面的公告信息。一般用于定期向用户推送修改密码的通知,提醒用户修改密码。
在同一个SSL VPN访问实例视图下,多次执行本命令配置相同界面相同语言的公告信息,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下,配置SSL VPN中文登录页面的公告信息为“请及时修改密码”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] notify-message login-page chinese 请及时修改密码
old-content命令用来配置需要改写的文件内容。
undo old-content命令用来恢复缺省情况。
【命令】
old-content string
undo old-content
【缺省情况】
未配置需要改写的文件内容。
【视图】
改写规则视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
string:需要改写的文件内容,为1~256个字符的字符串,区分大小写。
【使用指导】
在对网页文件改写的过程中,首先通过本命令配置的string对文件内容进行匹配,匹配成功之后,采用new-content命令配置的改写之后的文件内容对其进行替换。
如果改写的文件内容中存在空格,需要使用双引号把文件内容引起来。
同一文件策略中的不同规则下需要改写的文件内容不能相同。
【举例】
# 配置需要改写的文件内容。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp] rewrite rule rule1
[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1] old-content "a.b.c.innerHTML = d;"
【相关命令】
· new-content
password-authentication enable命令用来开启用户名/密码认证功能。
undo password-authentication enable命令用来关闭用户名/密码认证功能。
【命令】
password-authentication enable
undo password-authentication enable
【缺省情况】
用户名/密码认证功能处于开启状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【举例】
# 关闭SSL VPN访问实例的用户名/密码认证功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] undo password-authentication enable
【相关命令】
· certificate-authentication enable
· display sslvpn context
password-box hide命令用来隐藏SSL VPN Web登录页面的密码输入框。
undo password-box hide命令用来显示SSL VPN Web登录页面的密码输入框。
【命令】
password-box hide
undo password-box hide
【缺省情况】
SSL VPN Web登录页面显示密码输入框。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
隐藏SSL VPN Web登录页面的密码输入框后,只有空密码用户可以登录,其余用户均无法登录。
为了保证设备的可用性和安全性,建议配合其他验证方式使用。
当管理员希望通过除用户名/密码以外的方式验证用户身份时,建议使用本功能。
【举例】
# 配置隐藏Web登录页面的密码输入框。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] password-box hide
password-changing enable命令用来开启用户修改SSL VPN登录密码功能。
undo password-changing enable命令用来关闭用户修改SSL VPN登录密码功能。
【命令】
password-changing enable
undo password-changing enable
【缺省情况】
用户修改SSL VPN登录密码功能处于开启状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
本功能用于SSL VPN网关的管理员进行用户修改密码控制。当开启本功能时,用户登录SSL VPN网关后,进入SSL VPN资源页面,可以在页面点击修改密码按钮,修改SSL VPN登录密码;当关闭本功能时,SSL VPN资源页面的修改密码按钮将处于隐藏状态,用户无法修改密码。
本命令用于开启和关闭访问实例下所有用户修改SSL VPN登录密码功能。如果用户视图下配置了关闭用户修改SSL VPN登录密码功能,则用户视图下的配置生效。
【举例】
# 在SSL VPN访问实例ctx1下开启用户修改SSL VPN登录密码功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] password-changing enable
【相关命令】
· display sslvpn context
· password-changing enable (SSL VPN user view)
password-changing enable命令用来开启用户修改SSL VPN登录密码功能。
undo password-changing enable命令用来关闭用户修改SSL VPN登录密码功能。
【命令】
password-changing enable
undo password-changing enable
【缺省情况】
用户修改SSL VPN登录密码功能处于开启状态。
【视图】
SSL VPN用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
本功能用于SSL VPN网关的管理员进行用户修改密码控制。当开启本功能时,用户登录SSL VPN网关后,进入SSL VPN资源页面,可以在页面点击修改密码按钮,修改SSL VPN登录密码;当关闭本功能时,SSL VPN资源页面的修改密码按钮将处于隐藏状态,用户无法修改密码。
本命令用于开启和关闭特定用户修改SSL VPN登录密码功能。
【举例】
# 开启用户user1修改SSL VPN登录密码功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] user user1
[Sysname-sslvpn-context-ctx1-user-user1] password-changing enable
【相关命令】
· password-changing enable (SSL VPN context view)
password-complexity-message命令用来配置密码复杂度提示信息。
undo password-complexity-message命令用来恢复缺省情况。
【命令】
password-complexity-message { chinese chinese-message | english english-message }
undo password-complexity-message { chinese | english }
【缺省情况】
未配置密码复杂度提示信息。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
chinese chinese-message:指定中文页面的密码复杂度提示信息。chinese-message为1~255个字符的字符串,区分大小写。
english english-message:指定英文页面的密码复杂度提示信息。english-message为1~255个字符的字符串,区分大小写。
【使用指导】
本命令配置的中英文页面密码复杂度提示信息将在SSL VPN修改密码页面显示,用于提示用户输入满足密码复杂度要求的新密码。
在同一个SSL VPN访问实例视图下,多次执行本命令配置相同语言的提示信息,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下,配置中文页面密码复杂度提示信息为“必须包含大小写字母”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] password-complexity-message chinese 必须包含大小写字母
policy-group命令用来创建策略组,并进入SSL VPN策略组视图。如果指定的策略组已经存在,则直接进入策略组视图。
undo policy-group命令用来删除指定的策略组。
【命令】
policy-group group-name
undo policy-group group-name
【缺省情况】
不存在策略组。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
group-name:策略组名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
【使用指导】
策略组包含一系列规则,这些规则为用户定义了资源的访问权限。
一个SSL VPN访问实例下可以配置多个策略组。远端接入用户访问SSL VPN访问实例时,AAA服务器将授权给该用户的策略组信息下发给SSL VPN网关。该用户可以访问的资源由授权的策略组决定。如果AAA服务器没有为该用户进行授权,则用户可以访问的资源由缺省策略组决定。
【举例】
# 创建名为pg1的策略组,并进入SSL VPN策略组视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1]
【相关命令】
· default-policy-group
port-forward命令用来创建端口转发列表,并进入端口转发列表视图。如果指定的端口转发列表已经存在,则直接进入端口转发列表视图。
undo port-forward命令用来删除指定的端口转发列表。
【命令】
port-forward port-forward-name
undo port-forward port-forward-name
【缺省情况】
不存在端口转发列表。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
port-forward-name:端口转发列表名称,不能以“item-”开头,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
【使用指导】
端口转发列表用来为SSL VPN用户提供TCP接入服务。
在转发列表视图下,通过port-forward-item命令可以创建端口转发表项。一个端口转发列表中可以配置多个端口转发表项。
在SSL VPN策略组视图下,通过resources port-forward命令可以配置策略组引用的端口转发列表。SSL VPN用户被授权访问某个策略组后,该策略组引用的端口转发列表指定的TCP接入服务将同时授权给SSL VPN用户,SSL VPN用户可以访问这些TCP接入服务。
【举例】
# 创建端口转发列表pflist1,并进入端口转发列表视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] port-forward pflist1
[Sysname-sslvpn-context-ctx1-port-forward-pflist1]
【相关命令】
· local-port
· resources port-forward
port-forward-item命令用来创建端口转发表项,并进入端口转发表项视图。如果指定的端口转发表项已经存在,则直接进入端口转发表项视图。
undo port-forward-item命令用来删除指定的端口转发表项。
【命令】
port-forward-item item-name
undo port-forward-item item-name
【缺省情况】
不存在端口转发表项。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
item-name:端口转发表项名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
端口转发表项用来为SSL VPN用户提供TCP接入服务。
在端口转发表项视图下,需要进行以下配置:
· 通过local-port命令可以创建端口转发实例。端口转发实例将企业网内的基于TCP的服务(如Telnet、SSH、POP3)映射为SSL VPN客户端上的本地地址和本地端口,以便SSL VPN客户端通过本地地址和本地端口访问企业网内的服务器。
· 通过execution命令创建访问企业网内的服务器的资源。
一个端口转发列表中可以配置多个端口转发表项。
在同一端口转发表项视图下,通过execution命令指定的资源必须与local-port命令创建的端口转发实例所对应的资源相同,否则用户无法在Web页面上单击对应的链接访问服务器资源。
【举例】
# 创建端口转发表项pfitem1,并进入端口转发表项视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] port-forward-item pfitem1
[Sysname-sslvpn-context-ctx1-port-forward-item-pfitem1]
【相关命令】
· execution
· local-port
· resources port-forward-item
prevent-cracking freeze-ip命令用来设置防暴力破解冻结IP地址功能参数。
undo prevent-cracking freeze-ip命令用来恢复缺省情况。
【命令】
prevent-cracking freeze-ip login-failures login-failures freeze-time freeze-time
undo prevent-cracking freeze-ip
【缺省情况】
允许同一IP地址连续登录访问实例失败的次数为64次,IP地址被冻结的时间为30秒。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
login-failures login-failures:表示允许同一IP地址连续登录访问实例失败的次数,取值范围为64~2048,单位为次。
freeze-time freeze-time:表示IP地址被冻结的时间,取值范围为30~1800,单位为秒。
【使用指导】
非缺省vSystem不支持本命令。
防暴力破解功能指,通过限制同一IP地址尝试登录SSL VPN访问实例的次数,降低登录信息被暴力破解的风险。
当同一IP地址连续登录SSL VPN访问实例失败的次数达到本命令配置的限制次数时,SSL VPN访问实例将冻结该IP地址,在冻结期间内,禁止该IP地址再次登录此SSL VPN访问实例。当达到冻结时间后,被冻结的IP地址将自动解冻。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下,配置同一IP地址连续登录SSL VPN访问实例失败的次数达到100次时冻结该IP地址,IP地址的冻结时间为60秒。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] prevent-cracking freeze-ip login-failures 100 freeze-time 60
【相关命令】
· display sslvpn prevent-cracking frozen-ip
prevent-cracking freeze-ip enable命令用来开启防暴力破解冻结IP地址功能。
undo prevent-cracking freeze-ip enable命令用来关闭防暴力破解冻结IP地址功能。
【命令】
prevent-cracking freeze-ip enable
undo prevent-cracking freeze-ip enable
【缺省情况】
防暴力破解冻结IP地址功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
【举例】
# 开启防暴力破解冻结IP地址功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] prevent-cracking freeze-ip enable
【相关命令】
· display sslvpn prevent-cracking frozen-ip
prevent-cracking unfreeze-ip命令用来手工解冻防暴力破解冻结的IP地址。
【命令】
prevent-cracking unfreeze-ip { all | { ipv4 | ipv6 } ip-address }
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:表示手工解冻所有IP地址。
ipv4:表示指定IPv4地址。
ipv6:表示指定IPv6地址。
ip-address:表示手工解冻的IP地址。
【使用指导】
非缺省vSystem不支持本命令。
本命令用于解冻SSL VPN访问实例下防暴力破解冻结的IP地址,解冻后的IP地址将被允许再次登录该SSL VPN访问实例。
【举例】
# 在SSL VPN访问实例ctx1下,解冻所有防暴力破解冻结的IP地址。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] prevent-cracking unfreeze-ip all
【相关命令】
· display sslvpn prevent-cracking frozen-ip
prevent-cracking verify-code命令用来设置防暴力破解验证码验证功能参数。
undo prevent-cracking verify-code命令用来恢复缺省情况。
【命令】
prevent-cracking verify-code login-failures login-failures
undo prevent-cracking verify-code
【缺省情况】
允许同一IP地址连续登录SSL VPN访问实例失败的次数为5次。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
login-failures login-failures:表示允许同一IP地址连续登录SSL VPN访问实例失败的次数,取值范围为1~63,单位为次。
【使用指导】
非缺省vSystem不支持本命令。
开启本功能后,当同一IP地址连续登录SSL VPN访问实例失败的次数超过SSL VPN网关管理员通过本命令配置的限制次数时,SSL VPN访问实例将启用验证码验证功能,使用该IP地址的SSL VPN用户只有通过验证码验证才能登录SSL VPN访问实例。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下,配置同一IP地址连续登录访问实例失败的次数超过10次,将启用验证码验证功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] prevent-cracking verify-code login-failures-times 10
prevent-cracking verify-code enable命令用来开启防暴力破解验证码验证功能。
undo prevent-cracking verify-code enable命令用来关闭防暴力破解验证码验证功能。
【命令】
prevent-cracking verify-code enable
undo prevent-cracking verify-code enable
【缺省情况】
防暴力破解验证码验证功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
【举例】
# 开启防暴力破解验证码验证功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] prevent-cracking verify-code enable
rate-limit命令用来开启SSL VPN会话的限速功能,并配置限速速率。
undo rate-limit命令用来关闭指定方向的SSL VPN会话的限速功能。
【命令】
rate-limit { downstream | upstream } value
undo rate-limit { downstream | upstream }
【缺省情况】
SSL VPN会话的限速功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
downstream:SSL VPN用户的下行流量,即内网资源服务器发送给SSL VPN用户的流量。
upstream:SSL VPN用户的上行流量,即SSL VPN用户访问内网资源服务器的流量。
value:表示允许的最大速率,取值范围为1000~100000000,单位为kbps。
【使用指导】
本功能用于限制SSL VPN访问实例下SSL VPN会话的速率,超过此速率之后,此SSL VPN会话相应方向的报文将会被丢弃。管理员可根据需求和实际情况进行合理配置。
可多次执行本命令,分别对上行流量和下行流量进行限速。针对上行或下行流量,重复配置,最后一次配置生效。
【举例】
# 在SSL VPN访问实例ctx1下,配置SSL VPN会话的上行流量最大速率限制为10000kbps。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] rate-limit upstream 10000
redirect-resource命令用来配置用户登录SSL VPN网关后授权给用户的重定向资源
。
undo redirect-resource命令用来恢复缺省情况。
【命令】
redirect-resource { shortcut | url-item } resource-name
undo redirect-resource
【缺省情况】
用户登录SSL VPN网关后进入SSL VPN资源页面,不进行页面重定向。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
shortcut:表示重定向资源类型为快捷方式。
url-item:表示重定向资源类型为URL表项。
resource-name:表示重定向资源名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
缺省情况下用户登录SSL VPN网关后,进入的页面为SSL VPN资源页面。SSL VPN网关管理员也可以通过配置本命令实现用户登录SSL VPN网关后重定向到指定的页面。
用户登录SSL VPN网关后,如果被授权的SSL VPN策略组中包含重定向资源,则SSL VPN网关将首先进入SSL VPN资源页面,页面短暂停留后将重定向到指定的页面。用户可以点击浏览器的后退按钮返回到SSL VPN资源页面。本命令用于指定重定向资源的资源类型及资源名称。
用户被授权多个策略组时,设备会根据授权策略组的顺序,依次查找本地对应策略组中的重定向资源,如果找到重定向资源,则停止查找,并根据此重定向资源进行页面重定向,如果没有找到重定向资源,则不进行页面重定向。
在同一个SSL VPN策略组视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN策略组pg1下配置重定向资源的资源类型为url-item,资源名称为url1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] redirect-resource url-item url1
【相关命令】
· display sslvpn policy-group
reset counters interface sslvpn-ac命令用来清除SSL VPN AC接口的统计信息。
【命令】
reset counters interface [ sslvpn-ac [ interface-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
sslvpn-ac [ interface-number ]:指定接口的类型及编号。interface-number为SSL VPN AC接口的编号,取值范围为0~4095。如果不指定sslvpn-ac,则清除所有接口的统计信息,如果指定sslvpn-ac而不指定interface-number,则清除所有SSL VPN AC接口的统计信息。
【使用指导】
在某些情况下,需要统计一定时间内某接口的流量,这就需要在统计开始前清除该接口原有的统计信息,重新进行统计。
【举例】
# 清除接口SSL VPN AC 1000的统计信息。
<Sysname> reset counters interface sslvpn-ac 1000
【相关命令】
· display interface sslvpn-ac
reset sslvpn ip-tunnel statistics命令用来清除通过IP接入的SSL VPN用户的报文统计信息。
【命令】
reset sslvpn ip-tunnel statistics [ context context-name [ session session-id ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
context context-name:清除指定SSL VPN访问实例下通过IP接入的SSL VPN用户的报文统计信息。context-name表示SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则清除所有SSL VPN访问实例下通过IP接入的SSL VPN用户的报文统计信息。
session session-id:清除指定会话ID的SSL VPN用户的IP接入报文统计信息。session-id表示SSL VPN用户会话标识,取值范围为1~4294967295。如果不指定本参数,则清除指定的SSL VPN访问实例下所有通过IP接入的SSL VPN用户的报文统计信息。
【使用指导】
SSL VPN访问实例名和会话ID可以通过display sslvpn session来查看。如果不指定任何参数,则表示清除所有SSL VPN访问实例下的所有用户的IP接入报文统计信息。
【举例】
# 清除所有SSL VPN访问实例下通过IP接入的SSL VPN用户的报文统计信息。
<Sysname> reset sslvpn ip-tunnel statistics
# 清除SSL VPN访问实例ctx1下通过IP接入的SSL VPN用户的报文统计信息。
<Sysname> reset sslvpn ip-tunnel statistics context ctx1
# 清除SSL VPN访问实例ctx1下会话ID为1的SSL VPN用户的IP接入报文统计信息。
<Sysname> reset sslvpn ip-tunnel statistics context ctx1 session 1
【相关命令】
· display sslvpn ip-tunnel statistics
· display sslvpn session
resources policy-group命令用来配置角色引用的策略组。
undo resources policy-group命令用来恢复缺省情况。
【命令】
resources policy-group group-name
undo resources policy-group
【缺省情况】
角色未引用任何策略组。
【视图】
角色视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
group-name:策略组名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
可以通过本命令在角色视图下引用策略组,引用了某个策略组的角色将拥有该策略组内所有资源的访问权限。
一个角色视图下只能引用一个策略组,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置角色role1引用策略组pg。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-contxt-ctx] role role1
[Sysname-sslvpn-contxt-ctx-role-role1] resources policy-group pg
【相关命令】
· policy-group
resources port-forward命令用来配置策略组引用端口转发列表。
undo resources port-forward命令用来取消策略组引用端口转发列表。
【命令】
resources port-forward port-forward-name
undo resources port-forward
【缺省情况】
策略组没有引用任何端口转发列表。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
port-forward-name:端口转发列表名称,为1~31个字符的字符串,支持输入中文字符,且必须已经存在。
【使用指导】
SSL VPN用户被授权访问某个策略组后,该策略组引用的端口转发列表指定的TCP接入服务将同时授权给SSL VPN用户,SSL VPN用户可以访问这些TCP接入服务。
【举例】
# 配置策略组pg1引用端口转发列表pflist1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] resources port-forward pflist1
【相关命令】
· local-port
· port-forward
resources port-forward-item命令用来配置端口转发列表引用端口转发表项。
undo resources port-forward-item命令用来取消端口转发列表引用的端口转发表项。
【命令】
resources port-forward-item item-name
undo resources port-forward-item item-name
【缺省情况】
端口转发列表未引用任何端口转发表项。
【视图】
端口转发列表视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
item-name:端口转发表项名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
本命令引用的端口转发表项必须先通过port-forward-item命令创建。
一个端口转发列表可以引用多条端口转发表项。
【举例】
# 配置端口转发列表pflist1引用端口转发表项pfitem1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] port-forward-item pfitem1
[Sysname-sslvpn-context-ctx1-port-forward-item-pfitem1] quit
[Sysname-sslvpn-context-ctx1] port-forward pflist1
[Sysname-sslvpn-context-ctx1-port-forward-pflist1] resources port-forward-item pfitem1
【相关命令】
· port-forward-item
resources shortcut命令用来配置快捷方式列表引用快捷方式。
undo resources shortcut命令用来取消快捷方式列表引用的快捷方式。
【命令】
resources shortcut shortcut-name
undo resources shortcut shortcut-name
【缺省情况】
快捷方式列表未引用任何快捷方式。
【视图】
快捷方式列表视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
shortcut-name:快捷方式名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
在快捷方式列表视图下,可以引用多条快捷方式。
【举例】
# 配置快捷方式列表list1引用快捷方式shortcut1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] shortcut shortcut1
[Sysname-sslvpn-context-ctx1-shortcut-shortcut1] quit
[Sysname-sslvpn-context-ctx1] shortcut-list list1
[Sysname-sslvpn-context-ctx1-shortcut-list-list1] resources shortcut shortcut1
resources shortcut-list命令用来配置策略组引用快捷方式列表。
undo resources shortcut-list命令用来恢复缺省情况。
【命令】
resources shortcut-list list-name
undo resources shortcut-list
【缺省情况】
策略组未引用任何快捷方式列表。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
list-name:快捷方式列表名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
SSL VPN用户被授权访问某个策略组后,该策略组引用的快捷方式列表将显示在SSL VPN用户的Web页面上,SSL VPN用户可以单击这些快捷方式访问资源。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置策略组pg1引用快捷方式列表list1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] shortcut-list list1
[Sysname-sslvpn-context-ctx1-shortcut-list-list1] quit
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] resources shortcut-list list1
resources uri-acl命令用来配置过滤URL资源的URI ACL。
undo resources uri-acl命令用来删除过滤URL资源的URI ACL。
【命令】
resources uri-acl uri-acl-name
undo resources uri-acl
【缺省情况】
不对URL资源进行过滤。
【视图】
URL表项视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
uri-acl-name:指定过滤URL内容的URI ACL的名称,为1~31个字符的字符串,不区分大小写。引用的URI ACL必须已经存在。
【使用指导】
此命令用于对访问的URL资源进行更精细的控制。
【举例】
# 配置过滤URL资源的URI ACL为abc。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item serverA
[Sysname-sslvpn-context-ctx1-url-item-serverA] resources uri-acl abc
【相关命令】
· uri-acl
resources url-item命令用来配置URL列表引用的URL表项。
undo resources url-item命令用来删除URL列表引用的URL表项。
【命令】
resources url-item url-item-name
undo resources url-item url-item-name
【缺省情况】
未引用URL表项。
【视图】
URL列表视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
url-item-name:表示URL表项的名称,为1~31个字符的字符串,不区分大小写。引用的URL表项必须已存在。
【使用指导】
一个URL列表可以引用多个URL表项。
【举例】
# 创建URL列表list1,引用名为serverA的表项。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-list list1
[Sysname-sslvpn-context-ctx1-url-list-list1] resources url-item serverA
【相关命令】
· url-item
resources url-list命令用来配置策略组引用URL列表。
undo resources url-list命令用来取消策略组引用URL列表。
【命令】
resources url-list url-list-name
undo resources url-list url-list-name
【缺省情况】
策略组没有引用任何URL列表。
【视图】
SSL VPN策略组视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
url-list-name:URL列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符,且必须已经存在。
【使用指导】
在Web接入模式下,配置策略组引用URL列表后,远端用户可以使用浏览器访问URL列表下的URL资源。
【举例】
# 配置策略组pg1引用URL列表url1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] resources url-list url1
【相关命令】
· sslvpn context
· policy-group
· url-list
resources-file命令用来配置供用户下载的资源文件。
undo resources-file命令用来恢复缺省情况。
【命令】
resources-file { chinese chinese-filename | english english-filename }
undo resources-file { chinese | english }
【缺省情况】
未配置供用户下载的资源文件。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
chinese chinese-filename:指定中文页面供用户下载的文件名。chinese-filename为1~31个字符的字符串,区分大小写。
english english-filename:指定英文页面供用户下载的文件名。english-filename为1~31个字符的字符串,区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
本命令配置的文件,将在SSL VPN资源页面显示,可供用户下载使用。文件需由SSL VPN网关管理员提前上传至设备的文件管理系统,且通过本命令配置该文件时需要输入文件的完整路径。
在同一个SSL VPN访问实例视图下,多次执行本命令配置相同语言的资源文件,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下,配置中文页面供用户下载的文件为flash:/sslvpnhelp.pdf。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] resources-file chinese flash:/sslvpnhelp.pdf
rewrite server-response-message命令用来改写服务器返回信息。
undo rewrite server-response-message命令用来恢复缺省情况。
【命令】
rewrite server-response-message server-response-message { chinese chinese-message | english english-message }
undo rewrite server-response-message server-response-message { chinese | english }
【缺省情况】
SSL VPN网关不改写服务器返回信息。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
server-response-message:服务器返回信息的初始内容,为1~127个字符的字符串,区分大小写。若需输入空格,则需要将整个字符串包含在双引号中输入。
chinese chinese-message:指定中文页面服务器返回信息的改写内容。chinese-message为1~127个字符的字符串,区分大小写。
english english-message:指定英文页面服务器返回信息的改写内容。english-message为1~127个字符的字符串,区分大小写。
【使用指导】
由于某些服务器返回信息(包括认证、授权、计费等信息)内容可能过于简单或难以理解,SSL VPN网关管理员可以从服务器端获取相应的返回信息,判断哪些返回信息需要改写,并通过配置本命令对该类信息进行改写,设备将使用改写后的服务器返回信息向SSL VPN用户展示,提高用户体验。
在同一个SSL VPN访问实例视图下,多次执行本命令配置相同服务器返回信息初始内容相同语言的改写内容,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下,指定中文页面服务器返回信息“认证成功”的改写内容为“用户身份认证成功”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] rewrite server-response-message 认证成功 chinese 用户身份认证成功
rewrite-rule命令用来创建改写规则,并进入改写规则视图。如果指定的改写规则已经存在,则直接进入该改写规则视图。
undo rewrite-rule命令用来删除指定的改写规则。
【命令】
rewrite-rule rule-name
undo rewrite-rule rule-name
【缺省情况】
不存在改写规则。
【视图】
文件策略视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
rule-name:改写规则名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
同一个文件策略视图中可以配置多个改写规则。
【举例】
# 创建改写规则rule1,并进入改写规则视图。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp] rewrite-rule rule1
[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1]
role命令用来创建角色,并进入角色视图。如果指定的角色已存在,则直接进入角色视图。
undo role命令用来删除指定的角色。
【命令】
role role-name
undo role role-name
【缺省情况】
不存在角色。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
role-name:角色名称,为1~63个字符的字符串,区分大小写。
【使用指导】
SSL VPN支持基于角色对用户进行资源授权与访问控制,相同角色的用户具有相同的访问权限。角色是连接用户和资源的桥梁,可以将权限相同的用户加入某个角色,并在角色中引用资源,以及配置用户对资源的访问方式。
在角色中引用资源及配置用户对资源的访问方式的具体方法如下:
· 通过policy-group命令引用策略组,定义该角色可以访问的资源。
· 通过web-access enable、tcp-access enable、ip-tunnel enable命令分别配置该角色中的用户对资源的访问方式,包括Web接入方式、TCP接入方式和IP接入方式。
SSL VPN用户成功登录SSL VPN网关后,SSL VPN网关通过身份识别模块查询该用户所属的身份识别角色信息,并查询SSL VPN访问实例中是否存在该角色,若存在该角色,则将该角色所拥有的资源授权给用户访问,并限定用户对资源的访问方式。当某个用户属于多个角色时,SSL VPN将对该用户进行合并授权,即该用户所具有的资源访问权限是多个角色内资源的合集。
如果SSL VPN网关通过身份识别模块查询到的用户所属身份识别角色在SSL VPN访问实例中没有配置,或者用户所属的身份识别角色中未配置任何资源,用户将无法通过角色授权方式访问资源。此时,SSL VPN将采用原有流程对用户进行授权,即采用AAA模块为用户授权的SSL VPN策略组对用户进行授权。若AAA模块未返回任何策略组信息,则使用SSL VPN缺省策略组对用户进行授权。若SSL VPN访问实例未配置缺省策略组,则用户将无法访问资源。
有关身份识别角色的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。
本命令配置的角色名称需要与身份识别模块配置的身份识别角色名称一一对应。
身份识别模块定义了名称为default的用户角色,即未指定角色的用户将默认属于default角色。SSL VPN访问实例中需要创建一个名称同为default的角色,在该角色中配置的资源将授权给没有指定角色的用户。
同一个用户最多可以通过角色被授权20个不同的策略组。
同一个SSL VPN访问实例视图下,可以通过多次执行本命令,配置多个角色。
【举例】
# 在SSL VPN访问实例视图下,创建角色role1,并进入角色视图。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-contxt-ctx] role role1
[Sysname-sslvpn-contxt-ctx-role-role1]
【相关命令】
· ip-tunnel enable
· resources policy-group
· tcp-access enable
· web-access enable
rule命令用来创建URI ACL规则。
undo rule命令用来删除指定的URI ACL规则。
【命令】
rule [ rule-id ] { deny | permit } uri uri-pattern-string
undo rule rule-id
【缺省情况】
不存在URL ACL规则。
【视图】
URI ACL视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
deny:表示拒绝符合条件的报文。
permit:表示允许符合条件的报文。
rule-id:规则ID,取值范围为0~65534,步长为5。若未指定本参数,自动分配一个大于现有最大编号的最小编号。例如现有规则的最大编号为28,那么自动分配的新编号将是30。
uri:指定URI形式字符串。
uri-pattern-string:URI匹配字段,为不超过256个字符的字符串。格式为protocol://host:port/path,protocol和host必须指定。格式中各字段详细的取值情况,见表1-19。
表1-19 URI匹配字段说明
字段 |
描述 |
protocol |
协议名称,取值包括: · http · https · tcp · udp · icmp · ip |
host |
主机IP地址或域名 1. 支持的主机地址格式如下: ¡ IPv4地址或IPv6地址,例如:192.168.1.1 ¡ 使用字符-表示的IPv4地址或IPv6地址范围,例如:3.3.3.1-3.3.3.200 ¡ 指定子网掩码长度的IPv4地址或指定前缀长度的IPv6地址,例如2.2.2.2/24 ¡ 以上三种格式的组合,使用逗号分隔,例如:192.168.1.1,3.3.3.1-3.3.3.200,2.2.2.2/24 2. 支持的域名格式如下: ¡ 精确的主机域名,例如www.domain.example.com ¡ 包含通配符的主机域名。 3. 支持的通配符包括: ¡ *:匹配零个或多个任意字符,例如:*.com ¡ ?:匹配单个任意字符,例如:www.do?main.com ¡ %:匹配本级域名为任意字符,例如:www.%.com |
port |
主机端口。若未指定,则使用该协议的缺省端口号。支持的端口格式如下: · 单个端口,例如:1002 · 使用字符-表示的端口范围,例如:8080-8088 以上两种格式的组合,使用逗号分隔,例如:1002,90,8080-8088 |
path |
主机上的文件或目录,以一个或多个/或\分隔的路径。路径支持的通配符包括: · *:匹配零个或多个任意字符,例如:/path1/* · ?:匹配单个任意字符,例如:/path?/ · %:匹配本级域名为任意字符,例如:/path1/%/ |
【使用指导】
URI ACL在匹配过滤时会按照规则ID从小到大的顺序依次匹配报文,一旦匹配上某条规则便结束匹配过程。
【举例】
# 在URI ACL视图下,配置一条URI ACL规则。
<Sysname> system-view
[Sysname] sslvpn context abc
[Sysname-sslvpn-context-abc] uri-acl uriacla
[Sysname-sslvpn-context-abc-uri-acl-uriacla] rule 1 permit uri https://*.example.com:443,2000-5000/path/
secret-key命令用来配置SSL VPN网关与SMP建立连接时使用的密钥。
undo secret-key命令用来恢复缺省情况。
【命令】
secret-key { cipher | simple } string
undo secret-key
【缺省情况】
未配置SSL VPN网关与SMP建立连接时使用的密钥。
【视图】
SMP认证视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
cipher:表示以密文方式设置密钥。
simple:表示以明文方式设置密钥,该密钥将以密文形式存储。
string:明文密钥为1~63个字符的字符串,区分大小写;密文密钥为1~117个字符的字符串,区分大小写。
【使用指导】
SSL VPN网关与SMP建立连接时,SSL VPN网关需要向SMP提供本命令配置的密钥,SMP会使用该密钥验证SSL VPN网关的身份,验证通过后,才能建立连接。
此密钥由SMP提供。
【举例】
# 在SMP认证视图下,配置SSL VPN网关与SMP建立连接时使用的密钥为123456
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] smp authentication
[Sysname-sslvpn-context-ctx1-smp-authentication] secret-key simple 123456
self-service imc address命令用来配置iMC认证用户自助修改密码使用的iMC服务器。
undo self-service imc address命令用来恢复缺省情况。
【命令】
self-service imc address { ip-address | ipv6 ipv6-address } port port-number [ vpn-instance vpn-instance-name ]
undo self-service imc address
【缺省情况】
未配置iMC认证用户自助修改密码使用的iMC服务器。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ip-address:iMC服务器的IPv4地址,为点分十进制格式。
ipv6 ipv6-address:iMC服务器的IPv6地址,为冒号十六进制格式,只能是单播或任播地址,不能是未指定、多播、环回地址、链路本地地址。
port port-number:iMC服务器的端口号,取值范围为1~65535。
vpn-instance vpn-instance-name:iMC服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示该iMC服务器属于公网。
【使用指导】
如果用户登录SSL VPN网关时使用iMC认证服务器进行认证,且用户有修改密码的需求时,需要配置本命令指定改密使用的iMC服务器。用户认证通过后,可以在SSL VPN网关的Web页面上修改密码,并通过iMC服务器对需要修改的密码进行校验。如果校验通过,则SSL VPN用户再次登录时将使用修改后的密码。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx1下,配置iMC认证用户自助修改密码使用的iMC服务器的IPv4地址为192.168.10.1,端口号为443,关联VPN实例vpn1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] self-service imc address 192.168.10.1 port 443 vpn-instance vpn1
server-address命令用来配置iMC短信认证使用的iMC服务器。
undo server-address命令用来恢复缺省情况。
【命令】
server-address { ip-address | ipv6 ipv6-address } port port-number [ vpn-instance vpn-instance-name ]
undo server-address
【缺省情况】
未配置iMC短信认证使用的iMC服务器。
【视图】
iMC短信认证视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ip-address:iMC服务器的IPv4地址,为点分十进制格式。
ipv6 ipv6-address:iMC服务器的IPv6地址,为冒号十六进制格式,只能是单播或任播地址,不能是未指定、多播、环回地址、链路本地地址。
port port-number:iMC服务器的端口号,取值范围为1~65535。
vpn-instance vpn-instance-name:iMC服务器关联的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示该iMC服务器属于公网。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在iMC短信认证视图下配置短信认证使用的iMC服务器的IP地址为192.168.151.1,端口号为2000,关联VPN实例为vpn1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth imc
[Sysname-sslvpn-context-ctx1-sms-auth-imc] server-address 192.168.151.1 port 2000 vpn-instance vpn1
server-address命令用来指定国盾量子交换密码机的IPv4地址和端口号。
undo server-address命令用来恢复缺省情况。
【命令】
server-address ip-address port port-number
undo ip address
【缺省情况】
未指定国盾量子交换密码机的IPv4地址和端口号。
【视图】
SSL VPN国盾量子视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address:国盾量子交换密码机的IPv4地址。
port port-number:指定国盾量子交换密码机的端口号,取值范围为1~65535。
【使用指导】
非缺省vSystem不支持本命令。
设备将与此命令指定的国盾量子交换密码机进行信息交互,从而获取量子密钥。管理员需要根据国盾量子交换密码机的实际IP地址和端口号进行配置。
修改本命令不影响设备与国盾量子交换密码机已建立的连接。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN国盾量子视图下,配置国盾量子交换密码机的IPv4地址为192.168.10.10,端口号为3000。
<Sysname> system-view
[Sysname] sslvpn gd-quantum
[Sysname-sslvpn-gdquantum] server-address 192.168.10.10 port 3000
server-host命令用来配置SMP的主机名或IP地址。
undo server-host命令用来恢复缺省情况。
【命令】
server-host host-name
undo server-host
【缺省情况】
未配SMP的主机名或IP地址。
【视图】
SMP认证视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
host-name:SMP的主机名,也可以为主机的IP地址,为1~127个字符的字符串,只能包含字母、数字、“_”、“-”和“.”,不区分大小写。
【使用指导】
SSL VPN网关将与本命令配置的SMP进行信息交互,从而对SSL VPN用户进行身份认证。
此SMP的主机名由SMP提供,需要联系SMP管理员获取。
不同的SSL VPN访问实例下可以配置相同的SMP主机名或IP地址。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SMP认证视图下,配置SMP的IP地址为10.10.10.10。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] smp authentication
[Sysname-sslvpn-context-ctx1-smp-authentication] server-host 10.10.10.10
service enable命令用来开启SSL VPN访问实例。
undo service enable命令用来关闭SSL VPN访问实例。
【命令】
service enable
undo service enable
【缺省情况】
SSL VPN访问实例处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【举例】
# 开启名为ctx1的SSL VPN访问实例。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] service enable
【相关命令】
· display sslvpn context
service enable命令用来开启SSL VPN网关。
undo service enable命令用来关闭SSL VPN网关。
【命令】
service enable
undo service enable
【缺省情况】
SSL VPN网关处于关闭状态。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【举例】
# 开启SSL VPN网关。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] service enable
【相关命令】
· display sslvpn gateway
session-connections命令用来配置每个会话的最大连接数。
undo session-connections命令用来恢复缺省情况。
【命令】
session-connections number
undo session-connections
【缺省情况】
每个会话的同时最大连接数为64。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
number:SSL VPN访问实例下,单个会话的最大连接数,取值范围为0、10~1000。取值为0时表示不限制单个会话的最大连接数。
【使用指导】
SSL VPN会话收到报文时,如果收到报文的单板/设备上该会话的连接数超过单个会话的最大连接数,则回应客户端503 Service Unavailable,并关闭该连接。
在同一个SSL VPN访问实例视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置SSL VPN的单个会话的最大连接数为10。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] session-connections 10
shortcut命令用来创建快捷方式,并进入快捷方式视图。如果指定的快捷方式已经存在,则直接进入快捷方式视图。
undo shortcut命令用来删除指定的快捷方式。
【命令】
shortcut shortcut-name
undo shortcut shortcut-name
【缺省情况】
不存在快捷方式。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
shortcut-name:快捷方式名称,不能以“list-”开头,为1~31个字符的字符串,不区分大小写。
【使用指导】
在快捷方式视图下,通过execution命令配置访问的资源后,SSL VPN用户在Web页面上通过该快捷方式可以快速该访问资源。
【举例】
# 创建快捷方式shortcut1,并进入快捷方式视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] shortcut shortcut1
[Sysname-sslvpn-context-ctx1-shortcut-shortcut1]
shortcut-list命令用来创建快捷方式列表,并进入快捷方式列表视图。如果指定的快捷方式列表已经存在,则直接进入快捷方式列表视图。
undo shortcut-list命令用来删除指定的快捷方式列表。
【命令】
shortcut-list list-name
undo shortcut-list list-name
【缺省情况】
不存在快捷方式列表。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
list-name:快捷方式列表名称,为1~31个字符的字符串,不区分大小写。
【举例】
# 创建快捷方式列表list1,并进入快捷方式列表视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] shortcut-list list1
[Sysname-sslvpn-context-ctx1-shortcut-list-list1]
shutdown命令用来关闭接口。
undo shutdown命令用来开启接口。
【命令】
shutdown
undo shutdown
【缺省情况】
SSL VPN AC接口均处于开启状态。
【视图】
SSL VPN AC接口视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
执行本命令会导致使用该接口转发的业务流量中断,不能通信,请谨慎使用。
【举例】
# 关闭接口SSL VPN AC 1000。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] shutdown
smp authentication命令用来创建SMP认证视图,并进入SMP认证视图。如果SMP认证视图已经存在,则直接进入SMP认证视图。
undo smp authentication命令用来删除SMP认证视图。
【命令】
smp authentication
undo smp authentication
【缺省情况】
不存在SMP认证视图。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
删除SMP认证视图的同时,该视图下的所有内容都将被删除,请慎重操作。
SMP(Security Management Platform,安全业务管理平台),是一个可以对各安全产品进行统一管理的智能管理平台。SSL VPN网关可以通过SMP对接第三方认证平台,实现对SSL VPN用户的身份认证。通过SMP对接第三方认证平台,相对于SSL VPN网关直接对接第三方认证平台,可以简化SSL VPN网关的配置,且方便后续业务的扩展。
SSL VPN网关通过SMP对SSL VPN用户进行身份认证,需要在SSL VPN访问实例视图下的SMP认证视图中,配置SMP对接的第三方认证平台类型(通过smp-platform type命令)、SMP的主机名(通过server-host命令)以及SSL VPN网关与SMP建立连接所需的密钥(通过secret-key命令)。
【举例】
# 在SSL VPN访问实例ctx1下,创建并进入SMP认证视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] smp authentication
[Sysname-sslvpn-context-ctx1-smp-authentication]
smp-platform type命令用来配置SMP对接的第三方认证平台类型。
undo smp-platform type命令用来恢复缺省情况。
【命令】
smp-platform type paraview
undo smp-platform type
【缺省情况】
未配置SMP对接的第三方认证平台类型。
【视图】
SMP认证视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
paraview:表示SMP对接的第三方认证平台类型为派拉软件。
【使用指导】
本命令用于配置SMP对接的第三方认证平台类型。SSL VPN网关通过SMP对SSL VPN用户进行身份认证时,SSL VPN网关将通知SMP需要对接的第三方认证平台类型。SMP与该认证平台对接成功后,由该平台对SSL VPN用户进行身份认证,并将认证结果返回给SMP,SMP再将认证结果返回给SSL VPN网关。
【举例】
# 在SMP认证视图下,配置SMP对接的第三方认证平台类型为paraview。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] smp authentication
[Sysname-sslvpn-context-ctx1-smp-authentication] smp-platform type paraview
sms-auth命令用来创建短信认证视图,并进入短信认证视图。如果指定的短信认证视图已经存在,则直接进入短信认证视图。
undo sms-auth命令用来删除短信认证视图。
【命令】
sms-auth { imc | sms-gw }
undo sms-auth { imc | sms-gw }
【缺省情况】
不存在短信认证视图。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
imc:表示iMC短信认证视图。
sms-gw:表示短信网关认证视图。非缺省vSystem不支持本参数。
【举例】
# 在SSL VPN访问实例ctx1下创建并进入短信网关认证视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw]
【相关命令】
· sms-auth type
sms-auth type命令用来配置短信认证类型,并开启短信认证功能。
undo sms-auth type命令用来恢复缺省情况。
【命令】
sms-auth type { imc | sms-gw }
undo sms-auth type
【缺省情况】
短信认证功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
imc:表示iMC短信认证。
sms-gw:表示短信网关认证。非缺省vSystem不支持本参数。
【使用指导】
开启短信认证功能后,设备将使用短信验证码对用户进行身份验证,验证通过后允许用户登录SSL VPN网关。设备支持两种短信认证方式:
· iMC短信认证
设备使用iMC认证服务器对SSL VPN用户进行短信认证,需要在iMC短信认证视图下配置短信认证使用的iMC服务器的IP地址和端口号。
· 短信网关认证
设备使用短信网关对SSL VPN用户进行短信认证,需要在短信网关认证视图下配置引用的短信网关、短信验证码重新发送的时间间隔和短信验证码的有效时间等参数。
【举例】
# 在SSL VPN访问实例ctx1下配置短信认证类型为短信网关认证sms-gw。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth type sms-gw
【相关命令】
· display sslvpn context
· sms-auth
sms-content命令用来配置发送短信的内容模板。
undo sms-content命令用来恢复缺省情况。
【命令】
sms-content string
undo sms-content
【缺省情况】
短信内容模板为:“您好,$$USER$$,本次登录的短信验证码为:$$VERIFYCODE$$,短信验证码的有效时间为$$VALIDTIME$$分钟。”。
【视图】
短信网关认证视图
【缺省用户角色】
network-admin
context-admin
【参数】
string:短信内容,为1~127个字符的字符串,中文作为两个字符,区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
短信内容模板用于SSL VPN网关生成短信内容。
短信内容由若干字符和三个固定字段组合而成,固定字段包括:
· $$USER$$:用户名变量
· $$VERIFYCODE$$:短信验证码内容变量
· $$VALIDTIME$$:短信验证码有效时间变量
【举例】
# 在sms-gw短信网关认证视图下配置短信内容为“你好,$$USER$$,短信验证码为:$$VERIFYCODE$$,短信验证码的有效时间为$$VALIDTIME$$分钟。”
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw] sms-content 你好,$$USER$$,短信验证码为:$$VERIFYCODE$$,短信验证码的有效时间为$$VALIDTIME$$分钟。
ssl client-policy命令用来配置SSL VPN访问实例引用的SSL客户端策略。
undo ssl client-policy命令用来取消SSL VPN访问实例引用的SSL客户端策略。
【命令】
ssl client-policy policy-name
undo ssl client-policy [ policy-name ]
【缺省情况】
缺省情况下,SSL客户端策略支持的加密套件为dhe_rsa_aes_128_cbc_sha、dhe_rsa_aes_256_cbc_sha、rsa_3des_ede_cbc_sha、rsa_aes_128_cbc_sha、rsa_aes_256_cbc_sha。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
policy-name:表示SSL客户端策略名称,为1~255个字符的字符串,不区分大小写。执行undo ssl client-policy命令时,若不指定本参数,则表示取消SSL VPN访问实例引用的所有SSL客户端策略。
【使用指导】
执行本配置后,SSL VPN网关将使用指定的SSL客户端策略与HTTPS类型的Web服务器建立连接。
SSL VPN访问实例只能引用一个SSL客户端策略。多次执行本命令,最后一次执行的命令生效,但新的配置不会立即生效。请先通过undo service enable命令关闭SSL VPN访问实例,再执行service enable命令开启SSL VPN访问实例后,新的配置才会生效。
有关SSL客户端策略的详细介绍,请参见“安全配置指导”中的“SSL”。
【举例】
# 配置SSL VPN访问实例ctx1引用SSL客户端策略abc。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ssl client-policy abc
ssl server-policy命令用来配置SSL VPN网关引用的SSL服务器端策略。
undo ssl server-policy命令用来取消SSL VPN网关引用的SSL服务器端策略。
【命令】
ssl server-policy policy-name
undo ssl server-policy [ policy-name ]
【缺省情况】
SSL VPN网关引用自签名证书的SSL服务器端策略。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
policy-name:SSL VPN网关引用的SSL服务器端策略名称,为1~255个字符的字符串,不区分大小写。执行undo ssl server-policy命令时,若不指定本参数,则表示取消SSL VPN网关引用的所有SSL服务器端策略。
【使用指导】
通过本命令指定SSL VPN网关引用的SSL服务器端策略后,SSL VPN网关将采用该策略下的参数与远端接入用户建立SSL连接。
SSL VPN网关只能引用一个SSL服务器端策略。多次执行本命令,最后一次执行的命令生效,但新的配置不会立即生效。只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令开启SSL VPN网关后,新的配置才会生效。
当修改引用的SSL服务器端策略的相关属性后,只有执行undo service enable命令关闭SSL VPN网关,并执行service enable命令开启SSL VPN网关后,新的策略才会生效。
【举例】
# 配置SSL VPN网关gw1引用SSL服务器端策略CA_CERT。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ssl server-policy CA_CERT
【相关命令】
· display sslvpn gateway
sslvpn context命令用来创建SSL VPN访问实例,并进入SSL VPN访问实例视图。如果指定的SSL VPN访问实例已经存在,则直接进入SSL VPN访问实例视图。
undo sslvpn context命令用来删除指定的SSL VPN访问实例。
【命令】
sslvpn context context-name
undo sslvpn context context-name
【缺省情况】
不存在SSL VPN访问实例。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
context-name:SSL VPN访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。
【使用指导】
SSL VPN访问实例用来管理用户会话、用户可以访问的资源、用户认证方式等。一个SSL VPN网关可以被多个SSL VPN访问实例引用,不同SSL VPN访问实例对应不同的资源。远端接入用户登录SSL VPN网关后可以访问的资源,由该用户所属的SSL VPN访问实例决定。
【举例】
# 创建名为ctx1的SSL VPN访问实例,并进入SSL VPN访问实例视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1]
【相关命令】
· display sslvpn context
sslvpn gateway命令用来创建SSL VPN网关,并进入SSL VPN网关视图。如果指定的SSL VPN网关已经存在,则直接进入SSL VPN网关视图。
undo sslvpn gateway命令用来删除指定的SSL VPN网关。
【命令】
sslvpn gateway gateway-name
undo sslvpn gateway gateway-name
【缺省情况】
不存在SSL VPN网关。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
gateway-name:SSL VPN网关名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。
【使用指导】
SSL VPN网关位于远端接入用户和企业内部网络之间,负责在二者之间转发报文。SSL VPN网关与远端接入用户建立SSL连接,并对接入用户进行身份认证。远端接入用户的访问请求只有通过SSL VPN网关的安全检查和认证后,才会被SSL VPN网关转发到企业网络内部,从而实现对企业内部资源的保护。
在SSL VPN网关视图下,需要进行以下配置:
· 通过ip address命令指定SSL VPN网关的IP地址和端口号,以便远端接入用户通过该IP地址和端口号访问SSL VPN网关。
· 通过ssl server-policy命令指定SSL VPN网关引用的SSL服务器端策略,以便SSL VPN网关采用该策略下的参数与远端接入用户建立SSL连接。
· 通过service enable命令开启SSL VPN网关。
如果SSL VPN网关被SSL VPN访问实例引用,则该SSL VPN网关不能被删除。请先通过undo gateway命令取消引用,再执行本命令删除SSL VPN网关。
【举例】
# 创建SSL VPN网关gw1,并进入SSL VPN网关视图。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1]
【相关命令】
· display sslvpn gateway
sslvpn gd-quantum命令用来创建SSL VPN国盾量子视图,并进入SSL VPN国盾量子视图。如果SSL VPN国盾量子视图已经存在,则直接进入SSL VPN国盾量子视图。
undo sslvpn gd-quantum命令用来删除SSL VPN国盾量子视图。
【命令】
sslvpn gd-quantum
undo sslvpn gd-quantum
【缺省情况】
不存在SSL VPN国盾量子视图。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
SSL VPN国盾量子视图下,可以配置国盾量子交换密码机的IP地址和端口号、国盾量子密码服务平台软件ID和国盾量子交换密码机ID,以及国盾量子应用账号。
设备从国盾量子交换密码机获取量子密钥的过程如下:
(1) 连接国盾量子交换密码机:当SSL VPN国盾量子视图下的所有命令配置完成后,且开启了国盾量子加密功能,设备将与指定的国盾量子交换密码机建立连接。
(2) 登录国盾量子交换密码机:建立连接后,设备将向国盾量子交换密码机发送登录请求,并携带国盾量子密码服务平台软件ID、国盾量子交换密码机ID和国盾量子应用账户,只有上述参数验证无误后,才能成功登录国盾量子交换密码机。
(3) 获取国盾量子密钥:登录成功后,设备将立即从国盾量子交换密码机获取量子密钥,用于iNode客户端与SSL VPN网关进行SSL协商时生成最终的对称密钥,对SSL VPN用户数据进行加解密。
删除SSL VPN国盾量子视图的同时,会将该视图下的所有内容都删除,请慎重操作。
【举例】
# 在系统视图下,创建并进入SSL VPN国盾量子视图。
<Sysname> system-view
[Sysname] sslvpn gd-quantum
[Sysname-sslvpn-gdquantum]
sslvpn import gd-quantum keyfile命令用来导入设备与国盾量子交换密码机交互时使用的密钥文件。
【命令】
sslvpn import gd-quantum keyfile filename
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
filename:密钥文件名,为1~255个字符的字符串,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
设备需要通过本命令导入密钥文件,密钥文件由国盾量子管理员提供,密钥文件大小不能超过20K。
密钥文件导入之前需要通过FTP、TFTP等协议将密钥文件上传至设备的文件管理系统。如果将文件上传至设备根目录,执行本命令时不需要指定路径;如果将文件上传至非根目录,执行本命令时需要指定完整路径。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 导入设备与国盾量子交换密码机交互时使用的密钥文件gdkey。
<Sysname> system-view
[Sysname] sslvpn import gd-quantum keyfile gdkey
sslvpn ip address-pool命令用来创建IPv4地址池。
undo sslvpn ip address-pool命令用来删除指定的IPv4地址池。
【命令】
sslvpn ip address-pool pool-name start-ip-address end-ip-address
undo sslvpn ip address-pool pool-name
【缺省情况】
不存在IPv4地址池。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
pool-name:IPv4地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
start-ip-address end-ip-address:表示IPv4地址池的起始地址和结束地址,结束地址必须大于起始地址。起始地址和结束地址均不能是组播、广播、环回地址。
【使用指导】
本命令创建的IPv4地址池可以被SSLVPN访问实例和策略组引用,SSL VPN网关将从引用的地址池中选择地址、分配给IP接入方式的客户端。
【举例】
# 创建IPv4地址池pool1,指定地址范围为10.1.1.1~10.1.1.254。
<Sysname> system-view
[Sysname] sslvpn ip address-pool pool1 10.1.1.1 10.1.1.254
【相关命令】
· ip-tunnel address-pool (SSL VPN context view)
· ip-tunnel address-pool (SSL VPN policy group view)
sslvpn ip-client download-path命令用来配置Windows、Mac、Linux系统的IP接入客户端下载路径。
undo sslvpn ip-client download-path命令用来恢复缺省情况。
【命令】
sslvpn ip-client download-path { { common | kylin | uos
} { linux-arm | linux-loongarch | linux-mips | linux-x86 } url url | mac url url | windows { local | official | url url } }
undo sslvpn ip-client download-path { { common | kylin | uos } { linux-arm | linux-loongarch | linux-mips | linux-x86 } | mac | windows }
【缺省情况】
Windows、Mac、Linux系统的IP接入客户端下载路径为官网。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
common:表示通用类型的系统。
kylin:表示银河麒麟类型的系统。
uos:表示统信类型的系统。
linux-arm:表示基于ARM的Linux系统。
linux-loongarch:表示基于龙芯的Linux系统。
linux-mips:表示基于MIPS的Linux系统。
linux-x86:表示基于X86的Linux系统。
mac:表示MAC操作系统。
url url:表示不同操作系统的IP接入客户端下载路径为指定的URL地址,url为1~255个字符的字符串,不区分大小写。
windows local:表示指定Windows系统的IP接入客户端下载路径为设备本地。
windows official:表示指定Windows系统的IP接入客户端下载路径为官网。
windows url url:表示Windows系统的IP接入客户端下载路径为指定的URL地址,url为1~255个字符的字符串,不区分大小写。
【使用指导】
正常情况下,SSL VPN用户下载的IP接入客户端是存储在设备上的,但是对于一些存储空间较小的设备,无法在设备上部署IP接入客户端。
为了解决此问题,SSL VPN网关管理员可以通过本命令配置IP接入客户端的下载路径为官网或者自定义的URL地址。此时,设备既可以节省存储空间,同时SSL VPN用户也可以正常的下载IP接入客户端。
【举例】
# 配置Windows系统的IP接入客户端下载路径为URL地址:https://www.example.com/download/client.exe。
<Sysname> system-view
[Sysname] sslvpn ip-client download-path windows url https://www.example.com/download/client.exe
sslvpn ipv6 address-pool命令用来创建SSL VPN的IPv6地址池。
undo sslvpn ipv6 address-pool命令用来删除指定的SSL VPN的IPv6地址池。
【命令】
sslvpn ipv6 address-pool ipv6-pool-name start-ipv6-address end-ipv6-address
undo sslvpn ipv6 address-pool ipv6-pool-name
【缺省情况】
不存在SSL VPN的IPv6地址池。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6-pool-name:IPv6地址池名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
start-ipv6-address end-ipv6-address:表示IPv6地址池的起始地址和结束地址,结束地址必须大于或等于起始地址。起始地址和结束地址均只能是单播或任播地址,不能是未指定、多播、环回地址,且地址范围内不能包含链路本地地址。
【使用指导】
本命令创建的IPv6地址池可以被SSL VPN访问实例和策略组引用,SSL VPN网关将从引用的IPv6地址池中选择地址、分配给IP接入方式的客户端。
【举例】
# 创建SSL VPN的IPv6地址池pool1,指定地址范围为1234::100~1234::200。
<Sysname> system-view
[Sysname] sslvpn ipv6 address-pool pool1 1234::100 1234::200
【相关命令】
· ip-tunnel ipv6 address-pool (SSL VPN context view)
· ip-tunnel ipv6 address-pool (SSL VPN policy group view)
sslvpn log enable命令用来开启SSL VPN全局日志生成功能。
undo sslvpn log enable命令用来关闭SSL VPN全局日志生成功能。
【命令】
sslvpn log enable
undo sslvpn log enable
【缺省情况】
SSL VPN全局日志生成功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
开启本功能后,SSL VPN网关会生成一些全局日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
目前触发SSL VPN生成全局日志的事件有:
· 不存在可以访问的访问实例。
· 访问未使能的访问实例。
【举例】
# 开启SSL VPN全局日志生成功能。
<Sysname> system-view
[Sysname] sslvpn log enable
sslvpn webpage-customize命令用来设置SSL VPN全局页面模板。
undo sslvpn webpage-customize命令用来恢复缺省情况。
【命令】
sslvpn webpage-customize template-name
undo sslvpn webpage-customize
【缺省情况】
SSL VPN页面为系统缺省页面。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
template-name:页面模板的名称,为1~31的字符串,不能包括下列任何字符“/”、“\”、“|”、“:”、“*”、““”、“?”、“<”和“>”。
【使用指导】
非缺省vSystem不支持本命令。
本功能用来设置SSL VPN网关登录页面和资源页面使用的全局页面模板,该模板可以是预定义页面模板,也可以是自定义页面模板。
需要通过Web网管页面上传和下载页面模板。可以通过下载预定义的模板,来编辑自定义的模板。
通过display sslvpn webpage-customize template命令可以查看目前系统中所有的SSL VPN页面模板。
当在访问实例下配置了定制页面时,优先使用访问实例下的配置。
【举例】
# 设置SSL VPN页面使用的页面模板为template1。
<Sysname> system-view
[Sysname] sslvpn webpage-customize template1
【相关命令】
· display sslvpn webpage-customize template
· webpage-customize
sso auto-build code命令用来配置自动构建登录请求方式下单点登录的登录请求报文的字符编码方式。
undo sso auto-build code命令用来恢复缺省情况。
【命令】
sso auto-build code { gb18030 | utf-8 }
undo sso auto-build code
【缺省情况】
自动构建登录请求方式下单点登录的登录请求报文的字符编码方式为UTF-8。
【视图】
URL表项视图
【缺省用户角色】
network-admin
context-admin
【参数】
gb18030:表示自动构建登录请求方式下单点登录的登录请求报文使用GB18030编码。
utf-8:表示自动构建登录请求方式下单点登录的登录请求报文使用UTF-8编码。
【使用指导】
非缺省vSystem不支持本命令。
对登录请求报文编码是指通过一定的编码规则将其转换成二进制格式进行传输。SSL VPN网关支持使用GB18030和UTF-8两种字符编码方式对登录请求报文进行编码。SSL VPN网关管理员需要根据内网服务器支持的解码方式来设置具体的字符编码方式。
在同一个URL表项视图下,多次执行本命令,最后一次执行生效。
【举例】
# 在URL表项servera下配置自动构建登录请求方式下单点登录的登录请求报文的字符编码方式为GB18030。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso auto-build code gb18030
【相关命令】
· sso auto-build custom-login-parameter
· sso auto-build login-parameter-field
· sso auto-build request-method
· sso method
sso auto-build custom-login-parameter命令用来配置自动构建登录请求方式下单点登录的自定义登录参数。
undo sso auto-build custom-login-parameter命令用来恢复缺省情况。
【命令】
sso auto-build custom-login-parameter name parameter-name value value [ encrypt ]
undo sso auto-build custom-login-parameter name parameter-name
【缺省情况】
未配置自动构建登录请求方式下单点登录的自定义登录参数。
【视图】
URL表项视图
【缺省用户角色】
network-admin
context-admin
【参数】
name parameter-name:自定义登录参数的属性名,为1~63个字符的字符串,区分大小写。
value value:自定义登录参数的属性值,为1~255个字符的字符串,区分大小写。
encrypt:表示使用加密文件对获取到的登录参数取值进行加密。该加密文件由sso auto-build encrypt-file命令配置。
【使用指导】
非缺省vSystem不支持本命令。
当采用自动构建登录请求方式的单点登录时,可以通过sso auto-build custom-login-parameter命令指定单点登录的自定义登录参数的属性名以及属性名对应的属性值。SSL VPN网关管理员可以根据需要配置自定义的登录参数。
SSL VPN网关将使用配置的自定义登录参数与配置的登录参数(通过sso auto-build login-parameter命令)来构建登录请求。
【举例】
# 在URL表项servera下配置自动构建登录请求方式下单点登录的自定义登录参数的属性名为“commit”,属性值为“登录”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso auto-build custom-login-parameter name commit value 登录
【相关命令】
· sso auto-build code
· sso auto-build encrypt-file
· sso auto-build login-parameter
· sso auto-build request-method
· sso method
sso auto-build encrypt-file命令用来配置自动构建登录请求方式下单点登录的登录参数加密文件。
undo sso auto-build encrypt-file命令用来恢复缺省情况。
【命令】
sso auto-build encrypt-file filename
undo sso auto-build encrypt-file
【缺省情况】
未配置自动构建登录请求方式下单点登录的登录参数加密文件。
【视图】
URL表项视图
【缺省用户角色】
network-admin
context-admin
【参数】
filename:加密文件名,为1~255个字符的字符串,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
自动构建登录请求方式下单点登录的登录参数取值如果需要加密,必须指定对应的加密文件。
加密文件是使用JavaScript语法编写的包含加密处理函数的文件,需由SSL VPN网关管理员提前上传至设备的文件管理系统。如果将文件上传至设备根目录时,执行本命令不需要指定路径;如果将文件上传至非根目录时,执行本命令时需要指定完整路径。SSL VPN网关管理员需要按照如下模板编写加密函数:
function sslvpn_sso_encrypt(code)
{
//加密处理编码
}
【举例】
# 在URL表项servera下配置自动构建访问请求方式下单点登录的登录参数加密使用的加密文件test.js。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso auto-build encrypt-file test.js
sso auto-build login-parameter命令用来配置自动构建登录请求方式下单点登录的登录参数。
undo sso auto-build login-parameter命令用来恢复缺省情况。
【命令】
sso auto-build login-parameter { cert-fingerprint | cert-serial | cert-title | custom-password | custom-username | login-name | login-password | mobile-num | user-group } name parameter-name [ encrypt ]
undo sso auto-build login-parameter { cert-fingerprint | cert-serial | cert-title | custom-password | custom-username | login-name | login-password | mobile-num | user-group }
【缺省情况】
未配置自动构建登录请求方式下单点登录的登录参数。
【视图】
URL表项视图
【缺省用户角色】
network-admin
context-admin
【参数】
login-name:表示取SSL VPN登录用户名作为单点登录的登录参数取值。
login-password:表示取SSL VPN登录密码作为单点登录的登录参数取值。
cert-title:表示取登录SSL VPN网关使用的证书标题作为单点登录的登录参数取值。
cert-serial:表示取登录SSL VPN网关使用的证书序列号作为单点登录的登录参数取值。
cert-fingerprint:表示取登录SSL VPN网关使用的证书指纹作为单点登录的登录参数取值。
mobile-num:表示取短信认证配置的手机号码作为单点登录的登录参数取值。
user-group:表示取SSL VPN用户所在的用户组作为单点登录的登录参数取值。
custom-username:表示取SSL VPN网关管理员通过SSL VPN网管页面设置的自定义用户名作为单点登录的登录参数取值。
custom-password:表示取SSL VPN网关管理员通过SSL VPN网管页面设置的自定义密码作为单点登录的登录参数取值。
name parameter-name:单点登录的登录参数的属性名,为1~63个字符的字符串,区分大小写。
encrypt:表示使用加密文件对获取到的登录参数取值进行加密。该加密文件由sso auto-build encrypt-file命令配置。
【使用指导】
非缺省vSystem不支持本命令。
当采用自动构建登录请求方式的单点登录时(通过sso method auto-build命令),需要通过sso auto-build login-parameter命令选择不同类型的参数作为单点登录的登录参数,并指定单点登录的登录参数属性名。该属性名为SSL VPN网关登录内网服务器使用的参数名称,内网服务器会根据参数属性名查找参数取值,判断登录用户是否为合法用户。同一个属性名可以配置不同类型的参数,同一个类型的参数可以配置不同的属性名。
SSL VPN网关将根据配置的参数类型,提取对应的参数取值作为单点登录的参数取值。SSL VPN网关将使用提取到的登录参数取值与配置的自定义登录参数(通过sso auto-build custom-login-parameter命令)来构建登录请求。
【举例】
# 在URL表项servera下配置自动构建登录请求方式下单点登录的登录参数的参数类型为“cert-title”,登录参数的属性名为“login”,并使用加密文件对登录参数的值进行加密。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso auto-build login-parameter cert-title name login encrypt
sso auto-build request-method命令用来配置自动构建登录请求方式下单点登录的HTTP请求方式。
undo sso auto-build request-method命令用来恢复缺省情况。
【命令】
sso auto-build request-method { get | post }
undo sso auto-build request-method
【缺省情况】
自动构建登录请求方式下单点登录的HTTP请求方式为GET。
【视图】
URL表项视图
【缺省用户角色】
network-admin
context-admin
【参数】
get:表示HTTP请求方式为GET。
post:表示HTTP请求方式为POST。
【使用指导】
非缺省vSystem不支持本命令。
自动构建登录请求方式下单点登录的HTTP请求方式,表示SSL VPN网关采用何种请求方式向内网服务器发送HTTP请求报文,设备支持两种请求方式:GET和POST。SSL VPN网关管理员需要根据内网服务器设置具体的请求方式。
在同一个URL表项视图下,多次执行本命令,最后一次执行生效。
【举例】
# 在URL表项servera下配置自动构建登录请求方式下单点登录的HTTP请求方式为POST。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso auto-build request-method post
sso basic custom-username-password enable命令用来使能Basic认证方式下单点登录使用自定义用户名和密码。
undo sso basic custom-username-password enable命令用来恢复缺省情况。
【命令】
sso basic custom-username-password enable
undo sso basic custom-username-password enable
【缺省情况】
Basic认证方式的单点登录使用SSL VPN登录用户名和密码。
【视图】
URL表项视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
当采用Basic认证方式的单点登录时,可以通过本命令使能设备使用自定义用户名和密码实现单点登录。该自定义用户名和密码由SSL VPN网关管理员通过Web网管界面配置。
【举例】
# 在URL表项servera下使能Basic认证方式的单点登录使用自定义用户名和密码。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso basic custom-username-password enable
【相关命令】
· sso method
sso method命令用来配置单点登录方式,并开启单点登录功能。
undo sso method命令用来恢复缺省情况。
【命令】
sso method { auto-build | basic }
undo sso method
【缺省情况】
SSL VPN单点登录功能处于关闭状态。
【视图】
URL表项视图
【缺省用户角色】
network-admin
context-admin
【参数】
auto-build:表示自动构建登录请求方式的单点登录。
basic:表示Basic认证方式的单点登录。
【使用指导】
非缺省vSystem不支持本命令。
SSL VPN支持SSO(Single Sign on,单点登录)是指SSL VPN用户只需要完成一次登录认证,即可访问所有相互信任的应用系统。通过配置单点登录信息,使得用户登录SSL VPN网关后,再通过Web接入方式访问内网资源时,不必输入内网服务器的登录用户名和密码。
设备支持两种单点登录方式:
· 自动构建登录请求方式:SSL VPN网关管理员通过抓包工具获取内网服务器的登录请求报文,并根据请求报文设置单点登录信息(HTTP请求方式、登录请求报文的编码方式、登录参数、登录参数取值的加密文件),自动构建登录请求。
自动构建登录请求方式的单点登录目前仅支持用于登录通过用户名/密码认证的内网服务器。
· Basic认证方式:Basic认证是一种简单的HTTP认证方式,指客户端通过Web页面访问服务器时,如果服务器需要对客户端进行Basic认证,会弹出Basic认证对话框,要求客户端输入用户名和密码,服务器会根据输入的用户名和密码,判断客户端是否合法。Basic认证方式的单点登录是指,SSL VPN网关作为客户端自动添加用户名和密码(此用户名和密码可以是登录SSL VPN网关的用户名和密码,或者自定义的用户名和密码),模拟Basic认证方式实现单点登录。
Basic认证方式的单点登录仅用于登录支持Basic认证方式登录的内网服务器。
【举例】
# 在URL表项servera下配置单点登录方式为Basic认证方式。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso method basic
tcp-access enable命令用来开启角色的TCP接入功能。
undo tcp-access enable命令用来关闭角色的TCP接入功能。
【命令】
tcp-access enable
undo tcp-access enable
【缺省情况】
角色的TCP接入功能处于关闭状态。
【视图】
角色视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
在角色中开启TCP接入功能后,属于该角色的SSL VPN用户将可以使用TCP接入方式访问内网资源。
【举例】
# 在角色role1中,开启TCP接入功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-contxt-ctx] role role1
[Sysname-sslvpn-contxt-ctx-role-role1] tcp-access enable
timeout idle命令用来配置SSL VPN会话保持空闲状态的最长时间。
undo timeout idle命令用来恢复缺省情况。
【命令】
timeout idle minutes
undo timeout idle
【缺省情况】
SSL VPN会话保持空闲状态的最长时间为30分钟。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
minutes:SSL VPN会话保持空闲状态的最长时间,取值范围为1~1440,单位为分钟。
【使用指导】
如果SSL VPN会话保持空闲状态的时间超过本命令配置的值,则将断开该会话。
【举例】
# 配置SSL VPN会话保持空闲状态的最长时间为50分钟。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] timeout idle 50
【相关命令】
· display sslvpn policy-group
title命令用来配置SSL VPN页面的标题信息。
undo title命令用来恢复缺省情况。
【命令】
title { chinese chinese-title | english english-title }
undo title { chinese | english }
【缺省情况】
SSL VPN页面的标题为“SSL VPN”。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
chinese chinese-title:指定中文页面的标题信息。chinese-title为1~255个字符的字符串,区分大小写。
english english-title:指定英文页面的标题信息。english-title为1~255个字符的字符串,区分大小写。
【举例】
# 配置SSL VPN英文页面的标题信息为“SSL VPN service for company A”,中文页面的标题信息为“公司A的SSL VPN服务”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] title english SSL VPN service for company A
[Sysname-sslvpn-context-ctx1] title chinese公司A的SSL VPN服务
uri-acl命令用来创建URI ACL,并进入URI ACL视图。如果指定的URI ACL已经存在,则直接进入URI ACL视图。
undo uri-acl命令用来删除指定的URI ACL。
【命令】
uri-acl uri-acl-name
undo uri-acl uri-acl-name
【缺省情况】
不存在URI ACL。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
uri-acl-name:URI ACL名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
此命令创建URI形式的ACL,用于对SSL VPN的各种接入方式进行更精细的控制。对URL进行匹配,符合要求的URL请求可以访问对应的资源。
在一个SSL VPN访问实例视图中可以配置多个URI ACL。
【举例】
# 创建名称为uriacla的URI ACL,并进入URI ACL视图。
<Sysname> system-view
[Sysname] sslvpn context abc
[Sysname-sslvpn-context-abc] uri-acl uriacla
[Sysname-sslvpn-context-abc-uri-acl-uriacla]
url命令用来配置文件策略应用的URL地址。
undo url命令用来恢复缺省情况。
【命令】
url url
undo url
【缺省情况】
不存在文件策略应用的URL地址。
【视图】
文件策略视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
url:表示文件策略应用的完整路径,为1~256个字符的字符串,不区分大小写。
【使用指导】
只有配置的url与网关正在处理的网页文件的URL相同时,才会根据文件策略中的配置对该网页文件内容进行改写。
完整URL的语法为scheme://user:password@host:port/path,其含义如下:
· scheme:表示访问服务器以获取资源时使用的协议类型,目前支持HTTP和HTTPS。
· user:password:访问资源时需要提供的用户名和密码。
· host:资源服务器的主机名或IPv4/IPv6地址。如果URL中包含IPv6地址,需要为该IPv6地址增加一个中括号,例如:https://[1234::5678]:4430/a.html。
· port:资源服务器正在监听的端口号。大多数协议类型都有默认的端口号(例如:HTTP为80、HTTPS为443等)。
· path:服务器上资源的本地路径。
每个文件策略只能创建一个URL。同一SSL VPN访问实例下不同文件策略下的URL不能相同。
【举例】
# 配置文件策略fp应用的URL地址。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp] url https://192.168.1.1:4430/js/test.js
url命令用来配置资源的URL。
undo url命令用来删除资源的URL。
【命令】
url url
undo url
【缺省情况】
URL表项中不存在资源的URL。
【视图】
URL表项视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
url:表示URL表项中资源的URL,为1~253个字符的字符串,不区分大小写。
【使用指导】
一个URL由协议类型、主机名或地址、端口号、资源路径四部分组成,完整格式为“协议类型://主机名称或地址:端口号/资源路径”。
协议类型目前仅支持HTTP和HTTPS,如果没有指定,协议类型缺省为HTTP。
每一种协议类型都有一个缺省的端口号,例如HTTP缺省端口号为80,HTTPS缺省端口号为443。
如果URL中包含IPv6地址,需要为该IPv6地址增加一个中括号,例如https://[1234::5678]:4430。
多次执行本命令,最后一次执行的生效。
【举例】
# 在URL表项serverA中配置资源的URL为www.example.com。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item serverA
[Sysname-sslvpn-context-ctx1-url-item-serverA] url www.example.com
url-item命令用来创建URL表项,并进入URL表项视图。如果指定的URL表项已经存在,则直接进入URL表项视图。
undo url-item命令用来删除指定的URL表项。
【命令】
url-item url-item-name
undo url-item url-item-name
【缺省情况】
SSL VPN访问实例下不存在URL表项。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
url-item-name:表示URL表项的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
可以在同一个SSL VPN访问实例下创建多个URL表项,被URL列表引用的URL表项无法被删除。
URL表项名称即URL对应的链接名。
【举例】
# 创建名称为serverA的URL表项,并进入URL表项视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item serverA
[Sysname-sslvpn-context-ctx1-url-item-serverA]
url-list命令用来创建URL列表并进入URL列表视图。如果指定的URL列表已经存在,则直接进入URL列表视图。
undo url-list命令用来删除URL列表。
【命令】
url-list name
undo url-list name
【缺省情况】
不存在URL列表。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
name:URL列表名称,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
【举例】
# 创建名为url1的URL列表,并进入URL列表视图。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-list url1
[Sysname-sslvpn-context-ctx1-url-list-url1]
【相关命令】
· sslvpn context
url-mapping命令用来配置URL资源的映射方式。
undo url-mapping命令用来恢复缺省情况。
【命令】
url-mapping { domain-mapping domain-name | port-mapping gateway gateway-name [ virtual-host virtual-host-name ] } [ rewrite-enable ]
undo url-mapping
【缺省情况】
URL资源的映射方式为常规改写。
【视图】
URL表项视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
domain-mapping domain-name:域名映射方式,domain-name表示映射的域名,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。配置的映射域名不能和SSL VPN网关的域名相同。
port-mapping gateway gateway-name:端口映射方式,gateway-name表示引用的SSL VPN网关名,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。引用的SSL VPN网关名必须已存在。
virtual-host virtual-host-name:虚拟主机名称,为1~127个字符的字符串,只能包含字母、数字、下划线、“-”和“.”,不区分大小写。若不指定此参数,则表示对SSL VPN网关的引用方式为独占引用。
rewrite-enable:开启URL改写功能。开启此功能后,SSL VPN网关将对内网服务器返回的绝对URL(全路径URL,一般为内网服务器页面中链接到其他服务器的URL,如果不进行改写用户将无法访问此URL)进行改写,提高用户的接入体验。通常建议开启,若不指定本参数,则表示不会对绝对URL进行改写。
【使用指导】
缺省情况下SSL VPN网关会对URL进行常规改写,目前仅支持对HTML、XML、CSS和JavaScript类型的文件进行改写。常规改写可能会造成URL映射遗漏和映射错误等问题,从而导致SSL VPN客户端不能访问内网资源。因此可以通过配置域名映射或端口映射的方式解决此问题。
在配置域名映射时,需保证SSL VPN客户端可以解析到配置的映射域名(通过DNS解析或者在客户端上添加相应Hosts条目等方式皆可),映射域名对应的IP地址为当前SSL VPN网关的IP地址。
在配置端口映射时,引用的SSL VPN网关可以为任意已存在的SSL VPN网关。但若以独占方式引用SSL VPN网关,则该网关不允许被其他访问实例或URL表项引用。
多次执行本命令,最后一次执行的生效。
【举例】
# 配置表项名为serverA,URL为www.server.example.com,访问方式为域名映射,映射的域名为www.domain.example.com,同时开启URL改写功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item serverA
[Sysname-sslvpn-context-ctx1-url-item-serverA] url www.server.example.com
[Sysname-sslvpn-context-ctx1-url-item-serverA] url-mapping domain-mapping http://www.domain.com/ rewrite-enable
# 配置表项名为serverB,URL为www.server.example.com,访问方式为端口映射,以虚拟主机名方式引用网关gw1,同时开启URL改写功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item serverB
[Sysname-sslvpn-context-ctx1-url-item-serverB] url www.server.example.com
[Sysname-sslvpn-context-ctx1-url-item-serverB] url-mapping port-mapping gateway gw1 virtual-host host1 rewrite-enable
【相关命令】
· url-item
· url
url-masking enable命令用来开启URL伪装功能。
undo url-masking enable命令用来关闭URL伪装功能。
【命令】
url-masking enable
undo url-masking enable
【缺省情况】
URL伪装功能处于关闭状态。
【视图】
SSL VPN访问实例视图
URL表项视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
URL地址伪装是指将SSL VPN访问实例下所配置的Web接入业务中的Web资源URL转换成一定规则的编码字符串对SSL VPN用户呈现,从而达到隐藏真实的Web资源URL的目的。
若在SSL VPN访问实例视图下开启URL伪装功能,则该实例下所有Web资源都会开启URL伪装功能。此时若需要关闭URL伪装功能,只能在该实例视图下执行undo url-masking enable命令关闭该SSL VPN访问实例下所有URL的伪装功能,而不能在URL表项视图下单独关闭某个URL的伪装功能。
只有当SSL VPN访问实例下的URL伪装功能处于关闭状态时,才能在URL表项视图下开启或关闭单个URL的伪装功能。
【举例】
# 在URL表项视图下,开启指定URL表项的Web资源URL伪装功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] url-item urlitem
[Sysname-sslvpn-context-ctx-url-item-urlitem] url-masking enable
# 在SSL VPN访问实例视图下,开启该实例下所有Web资源的URL伪装功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] url-masking enable
user命令用来创建SSL VPN用户,并进入SSL VPN用户视图。如果指定的SSL VPN用户已经存在,则直接进入该SSL VPN用户视图。
undo user命令用来删除指定的SSL VPN用户。
【命令】
user username
undo user username
【缺省情况】
不存在SSL VPN用户。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
username:表示SSL VPN用户名,为1~63个字符的字符串,区分大小写,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”和“>”。
【使用指导】
一个SSL VPN访问实例中可以配置多个SSL VPN用户。
【举例】
# 创建名为user1的SSL VPN用户,并进入SSL VPN用户视图。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] user user1
[Sysname-sslvpn-context-ctx-user-user1]
verification-code send-interval命令用来配置短信验证码重新发送的时间间隔。
undo verification-code send-interval命令用来恢复缺省情况。
【命令】
verification-code send-interval seconds
undo verification-code send-interval
【缺省情况】
短信验证码重新发送的时间间隔为60秒。
【视图】
短信网关认证视图
【缺省用户角色】
network-admin
context-admin
【参数】
seconds:短信验证码重新发送的时间间隔,取值范围为0~3600,单位为秒。
【使用指导】
非缺省vSystem不支持本命令。
当时间超过短信验证码重新发送的时间间隔时,用户可以重新获取新的短信验证码。
【举例】
# 在sms-gw短信网关认证视图下配置短信验证码重新发送的时间间隔为80秒。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw] verification-code send-interval 80
verification-code validity命令用来配置短信验证码的有效时间。
undo verification-code validity命令用来恢复缺省情况。
【命令】
verification-code validity minutes
undo verification-code validity
【缺省情况】
短信验证码的有效时间为1分钟。
【视图】
短信网关认证视图
【缺省用户角色】
network-admin
context-admin
【参数】
minutes:短信验证码有效时间,取值范围为1~1440,单位为分钟。
【使用指导】
非缺省vSystem不支持本命令。
【举例】
# 在sms-gw短信网关认证视图下配置短信验证码的有效时间为30分钟。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw] verification-code validity 30
verify-code enable命令用来开启验证码验证功能。
undo verify-code enable命令用来关闭验证码验证功能。
【命令】
verify-code enable
undo verify-code enable
【缺省情况】
验证码验证功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
开启验证码验证后,用户登录时需要输入验证码。只有验证码验证成功后,才允许用户登录SSL VPN页面。
【举例】
# 开启验证码验证功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] verify-code enable
vpn-instance命令用来配置SMP关联的VPN实例。
undo vpn-instance命令用来恢复缺省情况。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
SMP属于公网。
【视图】
SMP认证视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
vpn-instance-name:SMP关联的L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
执行本命令后,SMP包含的资源将属于关联的VPN实例,否则,SMP包含的资源将属于公网。
每个SMP只能关联一个VPN实例,当SSL VPN网关对接的SMP属于某个VPN实例时,需要通过本命令配置SMP关联的VPN实例。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SMP认证视图下,配置VPN实例vpn1。
<Sysname> System-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] smp authentication
[Sysname-sslvpn-context-ctx1-smp-authentication] vpn-instance vpn1
vpn-instance命令用来配置SSL VPN访问实例关联的VPN实例。
undo vpn-instance命令用来恢复缺省情况。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
SSL VPN访问实例关联公网。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
vpn-instance-name:SSL VPN访问实例关联的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
执行本命令后,SSL VPN访问实例包含的资源将属于关联的VPN实例。
每个SSL VPN访问实例只能关联一个VPN实例。
SSL VPN访问实例可以关联不存在的VPN实例,但该SSL VPN访问实例会处于未生效的状态。待VPN实例创建后,SSL VPN访问实例进入生效状态。
如果配置修改关联的VPN实例,则该访问实例下的所有用户绑定IP地址的配置均会被删除。
【举例】
# 配置名为contex1的SSL VPN访问实例关联VPN实例vpn1。
<Sysname> System-view
[Sysname] sslvpn context context1
[Sysname-sslvpn-context-context1] vpn-instance vpn1
vpn-instance命令用来配置SSL VPN网关所属的VPN实例。
undo vpn-instance命令用来恢复缺省情况。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
SSL VPN网关属于公网。
【视图】
SSL VPN网关视图
【缺省用户角色】
network-admin
context-admin
【参数】
vpn-instance-name:SSL VPN网关所属的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
每个SSL VPN网关只能属于一个VPN实例。SSL VPN所属的VPN实例又称为front VPN instance。
本命令指定的VPN实例可以不存在,但此时SSL VPN网关处于不生效的状态。待VPN实例创建后,SSL VPN网关进入生效状态。
【举例】
# 配置SSL VPN网关gateway1属于VPN实例vpn1。
<Sysname> system-view
[Sysname] sslvpn gateway gateway1
[Sysname-sslvpn-gateway-gateway1] vpn-instance vpn1
web-access enable命令用来开启角色的Web接入功能。
undo web-access enable命令用来关闭角色的Web接入功能。
【命令】
web-access enable
undo web-access enable
【缺省情况】
角色的Web接入功能处于关闭状态。
【视图】
角色视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
在角色中开启Web接入功能后,属于该角色的SSL VPN用户将可以使用Web接入方式访问内网资源。
【举例】
# 在角色role1中,开启Web接入功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-contxt-ctx] role role1
[Sysname-sslvpn-contxt-ctx-role-role1] web-access enable
web-access ip-client auto-activate命令用来开启Web方式成功登录SSL VPN网关后自动启动IP客户端功能。
undo web-access ip-client auto-activate命令用来关闭Web方式成功登录SSL VPN网关后自动启动IP客户端功能。
【命令】
web-access ip-client auto-activate
undo web-access ip-client auto-activate
【缺省情况】
Web方式成功登录SSL VPN网关后自动启动IP客户端功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
开启此功能,SSL VPN用户通过Web方式成功登录SSL VPN网关后,设备会自动启动用户主机上的IP客户端,且会自动连接SSL VPN网关,连接成功后SSL VPN用户可以使用IP接入方式访问授权的资源。若用户主机上未安装IP客户端,则先提示用户下载并安装IP客户端,安装完成后IP客户端会自动启动。
为使IP客户端自启动后成功连接SSL VPN网关,需要保证设备上已创建IP接入服务资源。
开启本功能时如果用户在PC上已经通过IP客户端成功登录,则无法通过浏览器直接访问SSL VPN网关,需通过点击IP客户端的“打开资源列表”选项,在浏览器中访问SSL VPN网关。
【举例】
# 在SSL VPN访问实例ctx1下开启Web方式成功登录SSL VPN网关后自动启动IP客户端功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] web-access ip-client auto-activate
webpage-customize命令用来设置SSL VPN页面模板。
undo webpage-customize命令用来恢复缺省情况。
【命令】
webpage-customize template-name
undo webpage-customize
【缺省情况】
使用SSL VPN全局页面模板。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
template-name:页面模板的名称,为1~31的字符串,不能包括下列任何字符“/”、“\”、“|”、“:”、“*”、““”、“?”、“<”和“>”。
【使用指导】
非缺省vSystem不支持本命令。
本功能用来设置SSL VPN网关登录页面和资源页面使用的页面模板,该模板可以是预定义页面模板,也可以是自定义页面模板。
需要通过Web网管页面上传和下载页面模板。可以通过下载预定义的模板,来编辑自定义的模板。
通过display sslvpn webpage-customize template命令可以查看目前系统中所有的SSL VPN页面模板。
SSL VPN访问实例视图下设置的SSL VPN页面模板优先级高于系统视图下设置的全局SSL VPN页面模板。
若在SSL VPN访问实例视图下设置了自定义页面模板,则SSL VPN访问实例视图下定制的页面信息不再生效。
【举例】
# 设置SSL VPN访问实例ctx使用的页面模板为template1。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] webpage-customize template1
【相关命令】
· display sslvpn webpage-customize template
· sslvpn webpage-customize
wechat-work-authentication agent-id命令用来配置企业微信扫码认证使用的应用ID。
undo wechat-work-authentication agent-id命令用来恢复缺省情况。
【命令】
wechat-work-authentication agent-id agent-id
undo wechat-work-authentication agent-id
【缺省情况】
未配置企业微信扫码认证使用的应用ID。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
agent-id:表示企业微信扫码认证使用的应用ID,为1~63个字符的字符串,不区分大小写。
【使用指导】
如需使用企业微信扫码认证方式对用户进行认证和授权,则必须通过执行本命令配置企业微信扫码认证时使用的应用ID。
应用ID可在企业微信管理平台的“应用管理”>“应用详情”>“Agentid”中查看。
企业微信扫码认证功能仅支持在Web接入方式以及IP接入方式(通过iNode客户端)下进行企业微信扫码登录。
对于IP接入方式,设备缺省证书不支持企业微信扫码认证功能,请安装可信的SSL证书。
通过企业微信扫码认证的用户仅支持授权SSL VPN缺省策略组。
多次执行本命令,最后一次执行的命令生效。
非缺省vSystem不支持本命令。
【举例】
# 配置企业微信扫码认证使用的应用ID为30010001。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication agent-id 30010001
wechat-work-authentication app-secret命令用来配置企业微信认证中企业应用数据的访问密钥。
undo wechat-work-authentication app-secret命令用来恢复缺省情况。
【命令】
wechat-work-authentication app-secret app-secret
undo wechat-work-authentication app-secret
【缺省情况】
未配置企业微信认证中企业应用数据的访问密钥。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
app-secret:企业应用数据的访问密钥,为1~127个字符的字符串,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
企业应用数据的访问密钥是企业应用中用于保障数据安全的“钥匙”,每个应用都有一个独立的访问密钥,为了保证数据安全,此密钥务必不能泄漏。
此访问密钥和企业ID一起用于生成SSL VPN网关向企业微信API服务器获取相关企业用户信息时的重要凭据。
此访问密钥在企业微信管理平台上的查看路径为:“应用管理”>“应用详情”。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx下,配置企业应用数据的访问密钥为hpLRFnu7OxedV5bNd9OD0Xi。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication app-secret hpLRFnu7OxedV5bNd9OD0Xi
【相关命令】
· wechat-work-authentication corp-id
wechat-work-authentication authorize-field命令用来配置企业微信授权策略组字段名。
undo wechat-work-authentication authorize-field命令用来恢复缺省情况。
【命令】
wechat-work-authentication authorize-field authorize-field
undo wechat-work-authentication authorize-field
【缺省情况】
未配置企业微信授权策略组字段名。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
authorize-field:企业微信授权策略组字段名,为1~31个字符的字符串,不区分大小写,支持输入中文字符。
【使用指导】
非缺省vSystem不支持本命令。
本命令配置的企业微信授权策略组字段名,用于SSL VPN网关从企业微信API服务器获取的应答报文中解析策略组名称(即企业员工所属的组织信息)。
假设定义了授权策略组字段名为group,若企业微信API服务器的应答报文含有group:ziliao字段,则SSL VPN网关会得到用户的授权策略组名称为ziliao,然后查找本地是否配置了名称为ziliao的策略组:
· 若已配置,则授权用户访问此策略组中对应的内网资源。
· 若未配置,则授权用户访问缺省策略组中的内网资源。
为了保证SSL VPN网关能够解析应答报文中的授权策略组名称,授权策略组字段名需要SSL VPN网关管理员提前从企业微信获取。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx下,配置企业微信授权策略组字段名为group。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication authorize-field group
wechat-work-authentication corp-id命令用来配置企业微信认证使用的企业ID。
undo wechat-work-authentication corp-id命令用来恢复缺省情况。
【命令】
wechat-work-authentication corp-id corp-id
undo wechat-work-authentication corp-id
【缺省情况】
未配置企业微信认证使用的企业ID。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
corp-id:企业微信认证使用的企业ID,为1~63个字符的字符串,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
企业ID在企业微信上唯一标识一个企业,企业ID和企业应用的访问密钥(通过wechat-work-authentication app-secret命令配置)一起用于生成SSL VPN网关向企业微信API服务器获取用户信息时的重要凭据。
企业ID在企业微信管理平台上的查看路径为:“我的企业”>“企业信息”。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx下,配置企业ID为wxdd725338566d6ffe。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication corp-id wxdd725338566d6ffe
【相关命令】
· wechat-work-authentication app-secret
wechat-work-authentication enable命令用来开启企业微信认证功能。
undo wechat-work-authentication enable命令用来关闭企业微信认证功能。
【命令】
wechat-work-authentication enable
undo wechat-work-authentication enable
【缺省情况】
企业微信认证功能处于关闭状态。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
企业微信认证功能是指,设备从企业微信获取企业用户信息,并使用该信息对用户进行认证和授权。
企业微信扫码认证功能以及企业微信客户端访问内网资源功能均需要开启企业微信认证功能。
【举例】
# 在SSL VPN访问实例ctx下,开启企业微信认证功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication enable
wechat-work-authentication open-platform-url命令用来配置微信开放平台的URL地址。
undo wechat-work-authentication open-platform-url命令用来恢复缺省情况。
【命令】
wechat-work-authentication open-platform-url { pre-defined | user-defined user-defined-url }
undo wechat-work-authentication open-platform-url
【缺省情况】
未配置微信开放平台的URL地址。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
pre-defined:预定义的URL地址,为https://open.weixin.qq.com。
user-defined user-defined-url:自定义的URL地址,为1~63个字符的字符串,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
正常情况下,SSL VPN网关收到内网服务器的应答报文后,SSL VPN会检查HTTP报文头中是否带有Location字段,如果有该字段,SSL VPN网关将改写Location字段中的URL地址,并将报文转发给SSL VPN客户端。因此,SSL VPN客户端后续的请求报文才能够到达SSL VPN网关。
特殊情况下,SSL VPN网关与企业微信对接时,内网服务器发送给SSL VPN网关的应答报文可能是要求用户再一次向企业微信发送认证请求,此时SSL VPN就不能改写此Location字段中的URL地址,以便报文转发给客户端后,客户端能够正常访问企业微信服务器,完成后续的认证、授权。否则,企业微信服务器将无法收到客户端的请求报文,本次企业微信认证失败。
SSL VPN网关管理员需要设置不改写的Location字段中的URL地址为微信开放平台的URL地址。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx下,配置微信开放平台的URL地址为预定义地址:https://open.weixin.qq.com。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication open-platform url pre-defined
wechat-work-authentication timeout命令用来配置企业微信认证的超时时间。
undo wechat-work-authentication timeout命令用来恢复缺省情况。
【命令】
wechat-work-authentication timeout seconds
undo wechat-work-authentication timeout
【缺省情况】
企业微信认证的超时时间为15秒。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
seconds:企业微信认证的超时时间,取值范围为5~50,单位为秒。
【使用指导】
非缺省vSystem不支持本命令。
SSL VPN网关向企业微信API服务器发送HTTP请求报文后,如果在超时时间内没有收到服务器的应答报文,则本次企业微信认证失败。
当网络延迟比较大时,建议增大超时时间,避免超时误判的情况;当网络延迟比较小时,可以减小超时时间,提高报文超时判断的效率。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx下,配置企业微信认证的超时时间为20秒。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication timeout 20
wechat-work-authentication url命令用来配置企业微信API服务器的URL地址。
undo wechat-work-authentication url命令用来恢复缺省情况。
【命令】
wechat-work-authentication url url
undo wechat-work-authentication url
【缺省情况】
未配置企业微信API服务器的URL地址。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
url:企业微信API服务器的URL地址,为1~255个字符的字符串,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
配置此命令后,当设备收到从企业微信服务器重定向而来的报文时,设备将与此命令指定的企业微信API服务器进行信息交互,获取用户信息,并使用获取到的信息对用户进行认证和授权。SSL VPN网关管理员需要根据企业微信API服务器的实际URL配置此地址。
设备需要配置域名解析功能,以便SSL VPN网关能够根据配置的企业微信API服务器解析URL对应的IP地址。有关域名解析的详细介绍,请参见“三层技术-IP业务”中的“域名解析”。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx下,配置企业微信API服务器的URL地址为https://qyapi.weixin.qq.com。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication url https://qyapi.weixin.qq.com
wechat-work-authentication userid-field命令用来配置SSL VPN网关登录内网服务器使用的企业微信userid字段名。
undo wechat-work-authentication userid-field命令用来恢复缺省情况。
【命令】
wechat-work-authentication userid-field userid-field
undo wechat-work-authentication userid-fild
【缺省情况】
未配置SSL VPN网关登录内网服务器使用的企业微信userid字段名。
【视图】
SSL VPN访问实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
userid-field:SSL VPN网关登录内网服务器使用的企业微信userid字段名,为1~63个字符的字符串,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
企业微信中的userid用于在企业内唯一标识一个企业的用户,即“账户名”。SSL VPN网关与企业微信API服务器交互获取的用户信息中会携带企业微信userid。
本命令配置的企业微信userid字段名,用于SSL VPN网关向内网服务器发起访问请求时,组装携带用户信息的登录参数。例如,如果组装的登录参数为login=zhansan,则login表示userid字段名,zhangsan表示企业内用户的userid。内网服务器收到SSL VPN网关发送的请求报文后,会将该登录参数字段名对应的取值解析为用户的userid。因此,为了保证SSL VPN网关可以准确封装用户的登录参数,需要SSL VPN网关管理员提前从内网服务器获取该名称。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SSL VPN访问实例ctx下,配置企业微信userid字段名为login。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication userid-field login
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!