- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-SSL VPN命令
本章節下載: 01-SSL VPN命令 (1.08 MB)
目 錄
1.1.2 authentication server-type
1.1.5 certificate username-attribute
1.1.6 certificate-authentication enable
1.1.9 custom-authentication request-header-field
1.1.10 custom-authentication request-method
1.1.11 custom-authentication request-template
1.1.12 custom-authentication response-custom-template
1.1.13 custom-authentication response-field
1.1.14 custom-authentication response-format
1.1.15 custom-authentication response-success-value
1.1.16 custom-authentication timeout
1.1.17 custom-authentication url
1.1.20 description (shortcut view)
1.1.21 description (SSL VPN AC interface view)
1.1.22 display interface sslvpn-ac
1.1.25 display sslvpn ip-tunnel statistics
1.1.26 display sslvpn policy-group
1.1.27 display sslvpn port-forward connection
1.1.28 display sslvpn prevent-cracking frozen-ip
1.1.30 display sslvpn webpage-customize template
1.1.33 execution (port forwarding item view)
1.1.34 execution (shortcut view)
1.1.37 filter ip-tunnel uri-acl
1.1.39 filter tcp-access uri-acl
1.1.41 filter web-access uri-acl
1.1.43 force-logout max-onlines enable
1.1.44 gateway (sms-auth sms-gw view)
1.1.45 gateway (SSL VPN context view)
1.1.48 idle-cut traffic-threshold
1.1.54 ip-tunnel address-pool (SSL VPN context view)
1.1.55 ip-tunnel address-pool (SSL VPN policy group view)
1.1.62 ip-tunnel web-resource auto-push
1.1.66 log resource-access enable
1.1.74 mobile-num-binding enable
1.1.79 password-authentication enable
1.1.81 password-changing enable (SSL VPN context view)
1.1.82 password-changing enable (SSL VPN user view)
1.1.83 password-complexity-message
1.1.87 prevent-cracking freeze-ip
1.1.88 prevent-cracking freeze-ip enable
1.1.89 prevent-cracking unfreeze-ip
1.1.90 prevent-cracking verify-code
1.1.91 prevent-cracking verify-code enable
1.1.94 reset counters interface sslvpn-ac
1.1.95 reset sslvpn ip-tunnel statistics
1.1.97 resources port-forward-item
1.1.99 resources shortcut-list
1.1.104 rewrite server-response-message
1.1.107 self-service imc address
1.1.109 service enable (SSL VPN context view)
1.1.110 service enable (SSL VPN gateway view)
1.1.122 sslvpn ip address-pool
1.1.123 sslvpn ip-client download-path
1.1.125 sslvpn webpage-customize
1.1.127 sso auto-build custom-login-parameter
1.1.128 sso auto-build encrypt-file
1.1.129 sso auto-build login-parameter
1.1.130 sso auto-build request-method
1.1.131 sso basic custom-username-password enable
1.1.136 url (file policy view)
1.1.143 verification-code send-interval
1.1.144 verification-code validity
1.1.146 vpn-instance (SSL VPN context view)
1.1.147 vpn-instance (SSL VPN gateway view)
1.1.148 web-access ip-client auto-activate
1.1.150 wechat-work-authentication app-secret
1.1.151 wechat-work-authentication authorize-field
1.1.152 wechat-work-authentication corp-id
1.1.153 wechat-work-authentication enable
1.1.154 wechat-work-authentication open-platform-url
1.1.155 wechat-work-authentication timeout
1.1.156 wechat-work-authentication url
1.1.157 wechat-work-authentication userid-field
aaa domain命令用來配置SSL VPN訪問實例使用指定的ISP域進行AAA認證。
undo aaa domain命令用來恢複缺省情況。
【命令】
aaa domain domain-name
undo aaa domain
【缺省情況】
SSL VPN訪問實例使用缺省的ISP域進行認證。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
domain-name:ISP域名稱,為1~255個字符的字符串,不區分大小寫,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能為字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指導】
SSL VPN用戶的用戶名中不能攜帶所屬ISP域信息。配置本命令後,SSL VPN用戶將采用指定ISP域內的認證、授權、計費方案對SSL VPN用戶進行認證、授權和計費。
【舉例】
# 配置SSL VPN訪問實例使用ISP域myserver進行AAA認證。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] aaa domain myserver
authentication server-type命令用來配置SSL VPN認證服務器類型。
undo authentication server-type命令用來恢複缺省情況。
【命令】
authentication server-type { aaa | custom }
undo authentication server-type
【缺省情況】
SSL VPN認證服務器類型為AAA認證服務器。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
aaa:表示SSL VPN認證服務器類型為AAA認證服務器。
custom:表示SSL VPN認證服務器類型為自定義認證服務器。
【使用指導】
若選擇自定義認證服務器,則用戶需要在SSL VPN訪問實例視圖下配置自定義認證的服務器URL地址、HTTP請求方式、HTTP應答報文的應答字段等參數。
若選擇認證服務器類型為AAA認證服務器,請配置AAA的相關內容。有關AAA的詳細介紹,請參見“安全配置指導”中的“AAA”。
【舉例】
# 在SSL VPN訪問實例ctx1下配置SSL VPN認證服務器類型為自定義認證服務器。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] authentication server-type custom
【相關命令】
· custom-authentication request-header-field
· custom-authentication request-method
· custom-authentication request-template
· custom-authentication response-custom-template
· custom-authentication response-field
· custom-authentication response-format
· custom-authentication response-success-value
· custom-authentication timeout
· custom-authentication url
authentication use命令用來配置SSL VPN用戶登錄訪問實例的認證模式。
undo authentication use命令用來恢複缺省情況。
【命令】
authentication use { all | any-one }
undo authentication use
【缺省情況】
SSL VPN用戶登錄訪問實例的認證模式為all。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
all:表示SSL VPN用戶登錄訪問實例的認證模式為已配置的所有認證方式。
any-one:表示SSL VPN用戶登錄訪問實例的認證模式為已配置的所有認證方式中的任意一種。
【使用指導】
可以通過配置authentication use命令來控製對SSL VPN用戶的認證模式。用戶名/密碼認證功能和證書認證功能都開啟的情況下,若認證模式選用any-one,則用戶隻需要通過其中一種認證即可登錄SSL VPN訪問實例;若認證模式選用all,則用戶必須通過這兩種認證(即用戶名/密碼和證書的組合認證)方可登錄SSL VPN訪問實例。
【舉例】
# 配置SSL VPN用戶登錄訪問實例的認證模式為已配置的所有認證方式中的任意一種。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] authentication use any-one
【相關命令】
· certificate-authentication enable
· display sslvpn context
· password-authentication enable
bandwidth命令用來配置接口的期望帶寬。
undo bandwidth命令用來恢複缺省情況。
【命令】
bandwidth bandwidth-value
undo bandwidth
【缺省情況】
接口的期望帶寬為64kbps。
【視圖】
SSL VPN AC接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
bandwidth-value:接口的期望帶寬,取值範圍為1~400000000,單位為kbps。
【使用指導】
接口的期望帶寬會對下列內容有影響:
· CBQ隊列帶寬。具體介紹請參見“ACL和QoS配置指導”中的“QoS”。
· 鏈路開銷值。具體介紹請參見“三層技術-IP路由配置指導”中的“OSPF”、“OSPFv3”和“IS-IS”。
【舉例】
# 配置接口SSL VPN AC 1000的期望帶寬為10000kbps。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] bandwidth 10000
certificate username-attribute命令用來配置SSL VPN用戶證書中的指定字段取值作為SSL VPN用戶名。
undo certificate username-attribute命令用來恢複缺省情況。
【命令】
certificate username-attribute { cn | email-prefix | oid extern-id }
undo certificate username-attribute
【缺省情況】
使用SSL VPN用戶證書中主題部分內的CN字段取值作為SSL VPN用戶名。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
cn:將用戶證書中主題部分內的CN字段的值作為SSL VPN用戶名。
email-prefix:將用戶證書中主題部分內的郵件地址前綴,即郵件地址中“@”字符前的字符串,作為SSL VPN用戶名。
oid extern-id:將用戶證書中OID為extern-id的字段的值作為SSL VPN用戶名,其中OID為對象標識符,以點分十進製的形式表示。
【使用指導】
隻有執行certificate-authentication enable命令開啟證書認證功能後,本命令指定的SSL VPN用戶名才會生效。
【舉例】
# 配置SSL VPN用戶證書中OID為1.1.1.1的字段的值作為SSL VPN用戶名。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] certificate username-attribute oid 1.1.1.1
【相關命令】
· certificate-authentication enable
certificate-authentication enable命令用來開啟證書認證功能。
undo certificate-authentication enable命令用來關閉證書認證功能。
【命令】
certificate-authentication enable
undo certificate-authentication enable
【缺省情況】
證書認證功能處於關閉狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟證書認證功能後,需要同時在SSL服務器端策略視圖下執行client-verify命令。SSL VPN網關會對SSL客戶端(SSL VPN用戶)進行基於數字證書的身份驗證,並檢查SSL VPN用戶的用戶名是否與SSL VPN用戶的數字證書中的用戶名信息一致。若不一致,則認證不通過,不允許SSL VPN用戶登錄。
【舉例】
# 開啟SSL VPN訪問實例的證書認證功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] certificate-authentication enable
【相關命令】
· client-verify enable(安全命令參考/SSL)
· client-verify optional(安全命令參考/SSL)
content-type命令用來配置改寫的文件類型。
undo content-type命令用來恢複缺省情況。
【命令】
content-type { css | html | javascript | other }
undo content-type
【缺省情況】
未配置文件改寫類型,設備根據解析HTTP響應報文獲得的文件類型對網頁文件進行改寫。
【視圖】
文件策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
css:表示按照css文件類型進行改寫。
html:表示按照html文件類型進行改寫。
javascript:表示按照JavaScript文件類型進行改寫。
other:表示文件類型為css、html、JavaScript之外的其他文件類型,不對網頁文件進行改寫。
【使用指導】
在對網頁文件改寫的過程中,設備會按照配置的文件類型對網頁文件進行改寫。如果配置的改寫類型與報文中的文件類型不一致,則文件改寫將會不準確。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置按照html文件類型進行改寫。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp] content-type html
country-code命令用來配置國家代碼。
undo country-code命令用來恢複缺省情況。
【命令】
country-code country-code
undo country-code
【缺省情況】
國家代碼為86。
【視圖】
短信網關認證視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
country-code:國家代碼數值,為1~7個字符的字符串,僅支持數字。
【舉例】
# 在sms-gw短信網關認證視圖下配置國家代碼為86。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw] country-code 86
custom-authentication request-header-field命令用來配置自定義認證的HTTP請求報文首部字段。
undo custom-authentication request-header-field命令用來取消配置自定義認證的HTTP請求報文首部字段。
【命令】
custom-authentication request-header-field field-name value value
undo custom-authentication request-header-field field-name
【缺省情況】
自定義認證的HTTP請求報文首部字段內包含如下內容:Content-type:application/x-www-form-urlencoded
User-Agent:nodejs 4.1
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
field-name:自定義認證的HTTP請求報文首部字段屬性名,為1~63個字符的字符串,不區分大小寫,不包括如下字符:
· ()<>@,;:\"/[]?={}
· 空格符
· 水平製表符
· ASCII碼中小於等於31、大於等於127的字符
value value:自定義認證的HTTP請求報文首部字段屬性值,為1~255個字符的字符串,不支持正則元字符?。
【使用指導】
當采用自定義類型的SSL VPN認證服務器時(通過authentication server-type custom命令),可通過本命令配置設備發送給自定義認證服務器的HTTP請求報文首部字段參數,該參數需要與自定義認證的HTTP請求方式、認證服務器的URL地址和認證信息請求模板等參數配合使用才能生效。
在同一個SSL VPN訪問實例視圖下,多次執行本命令,如果field-name的值不同,則可以配置多個不同屬性的值;如果field-name的值相同,則最後一次配置生效。
【舉例】
# 在SSL VPN訪問實例ctx1下配置自定義認證的HTTP請求首部的Host字段為192.168.56.2:8080。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication request-header-field host value 192.168.56.2:8080
【相關命令】
· authentication server-type
· custom-authentication request-method
· custom-authentication request-template
· custom-authentication url
custom-authentication request-method命令用來配置自定義認證的HTTP請求方式。
undo custom-authentication request-method命令用來恢複缺省情況。
【命令】
custom-authentication request-method { get | post }
undo custom-authentication request-method
【缺省情況】
自定義認證的HTTP請求方式為GET。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
get:表示HTTP請求方式為GET。
post:表示HTTP請求方式為POST。
【使用指導】
當采用自定義類型的SSL VPN認證服務器時(通過authentication server-type custom命令),可通過本命令配置設備發送給自定義認證服務器的HTTP請求的方式,該設置需要與自定義認證的請求報文首部字段、認證服務器的URL地址和認證信息請求模板等參數配合使用才能生效。
在同一個SSL VPN訪問實例視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx1下配置自定義認證的HTTP請求方式為POST。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication request-method post
【相關命令】
· authentication server-type
· custom-authentication request-template
· custom-authentication url
custom-authentication request-template命令用來配置自定義認證的認證信息請求模板。
undo custom-authentication request-template命令用來恢複缺省情況。
【命令】
custom-authentication request-template template
undo custom-authentication request-template
【缺省情況】
未配置自定義認證的認證信息請求模板。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
template:SSL VPN網關向自定義認證服務器發送用戶名、密碼等信息的認證信息請求模板,為1~255個字符的字符串,不區分大小寫。
【使用指導】
當采用自定義類型的SSL VPN認證服務器時(通過authentication server-type custom命令),可通過本命令配置設備發送給自定義認證服務器的認證信息請求模板,該設置需要與自定義認證的請求報文首部字段、認證服務器的URL地址和HTTP請求的方式等參數配合使用才能生效。
在同一個SSL VPN訪問實例視圖下,多次執行本命令,最後一次執行的命令生效。
本命令支持的三種預定義請求模板格式如下:
· form表單格式:(請求方式為POST/GET)
username=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1234
· json格式:(請求方式為POST)
{“name”:”$$USERNAME$$”,“password”:”,$$PASSWORD$$”,“resid”:”1234”}
· xml格式:(請求方式為POST)
<uname>$$USERNAME$$</uname><psw>$$PASSWORD$$</psw>
以上模板格式中,兩個$$符號之間的變量目前包括以下幾種:
· USERNAME:用戶名
· PASSWORD:密碼
· PASSWORD_MD5:經過MD5加密的密碼
SSL VPN用戶登錄SSL VPN網關時,SSL VPN網關會用SSL VPN用戶登錄時的用戶名和密碼替換認證信息請求模板中的USERNAME、PASSWORD_MD5等變量,並將認證信息請求模板發送至自定義認證服務器。
【舉例】
# 在SSL VPN訪問實例ctx1下配置自定義認證的認證信息請求模板為:username=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1952252223973828。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication request-template username=$$USERNAME$$&password=$$PASSWORD_MD5$$&resid=1952252223973828
【相關命令】
· authentication server-type
· custom-authentication request-method
· custom-authentication url
custom-authentication response-custom-template命令用來配置自定義認證的自定義應答模板。
undo custom-authentication response-custom-template命令用來恢複缺省情況。
【命令】
custom-authentication response-custom-template { group | message | result } template
undo custom-authentication response-custom-template { group | message | result }
【缺省情況】
未配置自定義認證的自定義應答模板。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group:表示group字段後麵為授權資源組的自定義應答模板。
message:表示message字段後麵為認證結果提示信息的自定義應答模板。
result:表示result字段後麵為認證結果的自定義應答模板。
template:自定義應答模板,為1~63個字符的字符串,不區分大小寫。
【使用指導】
當采用自定義類型的SSL VPN認證服務器時(通過authentication server-type custom命令),可通過本命令配置設備解析自定義認證服務器應答的認證結果模板,該模板需要與HTTP應答報文格式等參數配合使用才能生效。例如,配置了認證結果字段result的模板為“result=$$value$$”,那麼在解析custom格式的應答報文時就用“result=$$value$$”的格式去解析認證結果字段。
自定義應答模板中value前後的內容需要與認證服務器應答報文中的value值前後的內容保持一致。例如服務器應答的報文為“auth-result=true,”,則應答模板應該配置為“auth-result=$$value$$,”($$value$$前後的開始和結束標識符“auth-result=”和“,”應與true前後的內容保持一致)。
模板中的$$符用於程序檢測開始和結束標識符,當程序檢測到第一個$$時,則認為其前麵的內容為解析報文時用到的開始標識符,當檢測到第二個$$時,則將其後麵的內容作為解析報文時用到的結束標識符。
【舉例】
# 在SSL VPN訪問實例ctx1下配置自定義認證的自定義應答模板為result=$$value$$,company=$$value$$,message=$$value$$。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication response-custom-template result result=$$value$$,
[Sysname-sslvpn-context-ctx1] custom-authentication response-custom-template group company=$$value$$,
[Sysname-sslvpn-context-ctx1] custom-authentication response-custom-template message message=$$value$$
【相關命令】
· authentication server-type
· custom-authentication response-format
· custom-authentication response-success-value
custom-authentication response-field命令用來配置自定義認證的HTTP應答報文的應答字段名。
undo custom-authentication response-field命令用來恢複缺省情況。
【命令】
custom-authentication response-field { group group | message message | result result }
undo custom-authentication response-field { group | message | result }
【缺省情況】
未配置HTTP應答報文的應答字段名。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group group:HTTP應答報文中的資源組字段名,表示應答報文中group字段後麵的值為授權資源組,為1~31個字符的字符串,不區分大小寫。
message message:HTTP應答報文中的提示信息字段名,表示應答報文中message字段後麵的值為認證結果提示信息,為1~31個字符的字符串,不區分大小寫。
result result:HTTP應答報文中的結果字段名,表示應答報文中result字段後麵的值為認證結果,為1~31個字符的字符串,不區分大小寫。
【使用指導】
當采用自定義類型的SSL VPN認證服務器時(通過authentication server-type custom命令),可通過本命令配置設備解析自定義認證服務器應答的指定字段:
· 若指定了HTTP應答報文中的資源組字段名,如果自定義認證服務器在回應的HTTP應答報文中能夠返回此用戶對應的group字段,那麼SSL VPN網關能夠通過配置的group字段名,找到group字段對應的值。例如定義了資源組字段名為company,則company後麵的內容為資源組名稱。SSL VPN網關通過比較自定義認證服務器返回的授權資源組和本地配置的資源組,取兩者的交集則為最終授權的資源組。如果服務器未返回授權資源組字段,或者SSL VPN網關沒有配置資源組,則給用戶授權缺省的策略組。
· 若指定了HTTP應答報文中的結果提示信息字段名,則SSL VPN會利用此字段提取認證結果提示信息,包括認證成功、認證失敗等提示信息。
· 若指定了HTTP應答報文中的結果字段名,則SSL VPN會利用此字段提取應答值,並根據配置的應答值,判斷用戶認證是否成功。
在同一個SSL VPN訪問實例視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx1下配置自定義認證的應答字段名為group:company,message:resultDescription。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication response-field group company
[Sysname-sslvpn-context-ctx1] custom-authentication response-field message resultDescription
【相關命令】
· authentication server-type
custom-authentication response-format命令用來配置自定義認證的HTTP應答報文格式。
undo custom-authentication response-format命令用來恢複缺省情況。
【命令】
custom-authentication response-format { custom | json | xml }
undo custom-authentication response-format
【缺省情況】
自定義認證的HTTP應答報文格式為JSON。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
custom:表示應答報文格式為用戶自定義應答報文格式。
json:表示應答報文格式為JSON。
xml:表示應答報文格式為XML。
【使用指導】
當采用自定義類型的SSL VPN認證服務器時(通過authentication server-type custom命令),可通過本命令配置設備解析自定義認證服務器應答的應答報文格式,該應答報文格式需要與HTTP應答報文的應答字段名等參數配合使用才能生效。
在同一個SSL VPN訪問實例視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx1下配置自定義認證的HTTP應答報文格式為JSON。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication response-format json
【相關命令】
· authentication server-type
· custom-authentication response-custom-template
custom-authentication response-success-value命令用來配置自定義認證的HTTP應答報文中標識認證成功的應答值。
undo custom-authentication response-success-value命令用來恢複缺省情況。
【命令】
custom-authentication response-success-value success-value
undo custom-authentication response-success-value
【缺省情況】
未配置HTTP應答報文中標識認證成功的應答值。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
success-value:HTTP應答報文中標識認證成功的應答值,為1~31個字符的字符串,不區分大小寫。
【使用指導】
當采用自定義類型的SSL VPN認證服務器時(通過authentication server-type custom命令),可通過本命令配置設備解析自定義認證服務器應答的標識認證成功的應答值,該設置需要與自定義認證的請求報文首部字段、HTTP請求方式和認證信息請求模板等參數配合使用才能生效。
在同一個SSL VPN訪問實例視圖下,多次執行本命令,最後一次執行的命令生效。
隻有當自定義認證服務器返回的HTTP應答報文的應答結果為本命令指定的值時,SSL VPN網關才會認為用戶認證成功。
【舉例】
# 在SSL VPN訪問實例ctx1下配置HTTP應答報文中標識認證成功的應答值為true。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication response-success-value true
【相關命令】
· authentication server-type
· custom-authentication response-field
custom-authentication timeout命令用來配置自定義認證的超時時間。
undo custom-authentication timeout命令用來恢複缺省情況。
【命令】
custom-authentication timeout seconds
undo custom-authentication timeout
【缺省情況】
自定義認證的超時時間為15秒。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
seconds:自定義認證的超時時間,取值範圍為5~50,單位為秒。
【使用指導】
SSL VPN網關向自定義認證服務器發送HTTP請求報文,如果SSL VPN網關在超時時間內沒有收到服務器的應答報文,則向SSL VPN客戶端返回認證失敗信息。
【舉例】
# 在SSL VPN訪問實例ctx1下配置自定義認證的超時時間為20秒。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication timeout 20
【相關命令】
· authentication server-type
custom-authentication url命令用來配置自定義認證服務器的URL地址。
undo custom-authentication url命令用來恢複缺省情況。
【命令】
custom-authentication url url
undo custom-authentication url
【缺省情況】
未配置自定義認證服務器的URL地址。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url:SSL VPN網關向自定義認證服務器發送的HTTP請求報文中的認證服務器的URL地址,為1~255個字符的字符串,不區分大小寫,不支持正則元字符?。
【使用指導】
當采用自定義類型的SSL VPN認證服務器時(通過authentication server-type custom命令),可通過本命令配置自定義認證服務器的URL地址,該設置需要與自定義認證的請求報文首部字段、HTTP請求方式和認證信息請求模板等參數配合使用才能生效。
一個URL由協議類型、主機名或地址、端口號、資源路徑四部分組成,完整格式為“協議類型://主機名稱或地址:端口號/資源路徑”。協議類型目前僅支持HTTP和HTTPS,如果沒有指定,協議類型缺省為HTTP。如果URL中包含IPv6地址,需要為該IPv6地址增加一個中括號,例如https://[1234::5678]:4430。
在同一個SSL VPN訪問實例視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx1下配置自定義認證服務器的URL地址為https://192.168.56.2:4430/register/user/checkUserAndPwd。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] custom-authentication url https://192.168.56.2:4430/register/user/checkUserAndPwd
【相關命令】
· authentication server-type
· custom-authentication request-method
· custom-authentication request-template
default命令用來恢複接口的缺省配置。
【命令】
default
【視圖】
SSL VPN AC接口視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
接口下的某些配置恢複到缺省情況後,會對設備上當前運行的業務產生影響。建議您在執行本配置前,完全了解其對網絡產生的影響。
可以在執行default命令後通過display this命令確認執行效果。對於未能成功恢複缺省的配置,建議您查閱相關功能的命令手冊,手工執行恢複該配置缺省情況的命令。如果操作仍然不能成功,您可以通過設備的提示信息定位原因。
【舉例】
# 將接口SSL VPN AC 1000恢複為缺省配置。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] default
This command will restore the default settings. Continue? [Y/N]:y
default-policy-group命令用來指定缺省策略組。
undo default-policy-group命令用來恢複缺省情況。
【命令】
default-policy-group group-name
undo default-policy-group
【缺省情況】
未指定缺省策略組。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-name:策略組名稱,為1~31個字符的字符串,不區分大小寫,支持輸入中文字符。指定的策略組必須在設備上已經存在。
【使用指導】
一個SSL VPN訪問實例下可以配置多個策略組。遠端接入用戶訪問SSL VPN訪問實例時,AAA服務器將授權給該用戶的策略組信息下發給SSL VPN網關。該用戶可以訪問的資源由授權的策略組決定。如果AAA服務器沒有為該用戶進行授權,則用戶可以訪問的資源由缺省策略組決定。
【舉例】
# 指定名為pg1的策略組為缺省策略組。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] quit
[Sysname-sslvpn-context-ctx1] default-policy-group pg1
【相關命令】
· display sslvpn context
· policy-group
description命令用來配置快捷方式的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
未配置快捷方式的描述信息。
【視圖】
快捷方式視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:快捷方式的描述信息,為1~63個字符的字符串,區分大小寫。
【使用指導】
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置快捷方式shortcut1的描述信息。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] shortcut shortcut1
[Sysname-sslvpn-context-ctx1-shortcut-shortcut1] description shortcut1
description命令用來配置接口的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
接口的描述信息為“接口名 Interface”,例如:SSLVPN-AC1000 Interface。
【視圖】
SSL VPN AC接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:接口的描述信息,為1~255個字符的字符串,區分大小寫。
【使用指導】
當設備上存在多個接口時,可以根據接口的連接信息或用途來配置接口的描述信息,以便區別和管理各接口。
本命令僅用於標識某接口,並無特別的功能。使用display interface等命令可以看到設置的描述信息。
【舉例】
# 配置接口SSL VPN AC 1000的描述信息為“SSL VPN A”。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] description SSL VPN A
display interface sslvpn-ac命令用來顯示SSL VPN AC接口的相關信息。
【命令】
display interface [ sslvpn-ac [ interface-number ] ] [ brief [ description | down ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
sslvpn-ac interface-number:顯示指定SSL VPN AC接口的相關信息。interface-number表示SSL VPN AC接口的編號,取值範圍為0~4095。如果不指定sslvpn-ac參數,將顯示除VA(Virtual Access,虛擬訪問)接口外的所有接口的相關信息;如果不指定interface-number,則顯示所有SSL VPN AC接口的信息。有關VA接口的詳細介紹,請參見“二層技術-廣域網接入配置指導”中的“PPP”。
brief:顯示接口的概要信息。如果不指定該參數,則顯示接口的詳細信息。
description:用來顯示用戶配置的接口的全部描述信息。如果某接口的描述信息超過27個字符,不指定該參數時,隻顯示描述信息中的前27個字符,超出部分不顯示;指定該參數時,可以顯示全部描述信息。
down:顯示當前物理狀態為down的接口的信息以及down的原因。如果不指定該參數,則不會根據接口物理狀態來過濾顯示信息。
【舉例】
# 顯示接口SSL VPN AC 1000的相關信息。
<Sysname> display interface sslvpn-ac 1000
SSLVPN-AC1000
Current state: UP
Line protocol state: DOWN
Description: SSLVPN-AC1000 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Internet protocol processing: Disabled
Link layer protocol is SSLVPN
Last clearing of counters: Never
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 0 packets, 0 bytes, 0 drops
Output: 0 packets, 0 bytes, 0 drops
表1-1 display interface sslvpn-ac命令顯示信息描述表
|
字段 |
描述 |
|
SSLVPN-AC1000 |
接口SSL VPN AC 1000的相關信息 |
|
Current state |
接口的物理狀態和管理狀態,取值包括: · Administratively DOWN:表示該接口已經通過shutdown命令被關閉,即管理狀態為關閉 · DOWN:該接口的管理狀態為開啟,但物理狀態為關閉 · UP:該接口的管理狀態和物理狀態均為開啟 |
|
Line protocol state |
接口的鏈路層協議狀態,取值包括: · UP:表示該接口的鏈路層協議狀態為開啟 · UP (spoofing):表示該接口的鏈路層協議狀態為開啟,但實際可能沒有對應的鏈路,或者所對應的鏈路不是永久存在而是按需建立。通常NULL、LoopBack等接口會具有該屬性 · DOWN:表示該接口的鏈路層協議狀態為關閉 |
|
Description |
接口的描述信息 |
|
Bandwidth |
接口的期望帶寬,單位為kbps |
|
Maximum transmission unit |
接口的最大傳輸單元 |
|
Internet protocol processing |
接口的IP地址。如果沒有為接口配置IP地址,則該字段顯示為Internet protocol processing: Disabled,表示不能處理IP報文 |
|
Internet address: ip-address/mask-length (Type) |
接口IP地址。Type表示地址獲取方式,取值如下: · Primary:手動配置的主地址 |
|
Link layer protocol |
鏈路層協議類型 |
|
Last clearing of counters |
最近一次使用reset counters interface命令清除接口下的統計信息的時間(如果從設備啟動一直沒有執行reset counters interface命令清除過該接口下的統計信息,則顯示Never) |
|
Last 300 seconds input rate |
最近300秒鍾的平均輸入速率:bytes/sec表示平均每秒輸入的字節數,bits/sec表示平均每秒輸入的比特數,packets/sec表示平均每秒輸入的包數 |
|
Last 300 seconds output rate |
最近300秒鍾的平均輸出速率:bytes/sec表示平均每秒輸出的字節數,bits/sec表示平均每秒輸出的比特數,packets/sec表示平均每秒輸出的包數 |
|
Input: 0 packets, 0 bytes, 0 drops |
總計輸入的報文數,總計輸入的字節,總計丟棄的輸入報文數 |
|
Output: 0 packets, 0 bytes, 0 drops |
總計輸出的報文數,總計輸出的字節,總計丟棄的輸出報文數 |
# 顯示所有SSL VPN AC類型接口的概要信息。
<Sysname> display interface sslvpn-ac brief
Brief information of interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
SSLVPN-AC1000 UP DOWN --
# 顯示接口SSL VPN AC 1000的概要信息,包括用戶配置的全部描述信息。
<Sysname> display interface sslvpn-ac 1000 brief description
Brief information of interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
SSLVPN-AC1000 UP UP 1.1.1.1 SSLVPN-AC1000 Interface
# 顯示當前狀態為down的接口的信息以及DOWN的原因。
<Sysname> display interface sslvpn-ac brief down
Brief information of interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Interface Link Cause
SSLVPN-AC1000 ADM
SSLVPN-AC1001 ADM
表1-2 display interface sslvpn-ac brief命令顯示信息描述表
|
字段 |
描述 |
|
Brief information of interfaces in route mode: |
三層模式下(route)的接口的概要信息,即三層接口的概要信息 |
|
Link: ADM - administratively down; Stby - standby |
· 如果某接口的Link屬性值為“ADM”,則表示該接口被管理員通過shutdown命令關閉,需要在該接口下執行undo shutdown命令才能恢複接口本身的物理狀態 · 如果某接口的Link屬性值為“Stby”,則表示該接口是一個處於Standby狀態的備份接口,使用display interface-backup state命令可以查看該備份接口對應的主接口 |
|
Protocol: (s) - spoofing |
如果某接口的Protocol屬性值中帶有“(s)”字符串,則表示該接口的網絡層協議狀態顯示是UP的,但實際可能沒有對應的鏈路,或者所對應的鏈路不是永久存在而是按需建立 |
|
Interface |
接口名稱縮寫 |
|
Link |
接口物理連接狀態,取值包括: · UP:表示本鏈路物理上是連通的 · DOWN:表示本鏈路物理上是不通的 · ADM:表示本鏈路被管理員通過shutdown命令關閉,需要執行undo shutdown命令才能恢複接口真實的物理狀態 · Stby:表示該接口是一個處於Standby狀態的備份接口 |
|
Protocol |
接口的鏈路層協議狀態,取值包括: · UP:表示該接口的鏈路層協議狀態為開啟 · UP (s):表示該接口的鏈路層協議狀態為開啟,但實際可能沒有對應的鏈路,或者所對應的鏈路不是永久存在而是按需建立。通常NULL、LoopBack等接口會具有該屬性 · DOWN:表示該接口的鏈路層協議狀態為關閉 |
|
Primary IP |
接口主IP地址 |
|
Description |
接口的描述信息 |
|
Cause |
接口物理連接狀態為down的原因,取值為: · Administratively:表示本鏈路被手工關閉了(配置了shutdown命令),需要執行undo shutdown命令才能恢複真實的物理狀態 · Not connected:表示物理層不通 |
【相關命令】
· reset counters interface
display sslvpn context命令用來顯示SSL VPN訪問實例的信息。
【命令】
display sslvpn context [ brief | name context-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
brief:顯示所有SSL VPN訪問實例的簡要信息。如果不指定本參數,則顯示SSL VPN訪問實例的詳細信息。
name context-name:顯示指定SSL VPN訪問實例的詳細信息。context-name表示SSL VPN訪問實例名稱,為1~31個字符的字符串,隻能包含字母、數字、下劃線,不區分大小寫。如果不指定本參數,則顯示所有SSL VPN訪問實例的信息。
【舉例】
# 顯示所有SSL VPN訪問實例的詳細信息。
<Sysname> display sslvpn context
Context name: ctx1
Operation state: Up
AAA domain: domain1
Certificate authentication: Enabled
Certificate username-attribute: CN
Password authentication:Enabled
Authentication use: All
SMS auth type: iMC
Code verification: Disabled
Default policy group: Not configured
Associated SSL VPN gateway: gw1
Domain name: 1
Associated SSL VPN gateway: gw2
Virtual host: example.com
Associated SSL VPN gateway: gw3
SSL client policy configured: ssl1
SSL client policy in use: ssl
Maximum users allowed: 200
VPN instance:vpn1
Idle timeout: 30 min
Idle-cut traffic threshold: 100 Kilobytes
Authentication server-type: aaa
Password changing: Disabled
Context name: ctx2
Operation state: Down
Down reason: Administratively down
AAA domain not specified
Certificate authentication: Enabled
Certificate username-attribute: OID(2.5.4.10)
Password authentication:Disabled
Authentication use: Any-one
SMS auth type: sms-gw
Code verification: Disabled
Default group policy: gp
Associated SSL VPN gateway: -
SSL client policy configured: ssl1
SSL client policy in use: ssl
Maximum users allowed: 200
VPN instance not configured
Idle timeout: 50 min
Idle-cut traffic threshold: 100 Kilobytes
Address pool: Conflicted with an IP address on the device
Authentication server-type: custom
Password changing: Enabled
表1-3 display sslvpn context命令顯示信息描述表
|
字段 |
描述 |
|
Context name |
SSL VPN訪問實例的名稱 |
|
Operation state |
SSL VPN訪問實例的操作狀態,取值包括: · Up:SSL VPN訪問實例處於運行狀態 · Down:SSL VPN訪問實例未處於運行狀態 |
|
Down reason |
SSL VPN訪問實例處於down狀態的原因,取值包括: · Administratively down:管理down,即未通過service enable命令開啟SSL VPN訪問實例 · No gateway associated:SSL VPN訪問實例未引用SSL VPN網關 · Applying SSL client-policy failed:為SSL VPN訪問實例應用SSL客戶端策略失敗 |
|
AAA domain |
SSL VPN訪問實例使用的ISP域 |
|
Certificate authentication |
SSL VPN訪問實例是否開啟證書認證功能,取值包括: · Enabled:證書認證功能開啟 · Disabled:證書認證功能未開啟 |
|
Password authentication |
SSL VPN訪問實例是否開啟用戶名/密碼認證功能,取值包括: · Enabled:用戶名/密碼認證功能開啟 · Disabled:用戶名/密碼認證功能未開啟 |
|
Authentication use |
SSL VPN用戶登錄訪問實例的認證模式,取值包括: · All:通過所有的認證方式 · Any-one:通過任意一種認證方式 |
|
Certificate username-attribute |
采用SSL VPN用戶證書中的指定字段作為SSL VPN用戶名,取值包括: · CN:用戶證書中的CN字段 · Email-prefix:用戶證書中的郵件地址前綴 · OID(x.x.x.x):用戶證書中指定OID值標識的字段,OID為對象標識符,以點分十進製的形式表示 本字段僅在開啟證書認證時顯示 |
|
SMS auth type |
SSL VPN用戶配置短信認證類型,取值包括: · iMC:iMC短信認證 · sms-gw:短信網關認證 |
|
Code verification |
SSL VPN訪問實例是否開啟驗證碼驗證功能 |
|
Default policy group |
SSL VPN訪問實例使用的缺省策略組 |
|
Associated SSL VPN gateway |
SSL VPN訪問實例引用的SSL VPN網關 |
|
Domain name |
SSL VPN訪問實例的域名 |
|
Virtual host |
SSL VPN訪問實例的虛擬主機名稱 |
|
SSL client policy configured |
配置的SSL客戶端策略名稱。配置的SSL客戶端策略在重啟SSL VPN訪問實例後才能生效 |
|
SSL client policy in use |
生效的SSL客戶端策略名稱 |
|
Maximum users allowed |
SSL VPN訪問實例的最大用戶會話數 |
|
VPN instance |
SSL VPN訪問實例關聯的VPN實例 |
|
Idle timeout |
SSL VPN會話可以保持空閑狀態的最長時間,單位為分鍾 |
|
Idle-cut traffic threshold |
SSL VPN會話保持空閑狀態的流量閾值 |
|
Address pool: Conflicted with an IP address on the device |
檢測到SSL VPN訪問實例IP地址衝突 |
|
Authentication server-type |
SSL VPN用戶登錄訪問實例的認證服務器類型,取值包括: · aaa:AAA認證服務器 · custom:自定義認證服務器 |
|
Password changing |
修改SSL VPN登錄密碼功能是否開啟,取值包括: · Enabled:修改密碼功能開啟 · Disabled:修改密碼功能關閉 |
# 顯示所有SSL VPN訪問實例的簡要信息。
<Sysname> display sslvpn context brief
Context name Admin Operation VPN instance Gateway Domain/VHost
ctx1 Up Up - gw1 -/1
gw2 example.com/-
gw3 -/-
ctx2 Down Down - - -/-
表1-4 display sslvpn context brief命令顯示信息描述表
|
字段 |
描述 |
|
Context name |
SSL VPN訪問實例的名稱 |
|
Admin |
SSL VPN訪問實例的管理狀態,取值包括: · up:已通過service enable命令開啟SSL VPN訪問實例 · down:未通過service enable命令開啟SSL VPN 訪問實例 |
|
Operation |
SSL VPN訪問實例的操作狀態,取值包括: · up:SSL VPN訪問實例處於運行狀態 · down:SSL VPN訪問實例未處於運行狀態 |
|
VPN instance |
SSL VPN訪問實例關聯的VPN實例 |
|
Gateway |
SSL VPN訪問實例引用的SSL VPN網關 |
|
Domain/VHost |
SSL VPN訪問實例的域名或虛擬主機名稱 |
display sslvpn gateway命令用來顯示SSL VPN網關的信息。
【命令】
display sslvpn gateway [ brief | name gateway-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
brief:顯示所有SSL VPN網關的簡要信息。如果不指定本參數,則顯示SSL VPN網關的詳細信息。
name gateway-name:顯示指定SSL VPN網關的詳細信息。gateway-name表示SSL VPN網關名稱,為1~31個字符的字符串,隻能包含字母、數字、下劃線,不區分大小寫。如果不指定本參數,則顯示所有SSL VPN網關的信息。
【舉例】
# 顯示所有SSL VPN網關的詳細信息。
<Sysname> display sslvpn gateway
Gateway name: gw1
Operation state: Up
IP: 192.168.10.75 Port: 443
HTTP redirect port: 80
SSL server policy configured: ssl1
SSL server policy in use: ssl
Front VPN instance: vpn1
Gateway name: gw2
Operation state: Down
Down reason: Administratively down
IP: 0.0.0.0 Port: 443
SSL server policy configured: ssl1
SSL server policy in use: ssl
Front VPN instance: Not configured
Gateway name: gw3
Operation state: Up
IPv6: 3000::2 Port: 443
SSL server policy configured: ssl1
SSL server policy in use: ssl
Front VPN instance: Not configured
表1-5 display sslvpn gateway命令顯示信息描述表
|
字段 |
描述 |
|
Gateway name |
SSL VPN網關的名稱 |
|
Operation state |
SSL VPN網關的操作狀態,取值包括: · Up:SSL VPN網關處於運行狀態 · Down:SSL VPN網關未處於運行狀態 |
|
Down reason |
SSL VPN網關處於down狀態的原因,取值包括: · Administratively down:管理down,即沒有通過service enable命令開啟SSL VPN網關 · VPN instance not exist:SSL VPN網關所屬的VPN實例不存在 · Applying SSL server-policy failed:為SSL VPN網關應用SSL服務器端策略失敗 |
|
IP |
SSL VPN網關的IPv4地址 |
|
IPv6 |
SSL VPN網關的IPv6地址 |
|
Port |
SSL VPN網關的端口號 |
|
HTTP redirect port |
HTTP重定向端口號 |
|
SSL server policy configured |
配置的SSL服務器端策略名稱。配置的SSL服務器端策略在重啟SSL VPN網關後才能生效 |
|
SSL server policy in use |
生效的SSL服務器端策略名稱 |
|
Front VPN instance |
前端VPN實例名稱,即SSL VPN網關所屬的VPN實例名稱 |
# 顯示所有SSL VPN網關的簡要信息。
<Sysname> display sslvpn gateway brief
Gateway name Admin Operation
gw1 Up Up
gw2 Down Down (Administratively down)
gw3 Up Up
表1-6 display sslvpn gateway brief命令顯示信息描述表
|
字段 |
描述 |
|
Gateway name |
SSL VPN網關的名稱 |
|
Admin |
SSL VPN網關的管理狀態,取值包括: · Up:已通過service enable命令開啟SSL VPN網關 · Down:未通過service enable命令開啟SSL VPN網關 |
|
Operation |
SSL VPN網關的操作狀態,取值包括: · Up:SSL VPN網關處於運行狀態 · Down (Administratively down):管理down,即沒有通過service enable命令開啟SSL VPN網關 · Down (VPN instance not exist):SSL VPN網關所屬的VPN實例不存在 · Down (Applying SSL server-policy failed):為SSL VPN網關應用SSL服務器端策略失敗 |
display sslvpn ip-tunnel statistics命令用來顯示通過IP接入的SSL VPN用戶的報文統計信息。
【命令】
display sslvpn ip-tunnel statistics [ context context-name ] [ user user-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
context context-name:顯示指定SSL VPN訪問實例下通過IP接入的SSL VPN用戶的報文統計信息。context-name表示SSL VPN訪問實例名稱,為1~31個字符的字符串,隻能包含字母、數字、下劃線,不區分大小寫。如果不指定本參數,則顯示所有SSL VPN訪問實例下通過IP方式接入的SSL VPN用戶的報文統計信息。
user user-name:顯示指定或所有SSL VPN訪問實例下指定SSL VPN用戶對應的報文統計信息。user-name表示SSL VPN用戶名稱,為1~63個字符的字符串,不區分大小寫。如果不指定本參數,則顯示指定或所有SSL VPN訪問實例下所有通過IP接入的SSL VPN用戶的報文統計信息。
【使用指導】
如果未指定任何參數,則顯示所有SSL VPN訪問實例下的通過IP接入的報文統計信息。
【舉例】
# 顯示所有SSL VPN訪問實例下通過IP接入的SSL VPN用戶的報文統計信息。
<Sysname> display sslvpn ip-tunnel statistics
IP-tunnel statistics in SSL VPN context ctx1:
Client:
In bytes : 125574 Out bytes : 1717349
Server:
In bytes : 1717349 Out bytes : 116186
IP-tunnel statistics in SSL VPN context ctx2:
Client:
In bytes : 521 Out bytes : 1011
Server:
In bytes : 1011 Out bytes : 498
# 顯示SSL VPN訪問實例ctx1下通過IP接入的報文統計信息和登錄該訪問實例的每個SSL VPN用戶的報文統計信息。
<Sysname> display sslvpn ip-tunnel statistics context ctx1
IP-tunnel statistics in SSL VPN context ctx1:
Client:
In bytes : 125574 Out bytes : 1717349
Server:
In bytes : 1717349 Out bytes : 116186
SSL VPN session IP-tunnel statistics:
Context : ctx1
User : user1
Session ID : 1
User IPv4 address : 192.168.56.1
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalive replies : 1
Received configuration updates: 0
Sent configuration updates : 0
Context : ctx1
User : user2
Session ID : 2
User IPv6 address : 1234::5001
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalive replies : 1
Received configuration updates: 0
Sent configuration updates : 0
# 顯示SSL VPN用戶user1通過IP接入的報文統計信息。
<Sysname> display sslvpn ip-tunnel statistics user user1
SSL VPN session IP-tunnel statistics:
Context : ctx1
User : user1
Session ID : 1
User IPv4 address : 192.168.56.1
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalive replies : 1
Received configuration updates: 0
Sent configuration updates : 0
Context : ctx2
User : user1
Session ID : 2
User IPv6 address : 1234::5001
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalives replies : 1
Received configuration updates: 0
Sent configuration updates : 0
# 顯示SSL VPN訪問實例ctx1下SSL VPN用戶user1通過IP接入的報文統計信息。
<Sysname> display sslvpn ip-tunnel statistics context ctx1 user user1
SSL VPN session IP-tunnel statistics:
Context : ctx1
User : user1
Session ID : 1
User IPv4 address : 192.168.56.1
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalive replies : 1
Received configuration updates: 0
Sent configuration updates : 0
Context : ctx1
User : user1
Session ID : 2
User IPv6 address : 1234::5001
Received requests : 81
Sent requests : 0
Dropped requests : 81
Received replies : 0
Sent replies : 0
Dropped replies : 0
Received keepalives : 1
Sent keepalives replies : 1
Received configuration updates: 0
Sent configuration updates : 0
表1-7 display sslvpn ip-tunnel statistics命令顯示信息描述表
|
字段 |
描述 |
|
Context |
SSL VPN用戶所屬的SSL VPN訪問實例 |
|
User |
SSL VPN用戶的登錄名 |
|
Session ID |
SSL VPN會話的標識 |
|
User IPv4 address |
SSL VPN用戶的IPv4地址 |
|
User IPv6 address |
SSL VPN用戶的IPv6地址 |
|
Received requests |
SSL VPN網關設備接收自SSL VPN用戶的IP接入業務請求報文數 |
|
Sent requests |
SSL VPN網關設備轉發給資源服務器的IP接入業務請求報文數 |
|
Dropped requests |
SSL VPN網關設備丟棄SSL VPN用戶的IP接入業務請求報文數 |
|
Received replies |
SSL VPN網關設備接收資源服務器的IP接入業務應答報文數 |
|
Sent replies |
SSL VPN網關設備轉發給SSL VPN用戶的IP接入業務應答報文數 |
|
Dropped replies |
SSL VPN網關設備丟棄的IP接入業務應答報文數 |
|
Received keepalives |
SSL VPN網關設備接收自SSL VPN用戶的保活報文數 |
|
Sent keepalives replies |
SSL VPN網關設備發送給SSL VPN用戶的保活應答報文數 |
|
Received configuration updates |
SSL VPN網關設備接收自SSL VPN用戶主動請求發送配置更新的報文數 |
|
Sent configuration updates |
SSL VPN網關設備發送給SSL VPN用戶的配置更新報文數 |
|
Client |
SSL VPN網關設備與客戶端之間的報文字節數統計,取值如下: · In bytes:SSL VPN網關設備接收自SSL VPN用戶的IP接入業務請求報文字節數 · Out bytes:SSL VPN網關設備轉發給SSL VPN用戶的IP接入業務應答報文字節數 |
|
Server |
SSL VPN網關設備與服務器之間的統計信息,取值如下: · In bytes:SSL VPN網關設備接收資源服務器的IP接入業務應答報文字節數 · Out bytes:SSL VPN網關設備轉發給資源服務器的IP接入業務請求報文字節數 |
display sslvpn policy-group命令用來顯示指定策略組的信息。
【命令】
display sslvpn policy-group group-name [ context context-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
group-name:策略組名稱,為1~31個字符的字符串,不區分大小寫,支持輸入中文字符。
context context-name:顯示指定SSL VPN訪問實例下的指定策略組的信息。context-name表示SSL VPN訪問實例的名稱,為1~31個字符的字符串,隻能包含字母、數字、下劃線,不區分大小寫。如果不指定本參數,則顯示所有SSL VPN訪問實例下的指定名稱的策略組信息。
【舉例】
# 顯示所有SSL VPN訪問實例下名稱為pg1的策略組的信息。
<Sysname> display sslvpn policy-group pg1
Group policy: pg1
Context: context1
Idle timeout: 35 min
Redirect resource type: url-item
Redirect resource name: url1
Context: context2
Idle timeout: 40 min
Redirect resource: Not configured
表1-8 display sslvpn policy-group命令顯示信息描述表
|
字段 |
描述 |
|
Group policy |
策略組名稱 |
|
Context |
SSL VPN訪問實例名稱 |
|
Idle timeout |
SSL VPN會話可以保持空閑狀態的最長時間,單位為分鍾 |
|
Redirect resource |
策略組中授權給SSL VPN的重定向資源 |
|
Redirect resource type |
策略組中授權給SSL VPN的重定向資源類型 |
|
Redirect resource name |
策略組中授權給SSL VPN的重定向資源名稱 |
display sslvpn port-forward connection命令用來顯示TCP端口轉發的連接信息。
【命令】
display sslvpn port-forward connection [ context context-name ] [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
context context-name:顯示指定SSL VPN訪問實例下的TCP端口轉發連接信息。context-name 表示SSL VPN訪問實例名稱,為1~31個字符的字符串,隻能包含字母、數字、下劃線,不區分大小寫。如果不指定本參數,則顯示所有SSL VPN訪問實例下的TCP端口轉發連接信息。
slot slot-number:顯示指定成員設備的SSL VPN訪問實例下的TCP端口轉發連接信息。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示所有成員設備上的SSL VPN訪問實例下的TCP端口轉發連接信息。
【舉例】
# 顯示所有SSL VPN訪問實例下TCP端口轉發的連接信息。
<Sysname> display sslvpn port-forward connection
SSL VPN context : ctx1
Client address : 192.0.2.1
Client port : 1025
Server address : 192.168.0.39
Server port : 80
Slot : 1
Status : Connected
SSL VPN context : ctx2
Client address : 3000::983F:7A36:BD06:342D
Client port : 56190
Server address : 300::1
Server port : 23
Slot : 1
Status : Connecting
表1-9 display sslvpn port-forward connection命令顯示信息描述表
|
字段 |
描述 |
|
Client address |
SSL VPN客戶端的IP地址 |
|
Client port |
SSL VPN客戶端的本地端口號 |
|
Server address |
企業網內服務器的IP地址 |
|
Server port |
企業網內服務器的端口號 |
|
Slot |
設備在IRF中的成員編號 |
|
Status |
連接狀態,取值包括: · Connected:連接成功 · Connecting:正在連接 |
display sslvpn prevent-cracking frozen-ip命令用來顯示被防暴力破解功能凍結的IP地址信息。
【命令】
display sslvpn prevent-cracking frozen-ip { statistics | table } [ context context-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
statistics:表示被凍結的IP地址相關統計信息。
table:表示被凍結的IP地址表項信息。
context context-name:表示SSL VPN訪問實例的名稱,為1~31個字符的字符串,隻能包含字母、數字、下劃線,不區分大小寫。如果不指定本參數,則顯示所有SSL VPN訪問實例下被凍結的IP地址信息。
【舉例】
# 顯示所有SSL VPN訪問實例下被凍結的IP地址統計信息。
<Sysname> display sslvpn prevent-cracking frozen-ip statistics
SSL VPN context: ctx1
Total number of frozen IP addresses: 1
Total number of username/password authentication failures: 1
Total number of code verification failures: 1
Total number of SMS authentication failures: 1
Total number of custom authentication failures: 1
SSL VPN context: ctx2
Total number of frozen IP addresses: 1
Total number of username/password authentication failures: 1
Total number of code verification failures: 1
Total number of SMS authentication failures: 1
Total number of custom authentication failures: 1
# 顯示所有SSL VPN訪問實例下被凍結的IP地址表項信息。
<Sysname> display sslvpn prevent-cracking frozen-ip table
SSL VPN context: ctx1
IP address Authentication method Frozen at Unfrozen at
8.1.1.80 code verification 2019-10-08 08:30:01 2019-10-08 08:35:04
3.3.3.30 Username/password authentication 2019-10-08 08:35:01 2019-10-08 08:39:04
SSL VPN context: ctx2
IP address Authentication method Frozen at Unfrozen at
121.5.5.32 Username/password authentication 2019-10-08 08:31:01 2019-10-08 08:45:04
123.3.3.3 code verification 2019-10-08 08:35:01 2019-10-08 08:55:04
表1-10 display sslvpn prevent-cracking frozen-ip命令顯示信息描述表
|
字段 |
描述 |
|
SSL VPN context |
SSL VPN訪問實例名稱 |
|
Total number of frozen IP addresses |
訪問實例下所有被凍結的IP地址總數目 |
|
Total number of username/password authentication failures |
訪問實例下用戶名密碼認證失敗總數目 |
|
Total number of code verification failures |
訪問實例下驗證碼驗證失敗總數目 |
|
Total number of SMS authentication failures |
訪問實例下短信認證失敗總數目 |
|
Total number of custom authentication failures |
訪問實例下自定義認證失敗總數目 |
|
IP address |
被凍結的IP地址 |
|
Authentication method |
防暴力破解統計的SSL VPN用戶登錄訪問實例的認證方式包括: · Username/password authentication:用戶名密碼認證 · Code verification:驗證碼驗證 · SMS authentication:短信認證 · Custom authentication:自定義認證 以上認證方式可以組合使用,每一種組合認證方式下必須包含用戶名密碼認證方式,且自定義認證和短信認證不可以同時使用。除了驗證碼驗證,其他認證方式均可以單獨使用 |
|
Frozen at |
IP地址被凍結的時間 |
|
Unfrozen at |
IP地址預計解凍時間,N/A表示永久凍結 |
display sslvpn session命令用來顯示SSL VPN會話信息。
【命令】
display sslvpn session [ context context-name ] [ user user-name | verbose ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
context context-name:顯示指定SSL VPN訪問實例下的SSL VPN會話的簡要信息。context-name表示SSL VPN訪問實例名稱,為1~31個字符的字符串,隻能包含字母、數字、下劃線,不區分大小寫。如果不指定本參數,則顯示所有SSL VPN訪問實例下的SSL VPN會話的簡要信息。
user user-name:顯示指定或所有SSL VPN訪問實例下指定SSL VPN用戶對應的SSL VPN會話的詳細信息。user-name表示SSL VPN用戶名稱,為1~63個字符的字符串,不區分大小寫。如果不指定本參數,則顯示指定或所有SSL VPN訪問實例下SSL VPN會話的簡要信息。
verbose:顯示指定或所有SSL VPN訪問實例下SSL VPN會話中所有用戶的詳細信息。如果不指定本參數,則顯示指定或所有SSL VPN訪問實例下SSL VPN會話的簡要信息。
【舉例】
# 顯示所有SSL VPN訪問實例下SSL VPN會話的簡要信息。
<Sysname> display sslvpn session
Total users: 4
SSL VPN context: ctx1
Users: 2
Username Connections Idle time Created User IP
user1 5 0/00:00:23 0/04:47:16 192.0.2.1
user2 5 0/00:00:46 0/04:48:36 192.0.2.2
SSL VPN context: ctx2
Users: 2
Username Connections Idle time Created User IP
user3 5 0/00:00:30 0/04:50:06 192.168.2.1
user4 5 0/00:00:50 0/04:51:16 192.168.2.2
表1-11 display sslvpn session命令簡要顯示信息描述表
|
字段 |
描述 |
|
Total users |
所有訪問實例下的總用戶數目 |
|
SSL VPN context |
SSL VPN訪問實例名稱 |
|
Users |
當前訪問實例下的用戶數目 |
|
Total users |
所有訪問實例下的總用戶數目 |
|
Username |
SSL VPN會話的登錄用戶名稱 |
|
Connections |
SSL VPN會話的連接次數 |
|
Idle time |
SSL VPN會話的空閑時長,格式為天/時:分:秒 |
|
Created |
SSL VPN會話的創建時長,格式為天/時:分:秒 |
|
User IP |
SSL VPN會話使用的IP地址 |
# 顯示SSL VPN用戶user1對應的SSL VPN會話的詳細信息。
<Sysname> display sslvpn session user user1
User : user1
Authentication method : Username/password authentication
Context : context1
Policy group : pgroup
Idle timeout : 30 min
Created at : 13:49:27 UTC Wed 05/14/2014
Lastest : 17:50:58 UTC Wed 05/14/2014
User IPv4 address : 192.0.2.1
Session ID : 1
Web browser/OS : Internet Explorer
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
User : user1
Authentication method : Username/password authentication
Context : context2
Policy group : Default
Idle timeout : 2100 sec
Created at : 14:15:12 UTC Wed 05/14/2014
Lastest : 18:56:58 UTC Wed 05/14/2014
User IPv6 address : 0:30::983F:7A36:BD06:342D
Session ID : 5
Web browser/OS : Internet Explorer
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
# 顯示SSL VPN會話中所有用戶的詳細信息。
<Sysname> display sslvpn session verbose
User : user1
Authentication method : Username/password authentication
Context : context1
Policy group : pgroup
Idle timeout : 30 min
Created at : 13:49:27 UTC Wed 05/14/2014
Lastest : 17:50:58 UTC Wed 05/14/2014
User IPv4 address : 192.0.2.1
Session ID : 1
Web browser/OS : Internet Explorer
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
User : user1
Authentication method : Username/password authentication
Context : context2
Policy group : Default
Idle timeout : 2100 sec
Created at : 14:15:12 UTC Wed 05/14/2014
Lastest : 18:56:58 UTC Wed 05/14/2014
User IPv6 address : 0:30::983F:7A36:BD06:342D
Session ID : 5
Web browser/OS : Internet Explorer
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
表1-12 display sslvpn session user和display sslvpn session verbose命令顯示信息描述表
|
字段 |
描述 |
|
User |
SSL VPN用戶的登錄名 |
|
Authentication method |
SSL VPN用戶登錄訪問實例的認證方式,取值包括: · Username/password authentication:用戶名密碼認證 · Certificate authentication:證書認證 · Code verification:驗證碼驗證 · SMS authentication:短信認證 · Custom authentication:自定義認證 以上認證方式可以組合使用,每一種組合認證方式下必須至少包含用戶名密碼認證和證書認證中的一種方式,且自定義認證和短信認證不可以同時使用。除了驗證碼驗證,其他認證方式均可以單獨使用。 |
|
Context |
SSL VPN用戶所屬的SSL VPN訪問實例 |
|
Policy group |
SSL VPN用戶使用的策略組 |
|
Idle timeout |
SSL VPN超時時間 |
|
Created at |
SSL VPN會話的創建時間 |
|
Lastest |
用戶最近一次訪問時間 |
|
Allocated IP |
iNode客戶端分配到的IP地址,通過iNode登錄的用戶,會顯示該字段信息 |
|
User IPv4 address |
SSL VPN會話使用的IPv4地址 |
|
User IPv6 address |
SSL VPN會話使用的IPv6地址 |
|
Session ID |
SSL VPN會話的標識 |
|
Web browser/OS |
SSL VPN登錄用戶所用的瀏覽器或操作係統類型信息 |
|
Send rate |
SSL VPN會話的發送速率,單位取值包括: · B/s:字節/秒 · KB/s:千字節/秒 · MB/s:兆字節/秒 · GB/s:吉字節/秒 · TB/s:太字節/秒 · PB/s:拍字節/秒 |
|
Receive rate |
SSL VPN會話的接收速率,單位取值包括: · B/s:字節/秒 · KB/s:千字節/秒 · MB/s:兆字節/秒 · GB/s:吉字節/秒 · TB/s:太字節/秒 · PB/s:拍字節/秒 |
|
Sent bytes |
SSL VPN會話的總發送流量,單位取值包括: · B:字節 · KB:千字節 · MB:兆字節 · GB:吉字節 · TB:太字節 · PB:拍字節 |
|
Received bytes |
SSL VPN會話的總接收流量,單位取值包括: · B:字節 · KB:千字節 · MB:兆字節 · GB:吉字節 · TB:太字節 · PB:拍字節 |
display sslvpn webpage-customize template命令用來顯示SSL VPN頁麵模板信息。
【命令】
display sslvpn webpage-customize template
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示所有頁麵模板信息。
<Sysname> display sslvpn webpage-customize template
Template name Type Status
default Pre-defined Normal
system Pre-defined Normal
User1 User-defined File login.html missing
User2 User-defined File home.html missing
表1-13 display sslvpn webpage-customize template命令顯示信息描述表
|
字段 |
描述 |
|
Template name |
頁麵模板的名稱 |
|
Type |
頁麵模板的類型,取值包括: · Pre-defined:表示該頁麵模板為預定義頁麵模板 · User-defined:表示該頁麵模板為用戶自定義頁麵模板 |
|
Status |
頁麵模板的狀態,取值包括: · Normal:表示該頁麵模板完整,可以使用 · File login.html missing:表示該頁麵模板缺少login.html文件 · File home.html missing:表示該頁麵模板缺少home.html文件 · Version incompatible:表示該頁麵模板與設備的預定義模板版本不一致 |
【相關命令】
· sslvpn webpage-customize
· webpage-customize
emo-server命令用來配置為客戶端指定的EMO(Endpoint Mobile Office,終端移動辦公)服務器。
undo emo-server命令用來恢複缺省情況。
【命令】
emo-server address { host-name | ipv4-address } port port-number
undo emo-server
【缺省情況】
未配置為客戶端指定的EMO服務器。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
address:指定EMO服務器的主機名或IPv4地址。
host-name:EMO服務器的主機名,為1~127個字符的字符串,隻能包含字母、數字、下劃線、“-”和“.”,不區分大小寫。
ipv4-address:EMO服務器的IPv4地址,為點分十進製格式,不能是組播、廣播、環回地址。
port port-number:指定EMO服務器使用的端口號。port-number取值範圍為1025~65535。
【使用指導】
EMO服務器用來為移動客戶端提供服務。執行本命令後,SSL VPN網關會將配置的EMO服務器信息下發給客戶端,以便客戶端訪問EMO服務器。
在同一個SSL VPN訪問實例視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為ctx1的SSL VPN訪問實例下配置EMO服務器地址為10.10.1.1、端口號為9058。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] emo-server address 10.10.1.1 port 9058
exclude命令用來在路由列表中添加例外路由。
undo exclude命令用來刪除路由列表中的例外路由。
【命令】
exclude ip-address { mask | mask-length }
undo exclude ip-address { mask | mask-length }
【缺省情況】
【視圖】
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:路由的目的IP地址,不能是組播、廣播、環回地址。
mask:路由目的地址的掩碼。
mask-length:路由目的地址的掩碼長度,取值範圍為0~32。
【使用指導】
策略組引用路由列表後,SSL VPN網關將路由列表中的例外路由表項下發給客戶端。客戶端在本地添加這些路由表項,匹配這些路由表項的報文將不會被發送給SSL VPN網關。客戶端報文按照最長匹配原則選擇匹配的例外路由。通過配置例外路由,可以防止訪問指定網段的報文通過虛擬網卡發送給SSL VPN網關,便於網絡管理員靈活設置路由表項。
通過include命令和exclude命令指定相同的路由表項時,最後一次執行的命令生效。
【舉例】
# 在路由列表rtlist下添加例外路由192.168.0.0/16。
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-route-list rtlist
[Sysname-sslvpn-context-ctx1-route-list-rtlist] exclude 192.168.0.0 16
【相關命令】
· include
execution命令用來配置端口轉發表項對應的資源。
undo execution命令用來恢複缺省情況。
【命令】
execution script
undo execution
【缺省情況】
不存在端口轉發表項對應的資源。
【視圖】
端口轉發表項視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
script:端口轉發表項對應的資源,為1~255個字符的字符串,不區分大小寫。
【使用指導】
SSL VPN網關管理員可以通過以下兩種方式配置資源:
· 預定義模板方式:係統預定義了url('url-value')模板,SSL VPN網關管理員隻需輸入url('url-value'),便可以打開url-value對應的URL鏈接。url-value由協議類型、主機名稱或地址、端口號、資源路徑四部分組成,完整格式為“協議類型://主機名稱或地址:端口號/資源路徑”。
· 自定義方式:SSL VPN網關管理員可以自己編寫任意一個可執行的JavaScript腳本,實現訪問特定的資源。
每個端口轉發表項隻能配置一個對應的資源。配置本命令後,用戶可以在Web頁麵上單擊指定的鏈接訪問資源。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置端口轉發表項pfitem1對應的資源為url(‘https://127.0.0.1’)。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] port-forward-item pfitem1
[Sysname-sslvpn-context-ctx1-forward-item-pfitem1] execution url(‘https://127.0.0.1’)
execution命令用來配置快捷方式對應的資源。
undo execution命令用來恢複缺省情況。
【命令】
execution script
undo execution
【缺省情況】
不存在快捷方式對應的資源。
【視圖】
快捷方式視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
script:快捷方式對應的資源,為1~255個字符的字符串,不區分大小寫。
【使用指導】
SSL VPN網關管理員可以通過以下兩種方式配置資源:
· 預定義模板方式:
¡ url('url-value'):係統預定義了url('url-value')模板,SSL VPN網關管理員隻需輸入url('url-value'),便可以打開url-value對應的URL鏈接。url-value由協議類型、主機名稱或地址、端口號、資源路徑四部分組成,完整格式為“協議類型://主機名稱或地址:端口號/資源路徑”。
¡ app('app-value'):係統預定義了app('app-value')模板,SSL VPN網關管理員隻需輸入app('app-value'),便可以打開app-value對應的應用程序。app-value為應用程序路徑,例如:“c:\windows\system32\notepad++.exe”,該應用程序路徑用於打開應用程序“notepad++.exe”。
· 自定義方式:SSL VPN網關管理員可以自己編寫任意一個可執行的JavaScript腳本,實現訪問特定的資源。
配置本命令後,用戶可以在Web頁麵上單擊指定的快捷方式訪問資源。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置快捷方式shortcut1對應的資源為url(‘https://10.0.0.1’)。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] shortcut shortcut1
[Sysname-sslvpn-context-ctx1-shortcut-shortcut1] execution url(‘https://10.0.0.1’)
# 配置快捷方式shortcut2對應的資源為app(‘c:\windows\system32\notepad++.exe’)。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] shortcut shortcut2
[Sysname-sslvpn-context-ctx1-shortcut-shortcut2] execution app(‘c:\windows\system32\notepad++.exe’)
file-policy命令用來創建文件策略,並進入文件策略視圖。如果指定的文件策略已經存在,則直接進入該文件策略視圖。
undo file-policy命令用來刪除指定的文件策略。
【命令】
file-policy policy-name
undo file-policy policy-name
【缺省情況】
不存在文件策略。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:文件策略名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
此命令創建的文件策略用於對Web接入方式訪問的Web服務器網頁文件進行匹配和改寫。
同一個SSL VPN訪問實例視圖中可以配置多個文件策略。
【舉例】
# 創建名稱為fp的文件策略,並進入文件策略視圖。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp]
【相關命令】
· sslvpn context
filter ip-tunnel acl命令用來配置對IP接入進行高級ACL過濾。
undo filter ip-tunnel acl命令用來恢複缺省情況。
【命令】
filter ip-tunnel [ ipv6 ] acl advanced-acl-number
undo filter ip-tunnel [ ipv6 ] acl
【缺省情況】
SSL VPN網關允許SSL VPN客戶端訪問IP接入資源。
【視圖】
SSL VPN策略組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6:指定引用的ACL類型為IPv6 ACL。若不指定該參數,則表示引用IPv4 ACL。
acl advanced-acl-number:用來過濾IP接入報文的高級ACL的編號。advanced-acl-number表示高級ACL,取值範圍為3000~3999。引用的ACL規則中不能存在VPN實例,否則該規則不生效。
【使用指導】
用戶訪問資源時,匹配順序為:
(1) 進行URI ACL的規則檢查,成功匹配URI ACL中permit規則後用戶的訪問請求才允許通過。
(2) 若URI ACL匹配失敗時,再進行高級ACL的檢查,成功匹配permit規則後用戶的訪問請求才允許通過。
(3) 若高級ACL檢查失敗,則授權失敗,用戶不允許訪問資源。如果引用的ACL不存在,則SSL VPN網關拒絕所有IP接入方式的訪問。
若URI ACL和高級ACL均未引用,則SSL VPN網關默認允許所有IP接入方式的訪問。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置策略組pg1通過IPv4 ACL 3000和IPv6 ACL 3500過濾IP接入方式訪問。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] filter ip-tunnel acl 3000
[Sysname-sslvpn-context-ctx1-policy-group-pg1] filter ip-tunnel ipv6 acl 3500
【相關命令】
· filter ip-tunnel uri-acl
filter ip-tunnel uri-acl命令用來配置對IP接入進行URI ACL過濾。
undo filter ip-tunnel uri-acl命令用來取消IP接入的URI ACL過濾。
【命令】
filter ip-tunnel uri-acl uri-acl-name
undo filter ip-tunnel uri-acl
【缺省情況】
SSL VPN網關允許SSL VPN客戶端訪問IP接入資源。
【視圖】
SSL VPN策略組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
uri-acl-name:URI ACL名稱,為1~31個字符的字符串,不區分大小寫,且必須已經存在。
【使用指導】
用戶訪問資源時,匹配順序為:
(1) 進行URI ACL的規則檢查,成功匹配URI ACL中permit規則後用戶的訪問請求才允許通過。
(2) 若URI ACL匹配失敗時,再進行高級ACL的檢查,成功匹配permit規則後用戶的訪問請求才允許通過。
(3) 若高級ACL檢查失敗,則授權失敗,用戶不允許訪問資源。如果引用的ACL不存在,則SSL VPN網關拒絕所有IP接入方式的訪問。
若URI ACL和高級ACL均未引用,則SSL VPN網關默認允許所有IP接入方式的訪問。
配置對IP接入進行URI ACL過濾時,指定的URI ACL規則中不能包含HTTP和HTTPS協議,否則該規則不生效。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN策略組abcpg中,配置通過URI ACL abcuriacl過濾IP接入方式訪問。
<Sysname> system-view
[Sysname] sslvpn context abc
[Sysname-sslvpn-context-abc] policy-group abcpg
[Sysname-sslvpn-context-abc-policy-group-abcpg] filter ip-tunnel uri-acl abcuriacl
filter tcp-access acl命令用來配置對TCP接入進行高級ACL過濾。
undo filter tcp-access acl命令用來恢複缺省情況。
【命令】
filter tcp-access [ ipv6 ] acl advanced-acl-number
undo filter tcp-access [ ipv6 ] acl
【缺省情況】
SSL VPN網關僅允許SSL VPN客戶端訪問端口轉發列表下的資源。
【視圖】
SSL VPN策略組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6:指定引用的ACL類型為IPv6 ACL。如果不指定該參數,則表示引用IPv4 ACL。
acl advanced-acl-number:指定用於過濾TCP接入的高級ACL。advanced-acl-number表示高級ACL的編號,取值範圍為3000~3999。引用的ACL規則中不能存在VPN實例,否則該規則不生效。
【使用指導】
對於手機版TCP客戶端,用戶訪問資源時,匹配順序為:
(1) 優先匹配端口轉發資源列表,成功匹配後用戶可以訪問授權資源。
(2) 若端口轉發資源列表匹配失敗時,則進行URI ACL的規則檢查,成功匹配URI ACL中permit規則後用戶的訪問請求才允許通過。
(3) 若URI ACL匹配失敗時,再進行高級ACL的檢查,成功匹配permit規則後用戶的訪問請求才允許通過。
(4) 若高級ACL檢查失敗,則授權失敗,用戶不允許訪問資源。
對於PC版TCP客戶端,僅當成功匹配端口轉發資源列表後用戶可以訪問授權資源,否則禁止所有客戶端訪問TCP接入資源。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置策略組pg1通過IPv4 ACL 3000和IPv6 ACL 3500過濾TCP接入。
<Sysname> system-view
[Sysname]sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group pg1] filter tcp-access acl 3000
[Sysname-sslvpn-context-ctx1-policy-group pg1] filter tcp-access ipv6 acl 3500
【相關命令】
· filter tcp-access uri-acl
filter tcp-access uri-acl命令用來配置對TCP接入進行URI ACL過濾。
undo filter tcp-access uri-acl命令用來取消TCP接入的URI ACL的過濾。
【命令】
filter tcp-access uri-acl uri-acl-name
undo filter tcp-access uri-acl
【缺省情況】
SSL VPN網關僅允許SSL VPN客戶端訪問被授權URL列表下的資源。
【視圖】
SSL VPN策略組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
uri-acl-name:URI ACL名稱,為1~31個字符的字符串,不區分大小寫,且必須已經存在。
【使用指導】
對於手機版TCP客戶端,用戶訪問資源時,匹配順序為:
(1) 優先匹配端口轉發資源列表,成功匹配後用戶可以訪問授權資源。
(2) 若端口轉發資源列表匹配失敗時,則進行URI ACL的規則檢查,成功匹配URI ACL中permit規則後用戶的訪問請求才允許通過。
(3) 若URI ACL匹配失敗時,再進行高級ACL的檢查,成功匹配permit規則後用戶的訪問請求才允許通過。
(4) 若高級ACL檢查失敗,則授權失敗,用戶不允許訪問資源。
對於PC版TCP客戶端,僅當成功匹配端口轉發資源列表後用戶可以訪問授權資源,否則禁止所有客戶端訪問TCP接入資源。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN策略組abcpg中,配置通過URI ACL abcuriacl2過濾TCP接入方式訪問。
<Sysname> system-view
[Sysname] sslvpn context abc
[Sysname-sslvpn-context-abc] policy-group abcpg
[Sysname-sslvpn-context-abc-policy-group-abcpg] filter tcp-access uri-acl abcuriacl2
【相關命令】
· filter tcp-access acl
filter web-access acl命令用來配置對Web接入進行高級ACL過濾。
undo filter web-access acl命令用來恢複缺省情況。
【命令】
filter web-access [ ipv6 ] acl advanced-acl-number
undo filter web-access [ ipv6 ] acl
【缺省情況】
SSL VPN網關僅允許SSL VPN客戶端訪問被授權URL列表下的資源。
【視圖】
SSL VPN策略組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6:指定引用的ACL類型為IPv6 ACL。如果不指定該參數,則表示引用IPv4 ACL。
acl advanced-acl-number:指定用於過濾Web接入的高級ACL。advanced-acl-number表示高級ACL的編號,取值範圍為3000~3999。引用的ACL規則中不能存在VPN實例,否則該規則不生效。
【使用指導】
用戶訪問資源時,匹配順序為:
(1) 優先匹配被授權URL列表下的資源,成功匹配後用戶可以訪問授權資源。
(2) 若被授權URL列表下的資源匹配失敗時,則進行URI ACL的規則檢查,成功匹配URI ACL中permit規則後用戶的訪問請求才允許通過。
(3) 若URI ACL匹配失敗時,再進行高級ACL的檢查,成功匹配permit規則後用戶的訪問請求才允許通過。
(4) 若高級ACL檢查失敗,則授權失敗,用戶不允許訪問資源。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置策略組pg1通過IPv4 ACL 3000和IPv6 ACL 3500過濾Web接入。
<Sysname> system-view
[Sysname]sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group pg1] filter web-access acl 3000
[Sysname-sslvpn-context-ctx1-policy-group pg1] filter web-access ipv6 acl 3500
【相關命令】
· filter web-access uri-acl
filter web-access uri-acl命令用來配置對Web接入進行URI ACL過濾。
undo filter web-access uri-acl命令用來取消Web接入的URI ACL的過濾。
【命令】
filter web-access uri-acl uri-acl-name
undo filter web-access uri-acl
【缺省情況】
SSL VPN網關僅允許SSL VPN客戶端訪問被授權URL列表下的資源。
【視圖】
SSL VPN策略組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
uri-acl-name:URI ACL名稱,為1~31個字符的字符串,不區分大小寫,且必須已經存在。
【使用指導】
用戶訪問資源時,匹配順序為:
(1) 優先匹配被授權URL列表下的資源,成功匹配後用戶可以訪問授權資源。
(2) 若被授權URL列表下的資源匹配失敗時,則進行URI ACL的規則檢查,成功匹配URI ACL中permit規則後用戶的訪問請求才允許通過。
(3) 若URI ACL匹配失敗時,再進行高級ACL的檢查,成功匹配permit規則後用戶的訪問請求才允許通過。
(4) 若高級ACL檢查失敗,則授權失敗,用戶不允許訪問資源。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN策略組abc中,配置通過URI ACL abcuriacl1過濾Web接入方式訪問。
<Sysname> system-view
[Sysname] sslvpn context abc
[Sysname-sslvpn-context-abc] policy-group abcpg
[Sysname-sslvpn-context-abc-policy-group-abcpg] filter web-access uri-acl abcuriacl1
【相關命令】
· filter web-access acl
force-logout命令用來強製在線用戶下線。
【命令】
force-logout [ all | session session-id | user user-name ]
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
all:強製所有用戶下線。
session session-id:強製指定會話的用戶下線。session-id表示用戶會話標識,取值範圍為1~4294967295。
user user-name:強製指定用戶名的用戶下線。user-name表示SSL VPN用戶名稱,為1~63個字符的字符串,區分大小寫。
【舉例】
# 強製會話標識為1的用戶下線。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] force-logout session 1
force-logout max-onlines enable命令用來開啟達到最大在線數時的用戶強製下線功能。
undo force-logout max-onlines enable命令用來關閉達到最大在線數時的用戶強製下線功能。
【命令】
force-logout max-onlines enable
undo force-logout max-onlines enable
【缺省情況】
達到最大在線數時的用戶強製下線功能處於關閉狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
當某個用戶達到同一用戶名同時最大在線數,該用戶再次登錄時,如果開啟了本功能,則從該用戶的在線連接中選擇一個空閑時間最長的,強製其下線,新登錄用戶上線;如果未開啟本功能,則不允許新用戶登錄。
【舉例】
# 開啟達到最大在線數再登錄時強製下線功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] force-logout max-onlines enable
gateway命令用來配置短信網關認證引用短信網關。
undo gateway命令用來恢複缺省情況。
【命令】
gateway sms-gateway-name
undo gateway
【缺省情況】
未引用短信網關。
【視圖】
短信網關認證視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
sms-gateway-name:短信網關名稱,為1~31個字符的字符串,隻能包含字母、數字、下劃線,不區分大小寫。
【舉例】
# 在sms-gw短信網關認證視圖下配置引用短信網關gw1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw] gateway gw1
gateway命令用來配置SSL VPN訪問實例引用SSL VPN網關。
undo gateway命令用來刪除指定的SSL VPN網關。
【命令】
gateway gateway-name [ domain domain-name | virtual-host virtual-host-name ]
undo gateway [ gateway-name ]
【缺省情況】
未引用SSL VPN網關。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
gateway-name:SSL VPN網關名稱。為1~31個字符的字符串,隻能包含字母、數字、下劃線,不區分大小寫。
domain domain-name:域名,為1~127個字符的字符串,不區分大小寫,支持輸入中文字符。
virtual-host virtual-host-name:虛擬主機名稱,為1~127個字符的字符串,隻能包含字母、數字、下劃線、“-”和“.”,不區分大小寫。
【使用指導】
多個SSL VPN訪問實例引用同一個SSL VPN網關時,可以通過以下方法判斷遠端接入用戶所屬的SSL VPN訪問實例:
· 為不同的SSL VPN訪問實例指定不同的域名。遠端用戶登錄SSL VPN網關時,指定自己所在的域,SSL VPN網關根據用戶指定的域判斷該用戶所屬的SSL VPN訪問實例。
· 為不同的SSL VPN訪問實例、指定不同的虛擬主機名稱。遠端用戶訪問SSL VPN網關時,輸入虛擬主機名稱,SSL VPN網關根據虛擬主機名稱判斷該用戶所屬的SSL VPN訪問實例。
如果SSL VPN訪問實例引用SSL VPN網關時沒有指定域名和虛擬主機名稱,那麼其他的SSL VPN訪問實例就不能再引用該SSL VPN網關。
在同一個SSL VPN訪問實例視圖下,最多可以引用10個SSL VPN網關。
【舉例】
# 配置名為ctx1的SSL VPN訪問實例引用SSL VPN網關gw1,域名為domain1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] gateway gw1 domain domain1
【相關命令】
· display sslvpn context
heading命令用來配置URL列表標題。
undo heading命令用來刪除URL列表標題。
【命令】
heading string
undo heading
【缺省情況】
URL列表的標題為“Web”。
【視圖】
URL列表視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
string:URL列表標題,為1~31個字符的文本字符串,區分大小寫。
【舉例】
# 配置URL列表的標題為urlhead。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-list url
[Sysname-sslvpn-context-ctx1-url-list-url] heading urlhead
【相關命令】
· sslvpn context
· url-list
http-redirect命令用來開啟HTTP流量的重定向功能。
undo http-redirect命令用來關閉HTTP流量的重定向功能。
【命令】
http-redirect [ port port-number ]
undo http-redirect
【缺省情況】
HTTP流量的重定向功能處於關閉狀態,SSL VPN網關不會處理HTTP流量。
【視圖】
SSL VPN網關視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-number:需要重定向的HTTP流量的端口號,取值範圍為80、1025~65535,缺省值為80。
【使用指導】
配置該命令後,SSL VPN網關將監聽指定的端口號,並把指定端口號的HTTP流量重定向到HTTPS服務監聽的端口,向客戶端發送重定向報文,讓客戶端重新以HTTPS方式登錄。
【舉例】
# 為端口號為1025的HTTP流量開啟重定向功能。
<Sysname> system-view
[Sysname] sslvpn gateway gateway1
[Sysname-sslvpn-gateway-gateway1] http-redirect port 1025
idle-cut traffic-threshold命令用來配置SSL VPN會話保持空閑狀態的流量閾值。
undo idle-cut traffic-threshold命令用來恢複缺省情況。
【命令】
idle-cut traffic-threshold kilobytes
undo idle-cut traffic-threshold
【缺省情況】
SSL VPN會話保持空閑狀態的流量閾值為0千字節。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
kilobytes:表示SSL VPN會話保持空閑狀態的流量閾值,取值範圍為1~4294967295,單位為千字節。
【使用指導】
配置該命令後,SSL VPN網關將會對SSL VPN會話保持空閑狀態的流量進行統計,如果在timeout idle命令配置的時間範圍內SSL VPN用戶發送至SSL VPN網關的流量未達到配置的流量閾值,則SSL VPN網關將斷開該會話。
若修改本命令或timeout idle命令配置的值,則會清空已統計的流量。
【舉例】
# 在SSL VPN訪問實例ctx1下配置流量閾值為1000千字節。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] idle-cut traffic-threshold 1000
【相關命令】
· timeout idle
include命令用來在路由列表中添加路由。
undo include命令用來刪除路由列表中的路由。
【命令】
include ip-address { mask | mask-length }
undo include ip-address { mask | mask-length }
【缺省情況】
不存在路由。
【視圖】
路由列表視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:路由的目的地址,不能是組播、廣播、環回地址。
mask:路由目的地址的掩碼。
mask-length:路由的掩碼長度,取值範圍為0~32。
【使用指導】
本命令指定的目的網段需要是企業內部服務器所在的網絡。策略組引用路由列表後,SSL VPN網關將路由列表中的路由表項下發給客戶端。客戶端在本地添加這些路由表項,以便客戶端將訪問企業網絡內部服務器的報文通過虛擬網卡發送給SSL VPN網關,防止這些報文進入Internet。
多次執行本命令,可以在路由列表中添加多條路由。
通過include命令和exclude命令指定相同的路由表項時,最後一次執行的命令生效。
【舉例】
# 在路由列表rtlist下添加路由10.0.0.0/8。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-route-list rtlist
[Sysname-sslvpn-context-ctx1-route-list-rtlist] include 10.0.0.0 8
【相關命令】
· exclude
interface sslvpn-ac命令用來創建SSL VPN AC接口,並進入SSL VPN AC接口視圖。如果指定的SSL VPN AC接口已經存在,則直接進入SSL VPN AC接口視圖。
undo interface sslvpn-ac命令用來刪除指定的SSL VPN AC接口。
【命令】
interface sslvpn-ac interface-number
undo interface sslvpn-ac interface-number
【缺省情況】
不存在SSL VPN AC接口。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interface-number:SSL VPN AC接口的編號,取值範圍為0~4095。
【舉例】
# 創建SSL VPN AC接口1000,並進入SSL VPN AC接口視圖。
<Sysname>system-view
[Sysname]interface SSLVPN-AC 1000
[Sysname-SSLVPN-AC1000]
ip address命令用來配置SSL VPN網關的IPv4地址和端口號。
undo ip address命令用來恢複缺省情況。
【命令】
ip address ip-address [ port port-number ]
undo ip address
【缺省情況】
SSL VPN網關的IP地址為0.0.0.0,端口號為443。
【視圖】
SSL VPN網關視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:SSL VPN網關的IPv4地址,為點分十進製格式。
port port-number:指定SSL VPN網關的端口號。port-number取值範圍為443、1025~65535,缺省值為443。
【使用指導】
遠端接入用戶可以通過本命令配置的IPv4地址和端口號訪問SSL VPN網關。當配置的IP地址為非缺省IP地址時,本命令指定的IP地址應為SSL VPN網關上接口的IP地址,並需要保證該IP地址路由可達。
SSL VPN網關使用缺省地址時,端口號不能與設備的HTTPS管理地址的端口號相同。
SSL VPN網關的IPv4地址和端口號與HTTPS管理地址和端口號不能完全相同,如果完全相同,則用戶訪問此地址和端口時,隻能訪問SSL VPN網關頁麵,而不能訪問設備的管理頁麵。
SSL VPN網關的IPv4地址和IPv6地址不能同時生效,若同時配置了IPv4地址和IPv6地址(通過ipv6 address命令),則最後一次配置的IP地址生效。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置SSL VPN網關的IPv4地址為10.10.1.1、端口號為8000。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ip address 10.10.1.1 port 8000
【相關命令】
· display sslvpn gateway
· ipv6 address
ip-route-list命令用來創建路由列表,並進入路由列表視圖。如果指定的路由列表已經存在,則直接進入路由列表視圖。
undo ip-route-list命令用來刪除指定的路由列表。
【命令】
ip-route-list list-name
undo ip-route-list list-name
【缺省情況】
不存在路由列表。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
list-name:路由列表名稱,為1~31個字符的字符串,不區分大小寫,支持輸入中文字符。
【使用指導】
在路由列表視圖下,可以配置路由表項,客戶端可以通過這些路由表項訪問企業網絡內部的服務器。
若路由列表被策略組引用,則不允許刪除該路由列表。請先通過undo ip-tunnel access-route命令取消引用,再執行本命令刪除路由列表。
【舉例】
# 在名為ctx1的SSL VPN訪問實例下,創建路由列表rtlist,並進入路由列表視圖。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-route-list rtlist
[Sysname-sslvpn-context-ctx1-route-list-rtlist]
【相關命令】
· ip-tunnel access-route
ip-tunnel access-route命令用來配置下發給客戶端的路由表項。
undo ip-tunnel access-route命令用來恢複缺省情況。
【命令】
ip-tunnel access-route { ip-address { mask-length | mask } | force-all | ip-route-list list-name }
undo ip-tunnel access-route
【缺省情況】
未指定下發給客戶端的路由表項。
【視圖】
SSL VPN策略組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address { mask-length | mask }:將指定路由下發給客戶端。ip-address為路由的目的地址,不能是組播、廣播、環回地址;mask-length為路由的掩碼長度,取值範圍為0~32;mask為路由的掩碼。
force-all:強製將客戶端的流量轉發給SSL VPN網關。
ip-route-list list-name:將指定路由列表中的路由表項下發給客戶端。list-name表示路由列表名稱,為1~31個字符的字符串,不區分大小寫,支持輸入中文字符。本參數指定的路由列表必須先通過ip-route-list命令創建。
【使用指導】
客戶端通過IP接入方式訪問網關時,網關將指定的路由下發給客戶端。客戶端若訪問該網段內的服務器,報文就會通過虛擬網卡發送給SSL VPN網關,防止報文進入Internet。
通過指定路由列表,可以同時將路由列表中的多條路由下發給客戶端。若隻需要為客戶端下發一條路由,則可以直接配置ip-address { mask-length | mask }參數,無需指定路由列表。
執行本命令時如果指定了force-all參數,則SSL VPN網關將在客戶端上添加優先級最高的缺省路由,路由的出接口為虛擬網卡,從而使得所有沒有匹配到路由表項的流量都通過虛擬網卡發送給SSL VPN網關。SSL VPN網關還會實時監控SSL VPN客戶端,不允許SSL VPN客戶端刪除此缺省路由,且不允許SSL VPN客戶端添加優先級高於此路由的缺省路由。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在策略組pg1下,配置將路由列表rtlist中的路由下發給客戶端。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-route-list rtlist
[Sysname-sslvpn-context-ctx1-route-list-rtlist] include 10.0.0.0 8
[Sysname-sslvpn-context-ctx1-route-list-rtlist] include 20.0.0.0 8
[Sysname-sslvpn-context-ctx1-route-list-rtlist] quit
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] ip-tunnel access-route ip-route-list rtlist
【相關命令】
· ip-route-list
ip-tunnel address-pool命令用來配置IP接入引用地址池。
undo ip-tunnel address-pool命令用來恢複缺省情況。
【命令】
ip-tunnel address-pool pool-name mask { mask-length | mask }
undo ip-tunnel address-pool
【缺省情況】
IP接入未引用地址池。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
pool-name:引用的地址池名稱,為1~31個字符的字符串,不區分大小寫,支持輸入中文字符。
mask { mask-length | mask }:指定地址池的掩碼或掩碼長度。mask-length表示地址池的掩碼長度,取值範圍為1~30;mask表示地址池的掩碼。
【使用指導】
客戶端使用IP接入方式訪問SSL VPN網關時,網關需要為客戶端分配IP地址。SSL VPN訪問實例引用的地址池,若用戶被授權的策略組沒有引用地址池,則從此地址池為用戶分配地址。若地址池中無可用地址,則分配失敗。
本命令可以引用不存在的地址池。但此時SSL VPN網關無法為客戶端分配IP地址。隻有創建地址池後,SSL VPN網關才可以為客戶端分配IP地址。
每個SSL VPN訪問實例視圖下隻能引用一個地址池。多次執行本命令,最後一次執行的命令生效。
為了不影響用戶接入,請管理員合理規劃IP地址,避免地址池中的地址與設備上其他地址衝突。
【舉例】
# 配置IP接入引用地址池pool1。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] ip-tunnel address-pool pool1 mask 24
【相關命令】
· sslvpn ip address-pool
ip-tunnel address-pool命令用來配置IP接入引用地址池。
undo ip-tunnel address-pool命令用來恢複缺省情況。
【命令】
ip-tunnel address-pool pool-name mask { mask-length | mask }
undo ip-tunnel address-pool
【缺省情況】
策略組下IP接入未引用地址池。
【視圖】
SSL VPN策略組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
pool-name:引用的地址池名稱,為1~31個字符的字符串,不區分大小寫,支持輸入中文字符。
mask { mask-length | mask }:指定地址池的掩碼或掩碼長度。mask-length表示地址池的掩碼長度,取值範圍為1~30;mask表示地址池的掩碼。
【使用指導】
客戶端使用IP接入方式訪問SSL VPN網關時,網關需要為客戶端分配IP地址。本命令指定了SSL VPN策略組引用的IP地址池,當用戶被授權了該策略組之後,將從此地址池中為用戶分配地址。
當SSL VPN訪問實例和策略組下同時引用地址池時,將從策略組下的地址池分配地址,若地址池中無可用地址,則分配失敗。當策略組中未引用地址池時,從訪問實例的地址池中分配地址。
本命令可以引用不存在的地址池,但是不能從該地址池分配地址,隻有創建地址池後,SSL VPN網關才可以為使用該地址池為客戶端分配IP地址。
每個SSL VPN策略組下隻能引用一個地址池。多次執行本命令,最後一次執行的命令生效。
為了不影響用戶接入,請管理員合理規劃IP地址,避免地址池中的地址與設備上其他地址衝突。
【舉例】
# 在策略組pg1下配置用戶IP接入引用地址池pool1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] ip-tunnel address-pool pool1 mask 24
【相關命令】
ip-tunnel bind address命令用來配置SSL VPN用戶綁定IP地址。
undo ip-tunnel bind address命令用來恢複缺省情況。
【命令】
ip-tunnel bind address { ip-address-list | auto-allocate number }
undo ip-tunnel bind address
【缺省情況】
SSL VPN用戶未綁定IP地址。
【視圖】
SSL VPN用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address-list:為該用戶綁定分配的IP地址列表,為1~255個字符的字符串,隻能包含數字、“.”、“,”和“-”,列表中不能包含組播、廣播、環回地址。列表中可以包含IP地址和地址範圍,地址或地址範圍之間以“,”隔開,地址範圍中的起始和結束地址用“-”隔開。例如:10.1.1.5,10.1.1.10-10.1.1.20。列表中包含的IP地址個數最多為10000個。
auto-allocate number:SSL VPN網關為客戶端自動分配空閑的IP地址。number表示自動分配的IP地址的數目,取值範圍為1~10。
【使用指導】
客戶端使用IP接入方式訪問SSL VPN網關時,網關需要為客戶端分配IP地址。通過本命令可以指定SSL VPN網關為客戶端分配的IP地址:
· 若指定了參數ip-address-list,則當網關從地址池中為客戶端分配IP地址時,優先分配綁定的IP地址。如果IP地址列表中的地址已被分配給其他用戶,則斷開其他用戶的連接並釋放其IP地址。
· 若指定了參數auto-allocate number,則網關會從地址池中獲取number個空閑IP地址,為該用戶綁定。
當SSL VPN策略組中引用了地址池時,配置SSL VPN用戶綁定的IP地址必須是此地址池中的IP地址。
當SSL VPN策略組中未引用地址池時,配置SSL VPN用戶綁定的IP地址必須是此SSL VPN訪問實例引用的地址池中的IP地址。
未關聯VPN實例或在同一VPN實例中,不同SSL VPN用戶不能綁定相同的IP地址。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 為用戶user1綁定分配的IP地址為10.1.1.5,10.1.1.10~10.1.1.20和10.1.1.30。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] user user1
[Sysname-sslvpn-context-ctx-user-user1] ip-tunnel bind address 10.1.1.5,10.1.1.10-10.1.1.20,10.1.1.30
【相關命令】
· user
ip-tunnel dns-server命令用來配置為客戶端指定的內網DNS服務器地址。
undo ip-tunnel dns-server命令用來恢複缺省情況。
【命令】
ip-tunnel dns-server { primary | secondary } ip-address
undo ip-tunnel dns-server { primary | secondary }
【缺省情況】
未配置為客戶端指定的DNS服務器地址。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
primary:指定主DNS服務器。
secondary:指定備DNS服務器。
ip-address:DNS服務器的IPv4地址,不能是組播、廣播、環回地址。
【舉例】
# 配置為客戶端指定的主DNS服務器地址為1.1.1.1。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] ip-tunnel dns-server primary 1.1.1.1
ip-tunnel interface命令用來配置IP接入引用的SSL VPN AC接口。
undo ip-tunnel interface命令用來恢複缺省情況。
【命令】
ip-tunnel interface sslvpn-ac interface-number
undo ip-tunnel interface
【缺省情況】
IP接入未引用SSL VPN AC接口。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
sslvpn-ac interface-number:引用的SSL VPN AC接口。interface-number為SSL VPN AC接口編號,取值範圍為設備上已創建的SSL VPN AC接口的編號。指定的SSL VPN AC接口必須在設備上已經存在。
【使用指導】
當SSL VPN用戶使用IP接入方式訪問SSL VPN網關時,網關使用指定的SSL VPN AC接口與客戶端通信。網關從SSL VPN AC接口接收到客戶端發送的報文後,將報文轉發到遠端服務器;服務器做出響應後,網關會把應答報文通過SSL VPN AC接口發給客戶端。
【舉例】
# 指定IP接入引用的接口為SSL VPN AC 100。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] ip-tunnel interface sslvpn-ac 100
【相關命令】
· interface sslvpn-ac
ip-tunnel keepalive命令用來配置保活報文的發送時間間隔。
undo ip-tunnel keepalive命令用來恢複缺省情況。
【命令】
ip-tunnel keepalive seconds
undo ip-tunnel keepalive
【缺省情況】
保活報文的發送時間間隔為30秒。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
seconds:保活報文的發送間隔時間,取值範圍為0~600,單位為秒。如果保活報文發送時間間隔配置為0,則客戶端不發送保活報文。
【使用指導】
保活報文由客戶端發送給網關,用於維持客戶端和網關之間的會話。
如果SSL VPN會話的空閑時間超過timeout idle命令指定的時間,即在該命令指定的時間內,既沒有收到客戶端發送的數據報文,也沒有收到保活報文,則會斷開客戶端與網關之間的會話。
通常情況下,配置的保活報文發送時間間隔應該小於timeout idle命令配置的最大空閑時間。
【舉例】
# 在SSL VPN訪問實例ctx下配置保活報文的發送時間間隔為50秒。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] ip-tunnel keepalive 50
ip-tunnel log命令用來開啟IP接入的日誌生成功能。
undo ip-tunnel log命令用來關閉IP接入的日誌功能。
【命令】
ip-tunnel log { address-alloc-release | connection-close | packet-drop }
undo ip-tunnel log { address-alloc-release | connection-close | packet-drop }
【缺省情況】
IP接入的日誌功能處於關閉狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
address-alloc-release:IP接入客戶端虛擬網卡IP地址分配和釋放的日誌開關。
connection-close:IP接入連接關閉日誌的開關。
packet-drop:IP接入丟包日誌開關。
【使用指導】
IP接入日誌包括以下三種:
· 客戶端虛擬網卡IP地址分配和釋放日誌:IP接入方式下,SSL VPN網關為客戶端虛擬網卡分配和釋放IP地址時,SSL VPN網關會生成日誌信息。
· 連接關閉日誌:IP接入建立的連接被關閉時,SSL VPN網關會生成日誌信息。
· 丟包日誌:IP接入建立的連接發生丟包時,SSL VPN網關會生成日誌信息。
生成的日誌信息將被發送到設備的信息中心,通過設置信息中心的參數,決定日誌信息的輸出規則(即是否允許輸出以及輸出方向)。有關信息中心參數的配置請參見“網絡管理和監控配置指導”中的“信息中心”。
【舉例】
# 開啟SSL VPN 訪問實例ctx1的丟包日誌功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-tunnel log connection-close
【相關命令】
· sslvpn context
ip-tunnel rate-limit命令用來開啟IP接入方式的限速功能,並配置限速速率。
undo ip-tunnel rate-limit命令用來關閉指定方向的IP接入方式限速功能。
【命令】
ip-tunnel rate-limit { downstream | upstream } { kbps | pps } value
undo ip-tunnel rate-limit { downstream | upstream }
【缺省情況】
IP接入方式的限速功能處於關閉狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
downstream:下行流量,即內網資源服務器發送給SSL VPN用戶的流量。
upstream:上行流量,即SSL VPN用戶訪問內網資源服務器的流量。
kbps:表示限速速率單位為千比特每秒。
pps:表示限速速率單位為報文數每秒。
value:表示允許的最大速率,取值範圍為1000~100000000。
【使用指導】
本功能用於限製SSL VPN訪問實例的IP接入速率,超過此速率之後,訪問實例收到的報文將被丟棄。管理員可根據需求和實際情況進行合理配置。
可多次執行本命令,分別對上行流量和下行流量進行限速。針對上行或下行流量,重複配置,最後一次配置生效。
【舉例】
# 配置SSL VPN訪問實例ctx1下IP接入的上行流量最大速率限製為10000pps。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-tunnel rate-limit upstream pps 10000
ip-tunnel web-resource auto-push命令用來開啟IP方式成功登錄SSL VPN網關後自動推送資源列表功能。
undo ip-tunnel web-resource auto-push命令用來關閉IP方式成功登錄SSL VPN網關後自動推送資源列表功能。
【命令】
ip-tunnel web-resource auto-push
undo ip-tunnel web-resource auto-push
【缺省情況】
IP方式成功登錄SSL VPN網關後自動推送資源列表功能處於關閉狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟此功能,SSL VPN用戶通過IP方式(iNode客戶端)成功登錄SSL VPN網關後,設備會自動推送資源列表,以便用戶通過Web方式訪問所授權的資源。
本功能僅支持在Windows係統安裝了iNode環境下使用,安裝iNode客戶端有如下兩種方式:
· 通過瀏覽器登錄SSL VPN網關後,下載並安裝設備自帶的iNode客戶端。
· 安裝官網下載的iNode客戶端,這種方式下需要在定製iNode客戶端時勾選“生成VPN網關iNode安裝包”選項,否則會因為推送的Web頁麵無法檢測iNode客戶端是否已登錄,而導致用戶自動下線。
【舉例】
# 在SSL VPN訪問實例ctx1下開啟IP方式成功登錄SSL VPN網關後自動推送資源列表功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ip-tunnel web-resource auto-push
ip-tunnel wins-server命令用來配置為客戶端指定的內網WINS服務器地址。
undo ip-tunnel wins-server命令用來恢複缺省情況。
【命令】
ip-tunnel wins-server { primary | secondary } ip-address
undo ip-tunnel wins-server { primary | secondary }
【缺省情況】
未配置為客戶端指定的WINS服務器地址。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
primary:配置主WINS服務器。
secondary:配置備WINS服務器。
ip-address:WINS服務器的IPv4地址,不能是組播、廣播、環回地址。
【舉例】
# 配置為客戶端指定的內網主WINS服務器地址為1.1.1.1。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] ip-tunnel wins-server primary 1.1.1.1
ipv6 address命令用來配置SSL VPN網關的IPv6地址和端口號。
undo ipv6 address命令用來恢複缺省情況。
【命令】
ipv6 address ipv6-address [ port port-number ]
undo ipv6 address
【缺省情況】
未配置SSL VPN網關的IPv6地址和端口號。
【視圖】
SSL VPN網關視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-address:SSL VPN網關的IPv6地址,為以冒號(:)分隔的一連串16比特的十六進製數。
port port-number:指定SSL VPN網關的端口號。port-number取值範圍為443、1025~65535,缺省值為443。
【使用指導】
遠端接入用戶可以通過本命令配置的IPv6地址和端口號訪問SSL VPN網關。本命令指定的IPv6地址應為SSL VPN網關上接口的IPv6地址,並需要保證該IPv6地址路由可達。
SSL VPN網關的IPv6地址不能與設備的管理地址相同。
SSL VPN網關的IPv6地址和端口號與HTTPS管理地址和端口號不能完全相同,如果完全相同,則用戶訪問此地址和端口時,隻能訪問SSL VPN網關頁麵,而不能訪問設備的管理頁麵。
SSL VPN網關的IPv4地址和IPv6地址不能同時生效,若同時配置了IPv4地址(通過ip address命令)和IPv6地址,則最後一次配置的IP地址生效。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置SSL VPN網關的IPv6地址為200::1、端口號為8000。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ipv6 address 200::1 port 8000
【相關命令】
· display sslvpn gateway
· ip address
local-port命令用來添加一個端口轉發實例。
undo local-port命令用來刪除指定的端口轉發實例。
【命令】
local-port local-port-number local-name local-name remote-server remote-server remote-port remote-port-number [ description text ]
undo local-port
【缺省情況】
不存在端口轉發實例。
【視圖】
端口轉發表項視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
local-port-number:企業網內的TCP服務映射的本地端口號,取值範圍為1~65535,且不能與本地已有服務的端口號相同。
local-name local-name:指定企業網內的TCP服務映射的本地地址或本地主機名稱。local-name為1~253個字符的字符串,隻能包含字母、數字、下劃線、“-”和“.”,不區分大小寫。如果local-name為IPv6地址,需要為該地址增加一個中括號,例如:local-name [1234::5678]。
remote-server remote-server:指定企業網內TCP服務的IP地址或完整域名。remote-server為為1~253個字符的字符串,隻能包含字母、數字、下劃線、“-”和“.”,不區分大小寫。如果remote-server為IPv6地址,需要為該地址增加一個中括號,例如:remote-server [1234::5678]。
remote-port remote-port-number:指定企業網內TCP服務的端口號。remote-port-number取值範圍為1~65535。
description text:指定端口轉發實例的描述信息。description-string為1~63個字符的字符串,區分大小寫。
【使用指導】
本命令用來將企業網內的基於TCP的服務(如Telnet、SSH、POP3)映射為SSL VPN客戶端上的本地地址和本地端口,以便SSL VPN客戶端通過本地地址和本地端口訪問企業網內的服務器。例如,執行如下命令,表示在SSL VPN客戶端上通過127.0.0.1、端口80可以訪問企業網內的HTTP服務器192.168.0.213。
local-port 80 local-name 127.0.0.1 remote-server 192.168.0.213 remote-port 80
添加端口轉發實例時,需要注意的是,
· 配置的local-port-number不能與本地已有服務的端口號相同。
· 如果將企業網內的TCP服務映射為本地地址,則建議將本地地址配置為127.0.0.0/8網段的地址;如果映射為本地主機名,SSL VPN的TCP接入客戶端軟件會在主機文件hosts(C:\Windows\System32\drivers\etc\hosts)中添加主機名對應的IP地址,並在用戶退出時恢複原來的主機文件hosts。
· 每個端口轉發表項隻能添加一個端口轉發實例。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置端口轉發實例:將企業網內的HTTP服務器192.168.0.213映射為本地地址127.0.0.1、本地端口80。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] port-forward-item pfitem1
[Sysname-sslvpn-context-ctx1-port-forward-item-pfitem1] local-port 80 local-name 127.0.0.1 remote-server 192.168.0.213 remote-port 80 description http
【相關命令】
· port-forward-item
log resource-access enable命令用來開啟用戶訪問資源日誌生成功能。
undo log resource-access enable命令用來關閉用戶訪問資源日誌生成功能。
【命令】
log resource-access enable [ brief | filtering ] *
undo log resource-access enable
【缺省情況】
用戶訪問資源日誌生成功能處於關閉狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
brief:開啟用戶訪問資源日誌摘要功能。當開啟該功能後,僅顯示訪問資源的地址及其端口號,增強日誌的可讀性。若不指定該參數,當用戶訪問資源時,日誌信息會包含大量網頁的構成元素信息。
filtering:開啟用戶訪問資源日誌過濾功能。當開啟該功能後,1分鍾內同一用戶重複訪問相同資源時僅生成一條日誌信息。若不指定該參數,則表示同一用戶重複訪問相同資源時,均生產日誌信息。
【使用指導】
開啟本功能後,用戶訪問資源信息時,SSL VPN網關會生成日誌信息。生成的日誌信息將被發送到設備的信息中心,通過設置信息中心的參數,決定日誌信息的輸出規則(即是否允許輸出以及輸出方向)。
用戶訪問資源日誌不會輸出到控製台和監視終端。當信息中心配置的規則將用戶訪問資源日誌輸出到控製台和監視終端時,若仍需要查看用戶訪問資源日誌,可通過執行display logbuffer命令查看。有關信息中心和display logbuffer命令的詳細描述,請參見“網絡管理和監控配置指導”中的“信息中心”。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 開啟用戶訪問資源日誌生成功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] log resource-access enable
log user-login enable命令用來開啟用戶上下線日誌生成功能。
undo log user-login enable命令用來關閉用戶上下線日誌生成功能。
【命令】
log user-login enable
undo log user-login enable
【缺省情況】
用戶上下線日誌生成功能處於關閉狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟本功能後,用戶上線下線時,SSL VPN網關會生成日誌信息。生成的日誌信息將被發送到設備的信息中心,通過設置信息中心的參數,決定日誌信息的輸出規則(即是否允許輸出以及輸出方向)。有關信息中心參數的配置請參見“網絡管理和監控配置指導”中的“信息中心”。
【舉例】
# 開啟用戶上下線生成日誌功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] log user-login enable
login-message命令用來配置SSL VPN登錄頁麵的歡迎信息。
undo login-message命令用來恢複缺省情況。
【命令】
login-message { chinese chinese-message | english english-message }
undo login-message { chinese | english }
【缺省情況】
英文登錄頁麵的歡迎信息為“Welcome to SSL VPN”,中文登錄頁麵的歡迎信息為“歡迎進入SSL VPN”。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
chinese chinese-message:指定中文頁麵的歡迎信息。chinese-message為1~255個字符的字符串,區分大小寫。
english english-message:指定英文頁麵的歡迎信息。english-message為1~255個字符的字符串,區分大小寫。
【舉例】
# 配置SSL VPN英文頁麵的歡迎信息為“hello”,中文頁麵的歡迎信息為“你好”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] login-message english hello
[Sysname-sslvpn-context-ctx1] login-message chinese 你好
logo命令用來配置SSL VPN頁麵上顯示的logo。
undo logo命令用來恢複缺省情況。
【命令】
logo { file file-name | none }
undo logo
【缺省情況】
SSL VPN頁麵上顯示“H3C”logo圖標。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
file file-name:指定logo圖標文件。file-name為1~255字符的字符串,不區分大小寫。filename指定的logo圖標文件必須為gif、jpg或png格式,且不能超過100KB,建議圖片尺寸在110*30像素左右。
none:不顯示logo圖標。
【使用指導】
指定的logo圖標文件必須是本地已經存在的文件。
如果指定logo圖標文件後,刪除該文件,則仍然會顯示該文件對應的logo圖標。
【舉例】
# 配置SSL VPN頁麵上顯示的logo為flash:/mylogo.gif文件對應的logo圖標。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] logo file flash:/mylogo.gif
max-onlines命令用來配置同一用戶名的同時最大在線數。
undo max-onlines命令用來恢複缺省情況。
【命令】
max-onlines number
undo max-onlines
【缺省情況】
同一用戶名的同時最大在線數為32。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
number:SSL VPN的同一用戶名同時最大在線數,取值範圍為0~1048575,取值為0時表示不限製同一用戶的同時最大在線數。
【使用指導】
在同一個SSL VPN訪問實例視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置同一用戶名的同時最大在線數為50。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] max-onlines 50
max-users命令用來配置SSL VPN訪問實例的最大會話數。
undo max-users命令用來恢複缺省情況。
【命令】
max-users max-number
undo max-users
【缺省情況】
SSL VPN訪問實例的最大會話數為1048575。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
max-number:SSL VPN訪問實例的最大會話數,取值範圍為1~1048575。
【使用指導】
SSL VPN訪問實例下的會話數目達到本命令配置的值後,新的用戶將無法登錄。
【舉例】
# 配置SSL VPN訪問實例的最大會話數為500。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] max-users 500
【相關命令】
· display sslvpn context
message-server命令用來配置為客戶端指定的Message服務器。
undo message-server命令用來恢複缺省情況。
【命令】
message-server address { host-name | ipv4-address } port port-number
undo message-server
【缺省情況】
沒有配置為客戶端指定的Message服務器。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
address:指定Message服務器的主機名或IPv4地址。
host-name:Message服務器的主機名,為1~127個字符的字符串,可以包含字母、數字、下劃線、“-”和“.”,不區分大小寫。
ipv4-address:Message服務器的IPv4地址,為點分十進製格式,不能是組播、廣播、環回地址。
port port-number:指定Message服務器使用的端口號。port-number取值範圍為1025~65535。
【使用指導】
Message服務器用來為移動客戶端提供服務。執行本命令後,SSL VPN網關會將配置的Message服務器信息下發給客戶端,以便客戶端訪問Message服務器。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置SSL VPN Context的Message服務器。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] message-server address 10.10.1.1 port 8000
【相關命令】
· sslvpn context
mobile-num命令用來配置用於接收短信的手機號碼。
undo mobile-num命令用來恢複缺省情況。
【命令】
mobile-num number
undo mobile-num
【缺省情況】
未配置用於接收短信的手機號碼。
【視圖】
SSL VPN用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
number:用於接收短信的手機號碼,為1~31個字符的字符串,僅支持數字。
【使用指導】
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 為用戶user1配置接收短信的手機號碼為111111。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] user user1
[Sysname-sslvpn-context-ctx1-user-user1] mobile-num 111111
mobile-num-binding enable命令用來開啟用戶手機號碼綁定功能。
undo mobile-num-binding enable命令用來關閉用戶手機號碼綁定功能。
【命令】
mobile-num-binding enable
undo mobile-num-binding enable
【缺省情況】
用戶手機號碼綁定功能處於關閉狀態。
【視圖】
短信網關認證視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟了短信網關認證功能後,用戶登錄SSL VPN網關時,需要通過接收到的短信驗證信息完成登錄認證。
如果開啟了本功能,用戶首次登錄時係統會提示“請輸入電話號碼”,後續不再提示。用戶將使用綁定的手機號碼接收認證短信。
如果未開啟本功能,係統會使用SSL VPN用戶視圖下配置的手機號碼接收認證短信。若SSL VPN用戶視圖下未配置手機號碼,則用戶登錄失敗。
【舉例】
# 在sms-gw短信網關認證視圖下開啟用戶手機號碼綁定功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx-sms-auth-sms-gw] mobile-num-binding enable
【相關命令】
· mobile-num
mtu命令用來配置接口的MTU值。
undo mtu命令用來恢複缺省情況。
【命令】
mtu size
undo mtu
【缺省情況】
接口的MTU值為1500字節。
【視圖】
SSL VPN AC接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
size:接口的MTU值,取值範圍為100~64000,單位為字節。
【舉例】
# 配置接口SSL VPN AC 1000的MTU值為1430字節。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] mtu 1430
new-content命令用來配置改寫之後的文件內容。
undo new-content命令用來恢複缺省情況。
【命令】
new-content string
undo new-content
【缺省情況】
未配置改寫之後的文件內容。
【視圖】
改寫規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
string:改寫之後的文件內容,為1~256個字符的字符串,區分大小寫。
【使用指導】
在對網頁文件進行改寫的過程中,首先通過old-content命令配置的string對文件內容進行匹配,匹配成功之後,采用本命令配置的string對文件內容進行替換。
如果改寫的文件內容中存在空格,需要使用雙引號把文件內容引起來。
【舉例】
# 配置改寫之後的文件內容。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp] rewrite-rule rule1
[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1] new-content sslvpn_rewrite_htmlcode(d)
【相關命令】
· old-content
notify-message命令用來配置公告信息。
undo notify-message命令用來恢複缺省情況。
【命令】
notify-message { login-page | resource-page } { chinese chinese-message | english english-message }
undo notify-message { login-page | resource-page } { chinese | english }
【缺省情況】
未配置公告消息。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
login-page:指定SSL VPN登錄頁麵公告信息。
resource-page:指定SSL VPN資源頁麵公告信息。
chinese chinese-message:指定中文頁麵公告信息。chinese-message為1~255個字符的字符串,區分大小寫。
english english-message:指定英文頁麵公告信息。english-message為1~255個字符的字符串,區分大小寫。
【使用指導】
本命令配置的公告信息為顯示在SSL VPN登錄頁麵和資源頁麵的公告信息。一般用於定期向用戶推送修改密碼的通知,提醒用戶修改密碼。
在同一個SSL VPN訪問實例視圖下,多次執行本命令配置相同界麵相同語言的公告信息,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx1下,配置SSL VPN中文登錄頁麵的公告信息為“請及時修改密碼”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] notify-message login-page chinese 請及時修改密碼
old-content命令用來配置需要改寫的文件內容。
undo old-content命令用來恢複缺省情況。
【命令】
old-content string
undo old-content
【缺省情況】
未配置需要改寫的文件內容。
【視圖】
改寫規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
string:需要改寫的文件內容,為1~256個字符的字符串,區分大小寫。
【使用指導】
在對網頁文件改寫的過程中,首先通過本命令配置的string對文件內容進行匹配,匹配成功之後,采用new-content命令配置的改寫之後的文件內容對其進行替換。
如果改寫的文件內容中存在空格,需要使用雙引號把文件內容引起來。
同一文件策略中的不同規則下需要改寫的文件內容不能相同。
【舉例】
# 配置需要改寫的文件內容。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp] rewrite rule rule1
[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1] old-content "a.b.c.innerHTML = d;"
【相關命令】
· new-content
password-authentication enable命令用來開啟用戶名/密碼認證功能。
undo password-authentication enable命令用來關閉用戶名/密碼認證功能。
【命令】
password-authentication enable
undo password-authentication enable
【缺省情況】
用戶名/密碼認證功能處於開啟狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 關閉SSL VPN訪問實例的用戶名/密碼認證功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] undo password-authentication enable
【相關命令】
· certificate-authentication enable
· display sslvpn context
password-box hide命令用來隱藏SSL VPN Web登錄頁麵的密碼輸入框。
undo password-box hide命令用來顯示SSL VPN Web登錄頁麵的密碼輸入框。
【命令】
password-box hide
undo password-box hide
【缺省情況】
SSL VPN Web登錄頁麵顯示密碼輸入框。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
隱藏SSL VPN Web登錄頁麵的密碼輸入框後,隻有空密碼用戶可以登錄,其餘用戶均無法登錄。
為了保證設備的可用性和安全性,建議配合其他驗證方式使用。
當管理員希望通過除用戶名/密碼以外的方式驗證用戶身份時,建議使用本功能。
【舉例】
# 配置隱藏Web登錄頁麵的密碼輸入框。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] password-box hide
password-changing enable命令用來開啟用戶修改SSL VPN登錄密碼功能。
undo password-changing enable命令用來關閉用戶修改SSL VPN登錄密碼功能。
【命令】
password-changing enable
undo password-changing enable
【缺省情況】
用戶修改SSL VPN登錄密碼功能處於開啟狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
本功能用於SSL VPN網關的管理員進行用戶修改密碼控製。當開啟本功能時,用戶登錄SSL VPN網關後,進入SSL VPN資源頁麵,可以在頁麵點擊修改密碼按鈕,修改SSL VPN登錄密碼;當關閉本功能時,SSL VPN資源頁麵的修改密碼按鈕將處於隱藏狀態,用戶無法修改密碼。
本命令用於開啟和關閉訪問實例下所有用戶修改SSL VPN登錄密碼功能。如果用戶視圖下配置了關閉用戶修改SSL VPN登錄密碼功能,則用戶視圖下的配置生效。
【舉例】
# 在SSL VPN訪問實例ctx1下開啟用戶修改SSL VPN登錄密碼功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] password-changing enable
【相關命令】
· display sslvpn context
· password-changing enable (SSL VPN user view)
password-changing enable命令用來開啟用戶修改SSL VPN登錄密碼功能。
undo password-changing enable命令用來關閉用戶修改SSL VPN登錄密碼功能。
【命令】
password-changing enable
undo password-changing enable
【缺省情況】
用戶修改SSL VPN登錄密碼功能處於開啟狀態。
【視圖】
SSL VPN用戶視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
本功能用於SSL VPN網關的管理員進行用戶修改密碼控製。當開啟本功能時,用戶登錄SSL VPN網關後,進入SSL VPN資源頁麵,可以在頁麵點擊修改密碼按鈕,修改SSL VPN登錄密碼;當關閉本功能時,SSL VPN資源頁麵的修改密碼按鈕將處於隱藏狀態,用戶無法修改密碼。
本命令用於開啟和關閉特定用戶修改SSL VPN登錄密碼功能。
【舉例】
# 開啟用戶user1修改SSL VPN登錄密碼功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] user user1
[Sysname-sslvpn-context-ctx1-user-user1] password-changing enable
【相關命令】
· password-changing enable (SSL VPN context view)
password-complexity-message命令用來配置密碼複雜度提示信息。
undo password-complexity-message命令用來恢複缺省情況。
【命令】
password-complexity-message { chinese chinese-message | english english-message }
undo password-complexity-message { chinese | english }
【缺省情況】
未配置密碼複雜度提示信息。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
chinese chinese-message:指定中文頁麵的密碼複雜度提示信息。chinese-message為1~255個字符的字符串,區分大小寫。
english english-message:指定英文頁麵的密碼複雜度提示信息。english-message為1~255個字符的字符串,區分大小寫。
【使用指導】
本命令配置的中英文頁麵密碼複雜度提示信息將在SSL VPN修改密碼頁麵顯示,用於提示用戶輸入滿足密碼複雜度要求的新密碼。
在同一個SSL VPN訪問實例視圖下,多次執行本命令配置相同語言的提示信息,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx1下,配置中文頁麵密碼複雜度提示信息為“必須包含大小寫字母”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] password-complexity-message chinese 必須包含大小寫字母
policy-group命令用來創建策略組,並進入SSL VPN策略組視圖。如果指定的策略組已經存在,則直接進入策略組視圖。
undo policy-group命令用來刪除指定的策略組。
【命令】
policy-group group-name
undo policy-group group-name
【缺省情況】
不存在策略組。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-name:策略組名稱,為1~31個字符的字符串,不區分大小寫,支持輸入中文字符。
【使用指導】
策略組包含一係列規則,這些規則為用戶定義了資源的訪問權限。
一個SSL VPN訪問實例下可以配置多個策略組。遠端接入用戶訪問SSL VPN訪問實例時,AAA服務器將授權給該用戶的策略組信息下發給SSL VPN網關。該用戶可以訪問的資源由授權的策略組決定。如果AAA服務器沒有為該用戶進行授權,則用戶可以訪問的資源由缺省策略組決定。
【舉例】
# 創建名為pg1的策略組,並進入SSL VPN策略組視圖。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1]
【相關命令】
· default-policy-group
port-forward命令用來創建端口轉發列表,並進入端口轉發列表視圖。如果指定的端口轉發列表已經存在,則直接進入端口轉發列表視圖。
undo port-forward命令用來刪除指定的端口轉發列表。
【命令】
port-forward port-forward-name
undo port-forward port-forward-name
【缺省情況】
不存在端口轉發列表。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-forward-name:端口轉發列表名稱,為1~31個字符的字符串,不區分大小寫,支持輸入中文字符,不支持配置起始為item-的字符串。
【使用指導】
端口轉發列表用來為SSL VPN用戶提供TCP接入服務。
在轉發列表視圖下,通過port-forward-item命令可以創建端口轉發表項。一個端口轉發列表中可以配置多個端口轉發表項。
在SSL VPN策略組視圖下,通過resources port-forward命令可以配置策略組引用的端口轉發列表。SSL VPN用戶被授權訪問某個策略組後,該策略組引用的端口轉發列表指定的TCP接入服務將同時授權給SSL VPN用戶,SSL VPN用戶可以訪問這些TCP接入服務。
【舉例】
# 創建端口轉發列表pflist1,並進入端口轉發列表視圖。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] port-forward pflist1
[Sysname-sslvpn-context-ctx1-port-forward-pflist1]
【相關命令】
· local-port
· resources port-forward
port-forward-item命令用來創建端口轉發表項,並進入端口轉發表項視圖。如果指定的端口轉發表項已經存在,則直接進入端口轉發表項視圖。
undo port-forward-item命令用來刪除指定的端口轉發表項。
【命令】
port-forward-item item-name
undo port-forward-item item-name
【缺省情況】
不存在端口轉發表項。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
item-name:端口轉發表項名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
端口轉發表項用來為SSL VPN用戶提供TCP接入服務。
在端口轉發表項視圖下,需要進行以下配置:
· 通過local-port命令可以創建端口轉發實例。端口轉發實例將企業網內的基於TCP的服務(如Telnet、SSH、POP3)映射為SSL VPN客戶端上的本地地址和本地端口,以便SSL VPN客戶端通過本地地址和本地端口訪問企業網內的服務器。
· 通過execution命令創建訪問企業網內的服務器的資源。
一個端口轉發列表中可以配置多個端口轉發表項。
在同一端口轉發表項視圖下,通過execution命令指定的資源必須與local-port命令創建的端口轉發實例所對應的資源相同,否則用戶無法在Web頁麵上單擊對應的鏈接訪問服務器資源。
【舉例】
# 創建端口轉發表項pfitem1,並進入端口轉發表項視圖。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] port-forward-item pfitem1
[Sysname-sslvpn-context-ctx1-port-forward-item-pfitem1]
【相關命令】
· execution
· local-port
· resources port-forward-item
prevent-cracking freeze-ip命令用來設置防暴力破解凍結IP地址功能參數。
undo prevent-cracking freeze-ip命令用來恢複缺省情況。
【命令】
prevent-cracking freeze-ip login-failures login-failures freeze-time freeze-time
undo prevent-cracking freeze-ip
【缺省情況】
允許同一IP地址連續登錄訪問實例失敗的次數為64次,IP地址被凍結的時間為30秒。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
login-failures login-failures:表示允許同一IP地址連續登錄訪問實例失敗的次數,取值範圍為64~2048,單位為次。
freeze-time freeze-time:表示IP地址被凍結的時間,取值範圍為30~1800,單位為秒。
【使用指導】
防暴力破解功能指,通過限製同一IP地址嚐試登錄SSL VPN訪問實例的次數,降低登錄信息被暴力破解的風險。
當同一IP地址連續登錄SSL VPN訪問實例失敗(即兩次登錄失敗的間隔在45秒內)的次數達到本命令配置的限製次數時,SSL VPN訪問實例將凍結該IP地址,在凍結期間內,禁止該IP地址再次登錄此SSL VPN訪問實例。當達到凍結時間後,被凍結的IP地址將自動解凍。
在同一個SSL VPN訪問實例視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx1下,配置同一IP地址連續登錄SSL VPN訪問實例失敗的次數達到100次時凍結該IP地址,IP地址的凍結時間為60秒。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] prevent-cracking freeze-ip login-failures 100 freeze-time 60
【相關命令】
· display sslvpn prevent-cracking frozen-ip
prevent-cracking freeze-ip enable命令用來開啟防暴力破解凍結IP地址功能。
undo prevent-cracking freeze-ip enable命令用來關閉防暴力破解凍結IP地址功能。
【命令】
prevent-cracking freeze-ip enable
undo prevent-cracking freeze-ip enable
【缺省情況】
防暴力破解凍結IP地址功能處於關閉狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 開啟防暴力破解凍結IP地址功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] prevent-cracking freeze-ip enable
【相關命令】
· display sslvpn prevent-cracking frozen-ip
prevent-cracking unfreeze-ip命令用來手工解凍防暴力破解凍結的IP地址。
【命令】
prevent-cracking unfreeze-ip { all | { ipv4 | ipv6 } ip-address }
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
all:表示手工解凍所有IP地址。
ipv4:表示指定IPv4地址。
ipv6:表示指定IPv6地址。
ip-address:表示手工解凍的IP地址。
【使用指導】
本命令用於解凍SSL VPN訪問實例下防暴力破解凍結的IP地址,解凍後的IP地址將被允許再次登錄該SSL VPN訪問實例。
【舉例】
# 在SSL VPN訪問實例ctx1下,解凍所有防暴力破解凍結的IP地址。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] prevent-cracking unfreeze-ip all
【相關命令】
· display sslvpn prevent-cracking frozen-ip
prevent-cracking verify-code命令用來設置防暴力破解驗證碼驗證功能參數。
undo prevent-cracking verify-code命令用來恢複缺省情況。
【命令】
prevent-cracking verify-code login-failures login-failures
undo prevent-cracking verify-code
【缺省情況】
允許同一IP地址連續登錄SSL VPN訪問實例失敗的次數為5次。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
login-failures login-failures:表示允許同一IP地址連續登錄SSL VPN訪問實例失敗的次數,取值範圍為1~63,單位為次。
【使用指導】
開啟本功能後,當同一IP地址連續登錄SSL VPN訪問實例失敗的次數超過SSL VPN網關管理員通過本命令配置的限製次數時,SSL VPN訪問實例將啟用驗證碼驗證功能,使用該IP地址的SSL VPN用戶隻有通過驗證碼驗證才能登錄SSL VPN訪問實例。
在同一個SSL VPN訪問實例視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx1下,配置同一IP地址連續登錄訪問實例失敗的次數超過10次,將啟用驗證碼驗證功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] prevent-cracking verify-code login-failures-times 10
prevent-cracking verify-code enable命令用來開啟防暴力破解驗證碼驗證功能。
undo prevent-cracking verify-code enable命令用來關閉防暴力破解驗證碼驗證功能。
【命令】
prevent-cracking verify-code enable
undo prevent-cracking verify-code enable
【缺省情況】
防暴力破解驗證碼驗證功能處於關閉狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 開啟防暴力破解驗證碼驗證功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] prevent-cracking verify-code enable
rate-limit命令用來開啟SSL VPN會話的限速功能,並配置限速速率。
undo rate-limit命令用來關閉指定方向的SSL VPN會話的限速功能。
【命令】
rate-limit { downstream | upstream } value
undo rate-limit { downstream | upstream }
【缺省情況】
SSL VPN會話的限速功能處於關閉狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
downstream:SSL VPN用戶的下行流量,即內網資源服務器發送給SSL VPN用戶的流量。
upstream:SSL VPN用戶的上行流量,即SSL VPN用戶訪問內網資源服務器的流量。
value:表示允許的最大速率,取值範圍為1000~100000000,單位為kbps。
【使用指導】
本功能用於限製SSL VPN訪問實例下SSL VPN會話的速率,超過此速率之後,此SSL VPN會話相應方向的報文將會被丟棄。管理員可根據需求和實際情況進行合理配置。
可多次執行本命令,分別對上行流量和下行流量進行限速。針對上行或下行流量,重複配置,最後一次配置生效。
【舉例】
# 在SSL VPN訪問實例ctx1下,配置SSL VPN會話的上行流量最大速率限製為10000kbps。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] rate-limit upstream 10000
redirect-resource命令用來配置用戶登錄SSL VPN網關後授權給用戶的重定向資源
。
undo redirect-resource命令用來恢複缺省情況。
【命令】
redirect-resource { shortcut | url-item } resource-name
undo redirect-resource
【缺省情況】
用戶登錄SSL VPN網關後進入SSL VPN資源頁麵,不進行頁麵重定向。
【視圖】
SSL VPN策略組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
shortcut:表示重定向資源類型為快捷方式。
url-item:表示重定向資源類型為URL表項。
resource-name:表示重定向資源名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
缺省情況下用戶登錄SSL VPN網關後,進入的頁麵為SSL VPN資源頁麵。SSL VPN網關管理員也可以通過配置本命令實現用戶登錄SSL VPN網關後重定向到指定的頁麵。
用戶登錄SSL VPN網關後,如果被授權的SSL VPN策略組中包含重定向資源,則SSL VPN網關將首先進入SSL VPN資源頁麵,頁麵短暫停留後將重定向到指定的頁麵。用戶可以點擊瀏覽器的後退按鈕返回到SSL VPN資源頁麵。本命令用於指定重定向資源的資源類型及資源名稱。
用戶被授權多個策略組時,設備會根據授權策略組的順序,依次查找本地對應策略組中的重定向資源,如果找到重定向資源,則停止查找,並根據此重定向資源進行頁麵重定向,如果沒有找到重定向資源,則不進行頁麵重定向。
在同一個SSL VPN策略組視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN策略組pg1下配置重定向資源的資源類型為url-item,資源名稱為url1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] redirect-resource url-item url1
【相關命令】
· display sslvpn policy-group
reset counters interface sslvpn-ac命令用來清除SSL VPN AC接口的統計信息。
【命令】
reset counters interface [ sslvpn-ac [ interface-number ] ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
sslvpn-ac [ interface-number ]:指定接口的類型及編號。interface-number為SSL VPN AC接口的編號,取值範圍為0~4095。如果不指定sslvpn-ac,則清除所有接口的統計信息,如果指定sslvpn-ac而不指定interface-number,則清除所有SSL VPN AC接口的統計信息。
【使用指導】
在某些情況下,需要統計一定時間內某接口的流量,這就需要在統計開始前清除該接口原有的統計信息,重新進行統計。
【舉例】
# 清除接口SSL VPN AC 1000的統計信息。
<Sysname> reset counters interface sslvpn-ac 1000
【相關命令】
· display interface sslvpn-ac
reset sslvpn ip-tunnel statistics命令用來清除通過IP接入的SSL VPN用戶的報文統計信息。
【命令】
reset sslvpn ip-tunnel statistics [ context context-name [ session session-id ] ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
context context-name:清除指定SSL VPN訪問實例下通過IP接入的SSL VPN用戶的報文統計信息。context-name表示SSL VPN訪問實例名稱,為1~31個字符的字符串,隻能包含字母、數字、下劃線,不區分大小寫。如果不指定本參數,則清除所有SSL VPN訪問實例下通過IP接入的SSL VPN用戶的報文統計信息。
session session-id:清除指定會話ID的SSL VPN用戶的IP接入報文統計信息。session-id表示SSL VPN用戶會話標識,取值範圍為1~4294967295。如果不指定本參數,則清除指定的SSL VPN訪問實例下所有通過IP接入的SSL VPN用戶的報文統計信息。
【使用指導】
SSL VPN訪問實例名和會話ID可以通過display sslvpn session來查看。如果不指定任何參數,則表示清除所有SSL VPN訪問實例下的所有用戶的IP接入報文統計信息。
【舉例】
# 清除所有SSL VPN訪問實例下通過IP接入的SSL VPN用戶的報文統計信息。
<Sysname> reset sslvpn ip-tunnel statistics
# 清除SSL VPN訪問實例ctx1下通過IP接入的SSL VPN用戶的報文統計信息。
<Sysname> reset sslvpn ip-tunnel statistics context ctx1
# 清除SSL VPN訪問實例ctx1下會話ID為1的SSL VPN用戶的IP接入報文統計信息。
<Sysname> reset sslvpn ip-tunnel statistics context ctx1 session 1
【相關命令】
· display sslvpn ip-tunnel statistics
· display sslvpn session
resources port-forward命令用來配置策略組引用端口轉發列表。
undo resources port-forward命令用來取消策略組引用端口轉發列表。
【命令】
resources port-forward port-forward-name
undo resources port-forward
【缺省情況】
策略組沒有引用任何端口轉發列表。
【視圖】
SSL VPN策略組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-forward-name:端口轉發列表名稱,為1~31個字符的字符串,支持輸入中文字符,且必須已經存在。
【使用指導】
SSL VPN用戶被授權訪問某個策略組後,該策略組引用的端口轉發列表指定的TCP接入服務將同時授權給SSL VPN用戶,SSL VPN用戶可以訪問這些TCP接入服務。
【舉例】
# 配置策略組pg1引用端口轉發列表pflist1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] resources port-forward pflist1
【相關命令】
· local-port
· port-forward
resources port-forward-item命令用來配置端口轉發列表引用端口轉發表項。
undo resources port-forward-item命令用來取消端口轉發列表引用的端口轉發表項。
【命令】
resources port-forward-item item-name
undo resources port-forward-item item-name
【缺省情況】
端口轉發列表未引用任何端口轉發表項。
【視圖】
端口轉發列表視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
item-name:端口轉發表項名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
本命令引用的端口轉發表項必須先通過port-forward-item命令創建。
一個端口轉發列表可以引用多條端口轉發表項。
【舉例】
# 配置端口轉發列表pflist1引用端口轉發表項pfitem1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] port-forward-item pfitem1
[Sysname-sslvpn-context-ctx1-port-forward-item-pfitem1] quit
[Sysname-sslvpn-context-ctx1] port-forward pflist1
[Sysname-sslvpn-context-ctx1-port-forward-pflist1] resources port-forward-item pfitem1
【相關命令】
· port-forward-item
resources shortcut命令用來配置快捷方式列表引用快捷方式。
undo resources shortcut命令用來取消快捷方式列表引用的快捷方式。
【命令】
resources shortcut shortcut-name
undo resources shortcut shortcut-name
【缺省情況】
快捷方式列表未引用任何快捷方式。
【視圖】
快捷方式列表視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
shortcut-name:快捷方式名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
在快捷方式列表視圖下,可以引用多條快捷方式。
【舉例】
# 配置快捷方式列表list1引用快捷方式shortcut1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] shortcut shortcut1
[Sysname-sslvpn-context-ctx1-shortcut-shortcut1] quit
[Sysname-sslvpn-context-ctx1] shortcut-list list1
[Sysname-sslvpn-context-ctx1-shortcut-list-list1] resources shortcut shortcut1
resources shortcut-list命令用來配置策略組引用快捷方式列表。
undo resources shortcut-list命令用來恢複缺省情況。
【命令】
resources shortcut-list list-name
undo resources shortcut-list
【缺省情況】
策略組未引用任何快捷方式列表。
【視圖】
SSL VPN策略組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
list-name:快捷方式列表名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
SSL VPN用戶被授權訪問某個策略組後,該策略組引用的快捷方式列表將顯示在SSL VPN用戶的Web頁麵上,SSL VPN用戶可以單擊這些快捷方式訪問資源。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置策略組pg1引用快捷方式列表list1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] shortcut-list list1
[Sysname-sslvpn-context-ctx1-shortcut-list-list1] quit
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] resources shortcut-list list1
resources uri-acl命令用來配置過濾URL資源的URI ACL。
undo resources uri-acl命令用來刪除過濾URL資源的URI ACL。
【命令】
resources uri-acl uri-acl-name
undo resources uri-acl
【缺省情況】
不對URL資源進行過濾。
【視圖】
URL表項視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
uri-acl-name:指定過濾URL內容的URI ACL的名稱,為1~31個字符的字符串,不區分大小寫。引用的URI ACL必須已經存在。
【使用指導】
此命令用於對訪問的URL資源進行更精細的控製。
【舉例】
# 配置過濾URL資源的URI ACL為abc。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item serverA
[Sysname-sslvpn-context-ctx1-url-item-serverA] resources uri-acl abc
【相關命令】
· uri-acl
resources url-item命令用來配置URL列表引用的URL表項。
undo resources url-item命令用來刪除URL列表引用的URL表項。
【命令】
resources url-item url-item-name
undo resources url-item url-item-name
【缺省情況】
未引用URL表項。
【視圖】
URL列表視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url-item-name:表示URL表項的名稱,為1~31個字符的字符串,不區分大小寫。引用的URL表項必須已存在。
【使用指導】
一個URL列表可以引用多個URL表項。
【舉例】
# 創建URL列表list1,引用名為serverA的表項。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-list list1
[Sysname-sslvpn-context-ctx1-url-list-list1] resources url-item serverA
【相關命令】
· url-item
resources url-list命令用來配置策略組引用URL列表。
undo resources url-list命令用來取消策略組引用URL列表。
【命令】
resources url-list url-list-name
undo resources url-list url-list-name
【缺省情況】
策略組沒有引用任何URL列表。
【視圖】
SSL VPN策略組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url-list-name:URL列表名稱,為1~31個字符的字符串,不區分大小寫,支持輸入中文字符,且必須已經存在。
【使用指導】
在Web接入模式下,配置策略組引用URL列表後,遠端用戶可以使用瀏覽器訪問URL列表下的URL資源。
【舉例】
# 配置策略組pg1引用URL列表url1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] policy-group pg1
[Sysname-sslvpn-context-ctx1-policy-group-pg1] resources url-list url1
【相關命令】
· sslvpn context
· policy-group
· url-list
resources-file命令用來配置供用戶下載的資源文件。
undo resources-file命令用來恢複缺省情況。
【命令】
resources-file { chinese chinese-filename | english english-filename }
undo resources-file { chinese | english }
【缺省情況】
未配置供用戶下載的資源文件。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
chinese chinese-filename:指定中文頁麵供用戶下載的文件名。chinese-filename為1~31個字符的字符串,區分大小寫。
english english-filename:指定英文頁麵供用戶下載的文件名。english-filename為1~31個字符的字符串,區分大小寫。
【使用指導】
本命令配置的文件,將在SSL VPN資源頁麵顯示,可供用戶下載使用。文件需由SSL VPN網關管理員提前上傳至設備的文件管理係統,且通過本命令配置該文件時需要輸入文件的完整路徑。
在同一個SSL VPN訪問實例視圖下,多次執行本命令配置相同語言的資源文件,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx1下,配置中文頁麵供用戶下載的文件為flash:/sslvpnhelp.pdf。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] resources-file chinese flash:/sslvpnhelp.pdf
rewrite server-response-message命令用來改寫服務器返回信息。
undo rewrite server-response-message命令用來恢複缺省情況。
【命令】
rewrite server-response-message server-response-message { chinese chinese-message | english english-message }
undo rewrite server-response-message server-response-message { chinese | english }
【缺省情況】
SSL VPN網關不改寫服務器返回信息。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
server-response-message:服務器返回信息的初始內容,為1~127個字符的字符串,區分大小寫。若需輸入空格,則需要將整個字符串包含在雙引號中輸入。
chinese chinese-message:指定中文頁麵服務器返回信息的改寫內容。chinese-message為1~127個字符的字符串,區分大小寫。
english english-message:指定英文頁麵服務器返回信息的改寫內容。english-message為1~127個字符的字符串,區分大小寫。
【使用指導】
由於某些服務器返回信息(包括認證、授權、計費等信息)內容可能過於簡單或難以理解,SSL VPN網關管理員可以從服務器端獲取相應的返回信息,判斷哪些返回信息需要改寫,並通過配置本命令對該類信息進行改寫,設備將使用改寫後的服務器返回信息向SSL VPN用戶展示,提高用戶體驗。
在同一個SSL VPN訪問實例視圖下,多次執行本命令配置相同服務器返回信息初始內容相同語言的改寫內容,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx1下,指定中文頁麵服務器返回信息“認證成功”的改寫內容為“用戶身份認證成功”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] rewrite server-response-message 認證成功 chinese 用戶身份認證成功
rewrite-rule命令用來創建改寫規則,並進入改寫規則視圖。如果指定的改寫規則已經存在,則直接進入該改寫規則視圖。
undo rewrite-rule命令用來刪除指定的改寫規則。
【命令】
rewrite-rule rule-name
undo rewrite-rule rule-name
【缺省情況】
不存在改寫規則。
【視圖】
文件策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-name:改寫規則名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
同一個文件策略視圖中可以配置多個改寫規則。
【舉例】
# 創建改寫規則rule1,並進入改寫規則視圖。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp] rewrite-rule rule1
[Sysname-sslvpn-context-ctx-file-policy-fp-rewrite-rule-rule1]
rule命令用來創建URI ACL規則。
undo rule命令用來刪除指定的URI ACL規則。
【命令】
rule [ rule-id ] { deny | permit } uri uri-pattern-string
undo rule rule-id
【缺省情況】
不存在URL ACL規則。
【視圖】
URI ACL視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
rule-id:規則ID,取值範圍為0~65534,步長為5。若未指定本參數,自動分配一個大於現有最大編號的最小編號。例如現有規則的最大編號為28,那麼自動分配的新編號將是30。
uri:指定URI形式字符串。
uri-pattern-string:URI匹配字段,為不超過256個字符的字符串。格式為protocol://host:port/path,protocol和host必須指定。格式中各字段詳細的取值情況,見表1-14。
表1-14 URI匹配字段說明
|
字段 |
描述 |
|
protocol |
協議名稱,取值包括: · http · https · tcp · udp · icmp · ip |
|
host |
主機IP地址或域名 1. 支持的主機地址格式如下: · IPv4地址或IPv6地址,例如:192.168.1.1 · 使用字符-表示的IPv4地址或IPv6地址範圍,例如:3.3.3.1-3.3.3.200 · 指定子網掩碼長度的IPv4地址或指定前綴長度的IPv6地址,例如2.2.2.2/24 以上三種格式的組合,使用逗號分隔,例如:192.168.1.1,3.3.3.1-3.3.3.200,2.2.2.2/24 2. 支持的域名格式如下: · 精確的主機域名,例如www.domain.com · 包含通配符的主機域名。支持的通配符包括: ¡ *:匹配零個或多個任意字符,例如:*.com ¡ ?:匹配單個任意字符,例如:www.do?main.com ¡ %:匹配本級域名為任意字符,例如:www.%.com |
|
port |
主機端口。若未指定,則使用該協議的缺省端口號。支持的端口格式如下: · 單個端口,例如:1002 · 使用字符-表示的端口範圍,例如:8080-8088 以上兩種格式的組合,使用逗號分隔,例如:1002,90,8080-8088 |
|
path |
主機上的文件或目錄,以一個或多個/或\分隔的路徑。路徑支持的通配符包括: · *:匹配零個或多個任意字符,例如:/path1/* · ?:匹配單個任意字符,例如:/path?/ · %:匹配本級域名為任意字符,例如:/path1/%/ |
【使用指導】
URI ACL在匹配過濾時會按照規則ID從小到大的順序依次匹配報文,一旦匹配上某條規則便結束匹配過程。
【舉例】
# 在URI ACL視圖下,配置一條URI ACL規則。
<Sysname> system-view
[Sysname] sslvpn context abc
[Sysname-sslvpn-context-abc] uri-acl uriacla
[Sysname-sslvpn-context-abc-uri-acl-uriacla] rule 1 permit uri https://*.example.com:443,2000-5000/path/
self-service imc address命令用來配置iMC認證用戶自助修改密碼使用的iMC服務器。
undo self-service imc address命令用來恢複缺省情況。
【命令】
self-service imc address ip-address port port-number [ vpn-instance vpn-instance-name ]
undo self-service imc address
【缺省情況】
未配置iMC認證用戶自助修改密碼使用的iMC服務器。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:iMC服務器的IP地址,為點分十進製格式。
port port-number:iMC服務器的端口號,取值範圍為1~65535。
vpn-instance vpn-instance-name:iMC服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示該iMC服務器屬於公網。
【使用指導】
如果用戶登錄SSL VPN網關時使用iMC認證服務器進行認證,且用戶有修改密碼的需求時,需要配置本命令指定改密使用的iMC服務器。用戶認證通過後,可以在SSL VPN網關的Web頁麵上修改密碼,並通過iMC服務器對需要修改的密碼進行校驗。如果校驗通過,則SSL VPN用戶再次登錄時將使用修改後的密碼。
【舉例】
# 配置ctx1下iMC認證用戶自助修改密碼使用的iMC服務器的IP地址為192.168.10.1,端口號為443,關聯VPN實例vpn1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] self-service imc address 192.168.10.1 port 443 vpn-instance vpn1
server-address命令用來配置iMC短信認證使用的iMC服務器。
undo server-address命令用來恢複缺省情況。
【命令】
server-address ip-address port port-number [ vpn-instance vpn-instance-name ]
undo server-address
【缺省情況】
未配置iMC短信認證使用的iMC服務器。
【視圖】
iMC短信認證視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:iMC服務器的IP地址,為點分十進製格式。
port port-number:iMC服務器的端口號,取值範圍為1~65535。
vpn-instance vpn-instance-name:iMC服務器關聯的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示該iMC服務器屬於公網。
【舉例】
# 在iMC短信認證視圖下配置短信認證使用的iMC服務器的IP地址為192.168.151.1,端口號為2000,關聯VPN實例為vpn1。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth imc
[Sysname-sslvpn-context-ctx1-sms-auth-imc] server-address 192.168.151.1 port 2000 vpn-instance vpn1
service enable命令用來開啟SSL VPN訪問實例。
undo service enable命令用來關閉SSL VPN訪問實例。
【命令】
service enable
undo service enable
【缺省情況】
SSL VPN訪問實例處於關閉狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 開啟名為ctx1的SSL VPN訪問實例。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] service enable
【相關命令】
· display sslvpn context
service enable命令用來開啟SSL VPN網關。
undo service enable命令用來關閉SSL VPN網關。
【命令】
service enable
undo service enable
【缺省情況】
SSL VPN網關處於關閉狀態。
【視圖】
SSL VPN網關視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 開啟SSL VPN網關。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] service enable
【相關命令】
· display sslvpn gateway
session-connections命令用來配置每個會話的最大連接數。
undo session-connections命令用來恢複缺省情況。
【命令】
session-connections number
undo session-connections
【缺省情況】
每個會話的同時最大連接數為64。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
number:SSL VPN訪問實例下,單個會話的最大連接數,取值範圍為0、10~1000。取值為0時表示不限製單個會話的最大連接數。
【使用指導】
SSL VPN會話收到報文時,如果收到報文的單板/設備上該會話的連接數超過單個會話的最大連接數,則回應客戶端503 Service Unavailable,並關閉該連接。
在同一個SSL VPN訪問實例視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置SSL VPN的單個會話的最大連接數為10。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] session-connections 10
shortcut命令用來創建快捷方式,並進入快捷方式視圖。如果指定的快捷方式已經存在,則直接進入快捷方式視圖。
undo shortcut命令用來刪除指定的快捷方式。
【命令】
shortcut shortcut-name
undo shortcut shortcut-name
【缺省情況】
不存在快捷方式。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
shortcut-name:快捷方式名稱,為1~31個字符的字符串,不區分大小寫,不支持配置起始為list-的字符串。
【使用指導】
在快捷方式視圖下,通過execution命令配置訪問的資源後,SSL VPN用戶在Web頁麵上通過該快捷方式可以快速該訪問資源。
【舉例】
# 創建快捷方式shortcut1,並進入快捷方式視圖。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] shortcut shortcut1
[Sysname-sslvpn-context-ctx1-shortcut-shortcut1]
shortcut-list命令用來創建快捷方式列表,並進入快捷方式列表視圖。如果指定的快捷方式列表已經存在,則直接進入快捷方式列表視圖。
undo shortcut-list命令用來刪除指定的快捷方式列表。
【命令】
shortcut-list list-name
undo shortcut-list list-name
【缺省情況】
不存在快捷方式列表。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
list-name:快捷方式列表名稱,為1~31個字符的字符串,不區分大小寫。
【舉例】
# 創建快捷方式列表list1,並進入快捷方式列表視圖。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] shortcut-list list1
[Sysname-sslvpn-context-ctx1-shortcut-list-list1]
shutdown命令用來關閉接口。
undo shutdown命令用來開啟接口。
【命令】
shutdown
undo shutdown
【缺省情況】
SSL VPN AC接口均處於開啟狀態。
【視圖】
SSL VPN AC接口視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
執行本命令會導致使用該接口轉發的業務流量中斷,不能通信,請謹慎使用。
【舉例】
# 關閉接口SSL VPN AC 1000。
<Sysname> system-view
[Sysname] interface sslvpn-ac 1000
[Sysname-SSLVPN-AC1000] shutdown
sms-auth命令用來創建短信認證視圖,並進入短信認證視圖。如果指定的短信認證視圖已經存在,則直接進入短信認證視圖。
undo sms-auth命令用來刪除短信認證視圖。
【命令】
sms-auth { imc | sms-gw }
undo sms-auth { imc | sms-gw }
【缺省情況】
不存在短信認證視圖。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
imc:表示iMC短信認證視圖。
sms-gw:表示短信網關認證視圖。
【舉例】
# 在SSL VPN訪問實例ctx1下創建並進入短信網關認證視圖。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw]
【相關命令】
· sms-auth type
sms-auth type命令用來配置短信認證類型,並開啟短信認證功能。
undo sms-auth type命令用來恢複缺省情況。
【命令】
sms-auth type { imc | sms-gw }
undo sms-auth type
【缺省情況】
短信認證功能處於關閉狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
imc:表示iMC短信認證。
sms-gw:表示短信網關認證。
【使用指導】
開啟短信認證功能後,設備將使用短信驗證碼對用戶進行身份驗證,驗證通過後允許用戶登錄SSL VPN網關。設備支持兩種短信認證方式:
· iMC短信認證
設備使用iMC認證服務器對SSL VPN用戶進行短信認證,需要在iMC短信認證視圖下配置短信認證使用的iMC服務器的IP地址和端口號。
· 短信網關認證
設備使用短信網關對SSL VPN用戶進行短信認證,需要在短信網關認證視圖下配置引用的短信網關、短信驗證碼重新發送的時間間隔和短信驗證碼的有效時間等參數。
【舉例】
# 在SSL VPN訪問實例ctx1下配置短信認證類型為短信網關認證sms-gw。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth type sms-gw
【相關命令】
· display sslvpn context
· sms-auth
sms-content命令用來配置發送短信的內容模板。
undo sms-content命令用來恢複缺省情況。
【命令】
sms-content string
undo sms-content
【缺省情況】
短信內容模板為:“您好,$$USER$$,本次登錄的短信驗證碼為:$$VERIFYCODE$$,短信驗證碼的有效時間為$$VALIDTIME$$分鍾。”。
【視圖】
短信網關認證視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
string:短信內容,為1~127個字符的字符串,中文作為兩個字符,區分大小寫。
【使用指導】
短信內容模板用於SSL VPN網關生成短信內容。
短信內容由若幹字符和三個固定字段組合而成,固定字段包括:
· $$USER$$:用戶名變量
· $$VERIFYCODE$$:短信驗證碼內容變量
· $$VALIDTIME$$:短信驗證碼有效時間變量
【舉例】
# 在sms-gw短信網關認證視圖下配置短信內容為“你好,$$USER$$,短信驗證碼為:$$VERIFYCODE$$,短信驗證碼的有效時間為$$VALIDTIME$$分鍾。”
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw] sms-content 你好,$$USER$$,短信驗證碼為:$$VERIFYCODE$$,短信驗證碼的有效時間為$$VALIDTIME$$分鍾。
ssl client-policy命令用來配置SSL VPN訪問實例引用的SSL客戶端策略。
undo ssl client-policy命令用來取消SSL VPN訪問實例引用的SSL客戶端策略。
【命令】
ssl client-policy policy-name
undo ssl client-policy [ policy-name ]
【缺省情況】
缺省情況下,SSL客戶端策略支持的加密套件為dhe_rsa_aes_128_cbc_sha、dhe_rsa_aes_256_cbc_sha、rsa_3des_ede_cbc_sha、rsa_aes_128_cbc_sha、rsa_aes_256_cbc_sha。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:表示SSL客戶端策略名稱,為1~31個字符的字符串,不區分大小寫。執行undo ssl client-policy命令時,若不指定本參數,則表示取消SSL VPN訪問實例引用的所有SSL客戶端策略。
【使用指導】
執行本配置後,SSL VPN網關將使用指定的SSL客戶端策略與HTTPS類型的Web服務器建立連接。
SSL VPN訪問實例隻能引用一個SSL客戶端策略。多次執行本命令,最後一次執行的命令生效,但新的配置不會立即生效。請先通過undo service enable命令關閉SSL VPN訪問實例,再執行service enable命令開啟SSL VPN訪問實例後,新的配置才會生效。
有關SSL客戶端策略的詳細介紹,請參見“安全配置指導”中的“SSL”。
【舉例】
# 配置SSL VPN訪問實例ctx1引用SSL客戶端策略abc。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] ssl client-policy abc
ssl server-policy命令用來配置SSL VPN網關引用的SSL服務器端策略。
undo ssl server-policy命令用來取消SSL VPN網關引用的SSL服務器端策略。
【命令】
ssl server-policy policy-name
undo ssl server-policy [ policy-name ]
【缺省情況】
SSL VPN網關引用自簽名證書的SSL服務器端策略。
【視圖】
SSL VPN網關視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:SSL VPN網關引用的SSL服務器端策略名稱,為1~31個字符的字符串,不區分大小寫。執行undo ssl server-policy命令時,若不指定本參數,則表示取消SSL VPN網關引用的所有SSL服務器端策略。
【使用指導】
通過本命令指定SSL VPN網關引用的SSL服務器端策略後,SSL VPN網關將采用該策略下的參數與遠端接入用戶建立SSL連接。
SSL VPN網關隻能引用一個SSL服務器端策略。多次執行本命令,最後一次執行的命令生效,但新的配置不會立即生效。隻有執行undo service enable命令關閉SSL VPN網關,並執行service enable命令開啟SSL VPN網關後,新的配置才會生效。
當修改引用的SSL服務器端策略的相關屬性後,隻有執行undo service enable命令關閉SSL VPN網關,並執行service enable命令開啟SSL VPN網關後,新的策略才會生效。
【舉例】
# 配置SSL VPN網關gw1引用SSL服務器端策略CA_CERT。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1] ssl server-policy CA_CERT
【相關命令】
· display sslvpn gateway
sslvpn context命令用來創建SSL VPN訪問實例,並進入SSL VPN訪問實例視圖。如果指定的SSL VPN訪問實例已經存在,則直接進入SSL VPN訪問實例視圖。
undo sslvpn context命令用來刪除指定的SSL VPN訪問實例。
【命令】
sslvpn context context-name
undo sslvpn context context-name
【缺省情況】
不存在SSL VPN訪問實例。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
context-name:SSL VPN訪問實例名稱,為1~31個字符的字符串,隻能包含字母、數字、下劃線,不區分大小寫。
【使用指導】
SSL VPN訪問實例用來管理用戶會話、用戶可以訪問的資源、用戶認證方式等。一個SSL VPN網關可以被多個SSL VPN訪問實例引用,不同SSL VPN訪問實例對應不同的資源。遠端接入用戶登錄SSL VPN網關後可以訪問的資源,由該用戶所屬的SSL VPN訪問實例決定。
【舉例】
# 創建名為ctx1的SSL VPN訪問實例,並進入SSL VPN訪問實例視圖。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1]
【相關命令】
· display sslvpn context
sslvpn gateway命令用來創建SSL VPN網關,並進入SSL VPN網關視圖。如果指定的SSL VPN網關已經存在,則直接進入SSL VPN網關視圖。
undo sslvpn gateway命令用來刪除指定的SSL VPN網關。
【命令】
sslvpn gateway gateway-name
undo sslvpn gateway gateway-name
【缺省情況】
不存在SSL VPN網關。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
gateway-name:SSL VPN網關名稱,為1~31個字符的字符串,隻能包含字母、數字、下劃線,不區分大小寫。
【使用指導】
SSL VPN網關位於遠端接入用戶和企業內部網絡之間,負責在二者之間轉發報文。SSL VPN網關與遠端接入用戶建立SSL連接,並對接入用戶進行身份認證。遠端接入用戶的訪問請求隻有通過SSL VPN網關的安全檢查和認證後,才會被SSL VPN網關轉發到企業網絡內部,從而實現對企業內部資源的保護。
在SSL VPN網關視圖下,需要進行以下配置:
· 通過ip address命令指定SSL VPN網關的IP地址和端口號,以便遠端接入用戶通過該IP地址和端口號訪問SSL VPN網關。
· 通過ssl server-policy命令指定SSL VPN網關引用的SSL服務器端策略,以便SSL VPN網關采用該策略下的參數與遠端接入用戶建立SSL連接。
· 通過service enable命令開啟SSL VPN網關。
如果SSL VPN網關被SSL VPN訪問實例引用,則該SSL VPN網關不能被刪除。請先通過undo gateway命令取消引用,再執行本命令刪除SSL VPN網關。
【舉例】
# 創建SSL VPN網關gw1,並進入SSL VPN網關視圖。
<Sysname> system-view
[Sysname] sslvpn gateway gw1
[Sysname-sslvpn-gateway-gw1]
【相關命令】
· display sslvpn gateway
sslvpn ip address-pool命令用來創建地址池。
undo sslvpn ip address-pool命令用來刪除指定的地址池。
【命令】
sslvpn ip address-pool pool-name start-ip-address end-ip-address
undo sslvpn ip address-pool pool-name
【缺省情況】
不存在地址池。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
pool-name:地址池名稱,為1~31個字符的字符串,不區分大小寫,支持輸入中文字符。
start-ip-address end-ip-address:表示地址池的起始地址和結束地址,結束地址必須大於起始地址。起始地址和結束地址均不能是組播、廣播、環回地址。
【使用指導】
本命令創建的地址池可以被SSLVPN訪問實例和策略組引用,SSL VPN網關將從引用的地址池中選擇地址、分配給IP接入方式的客戶端。
【舉例】
# 創建地址池pool1,指定地址範圍為10.1.1.1~10.1.1.254。
<Sysname> system-view
[Sysname] sslvpn ip address-pool pool1 10.1.1.1 10.1.1.254
【相關命令】
· ip-tunnel address-pool (SSL VPN context view)
· ip-tunnel address-pool (SSL VPN policy group view)
sslvpn ip-client download-path命令用來配置Windows、Mac、Linux係統的IP接入客戶端下載路徑。
undo sslvpn ip-client download-path命令用來恢複缺省情況。
【命令】
sslvpn ip-client download-path { { common | kylin | uos
} { linux-arm | linux-loongarch | linux-mips | linux-x86 } url url | mac url url | windows { local | official | url url } }
undo sslvpn ip-client download-path { { common | kylin | uos } { linux-arm | linux-loongarch | linux-mips | linux-x86 } | mac | windows }
【缺省情況】
Mac、Linux係統的IP接入客戶端下載路徑為官網。
對於Windows係統,若設備已打包了IP接入客戶端,則IP接入客戶端的下載路徑為設備的根目錄;若設備未打包IP接入客戶端,則IP接入客戶端的下載路徑為官網。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
common:表示通用類型的係統。
kylin:表示銀河麒麟類型的係統。
uos:表示統信類型的係統。
linux-arm:表示基於ARM的Linux係統。
linux-loongarch:表示基於龍芯的Linux係統。
linux-mips:表示基於MIPS的Linux係統。
linux-x86:表示基於X86的Linux係統。
mac:表示MAC操作係統。
url url:表示不同操作係統的IP接入客戶端下載路徑為指定的URL地址,url為1~255個字符的字符串,不區分大小寫。
windows local:表示指定Windows係統的IP接入客戶端下載路徑為設備本地。
windows official:表示指定Windows係統的IP接入客戶端下載路徑為官網。
windows url url:表示Windows係統的IP接入客戶端下載路徑為指定的URL地址,url為1~255個字符的字符串,不區分大小寫。
【使用指導】
正常情況下,SSL VPN用戶下載的IP接入客戶端是存儲在設備上的,但是對於一些存儲空間較小的設備,無法在設備上部署IP接入客戶端。
為了解決此問題,SSL VPN網關管理員可以通過本命令配置IP接入客戶端的下載路徑為官網或者自定義的URL地址。此時,設備既可以節省存儲空間,同時SSL VPN用戶也可以正常的下載IP接入客戶端。
【舉例】
# 配置Windows係統的IP接入客戶端下載路徑為URL地址:https://www.example.com/download/client.exe。
<Sysname> system-view
[Sysname] sslvpn ip-client download-path windows url https://www.example.com/download/client.exe
sslvpn log enable命令用來開啟SSL VPN全局日誌生成功能。
undo sslvpn log enable命令用來關閉SSL VPN全局日誌生成功能。
【命令】
sslvpn log enable
undo sslvpn log enable
【缺省情況】
SSL VPN全局日誌生成功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟本功能後,SSL VPN網關會生成一些全局日誌信息。生成的日誌信息將被發送到設備的信息中心,通過設置信息中心的參數,決定日誌信息的輸出規則(即是否允許輸出以及輸出方向)。有關信息中心參數的配置請參見“網絡管理和監控配置指導”中的“信息中心”。
目前觸發SSL VPN生成全局日誌的事件有:
· 不存在可以訪問的訪問實例。
· 訪問未使能的訪問實例。
【舉例】
# 開啟SSL VPN全局日誌生成功能。
<Sysname> system-view
[Sysname] sslvpn log enable
sslvpn webpage-customize命令用來設置SSL VPN全局頁麵模板。
undo sslvpn webpage-customize命令用來恢複缺省情況。
【命令】
sslvpn webpage-customize template-name
undo sslvpn webpage-customize
【缺省情況】
SSL VPN頁麵為係統缺省頁麵。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
template-name:頁麵模板的名稱,為1~31的字符串,不能包括下列任何字符“/”、“\”、“|”、“:”、“*”、““”、“?”、“<”和“>”。
【使用指導】
本功能用來設置SSL VPN網關登錄頁麵和資源頁麵使用的全局頁麵模板,該模板可以是預定義頁麵模板,也可以是自定義頁麵模板。
需要通過Web網管頁麵上傳和下載頁麵模板。可以通過下載預定義的模板,來編輯自定義的模板。
通過display sslvpn webpage-customize template命令可以查看目前係統中所有的SSL VPN頁麵模板。
當在訪問實例下配置了定製頁麵時,優先使用訪問實例下的配置。
【舉例】
# 設置SSL VPN頁麵使用的頁麵模板為template1。
<Sysname> system-view
[Sysname] sslvpn webpage-customize template1
【相關命令】
· display sslvpn webpage-customize template
· webpage-customize
sso auto-build code命令用來配置自動構建登錄請求方式下單點登錄的登錄請求報文的字符編碼方式。
undo sso auto-build code命令用來恢複缺省情況。
【命令】
sso auto-build code { gb18030 | utf-8 }
undo sso auto-build code
【缺省情況】
自動構建登錄請求方式下單點登錄的登錄請求報文的字符編碼方式為UTF-8。
【視圖】
URL表項視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
gb18030:表示自動構建登錄請求方式下單點登錄的登錄請求報文使用GB18030編碼。
utf-8:表示自動構建登錄請求方式下單點登錄的登錄請求報文使用UTF-8編碼。
【使用指導】
對登錄請求報文編碼是指通過一定的編碼規則將其轉換成二進製格式進行傳輸。SSL VPN網關支持使用GB18030和UTF-8兩種字符編碼方式對登錄請求報文進行編碼。SSL VPN網關管理員需要根據內網服務器支持的解碼方式來設置具體的字符編碼方式。
在同一個URL表項視圖下,多次執行本命令,最後一次執行生效。
【舉例】
# 在URL表項servera下配置自動構建登錄請求方式下單點登錄的登錄請求報文的字符編碼方式為GB18030。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso auto-build code gb18030
【相關命令】
· sso auto-build custom-login-parameter
· sso auto-build login-parameter-field
· sso auto-build request-method
· sso method
sso auto-build custom-login-parameter命令用來配置自動構建登錄請求方式下單點登錄的自定義登錄參數。
undo sso auto-build custom-login-parameter命令用來恢複缺省情況。
【命令】
sso auto-build custom-login-parameter name parameter-name value value [ encrypt ]
undo sso auto-build custom-login-parameter name parameter-name
【缺省情況】
未配置自動構建登錄請求方式下單點登錄的自定義登錄參數。
【視圖】
URL表項視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
name parameter-name:自定義登錄參數的屬性名,為1~63個字符的字符串,區分大小寫。
value value:自定義登錄參數的屬性值,為1~255個字符的字符串,區分大小寫。
encrypt:表示使用加密文件對獲取到的登錄參數取值進行加密。該加密文件由sso auto-build encrypt-file命令配置。
【使用指導】
當采用自動構建登錄請求方式的單點登錄時,可以通過sso auto-build custom-login-parameter命令指定單點登錄的自定義登錄參數的屬性名以及屬性名對應的屬性值。SSL VPN網關管理員可以根據需要配置自定義的登錄參數。
SSL VPN網關將使用配置的自定義登錄參數與配置的登錄參數(通過sso auto-build login-parameter命令)來構建登錄請求。
【舉例】
# 在URL表項servera下配置自動構建登錄請求方式下單點登錄的自定義登錄參數的屬性名為“commit”,屬性值為“登錄”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso auto-build custom-login-parameter name commit value 登錄
【相關命令】
· sso auto-build code
· sso auto-build encrypt-file
· sso auto-build login-parameter
· sso auto-build request-method
· sso method
sso auto-build encrypt-file命令用來配置自動構建登錄請求方式下單點登錄的登錄參數加密文件。
undo sso auto-build encrypt-file命令用來恢複缺省情況。
【命令】
sso auto-build encrypt-file filename
undo sso auto-build encrypt-file
【缺省情況】
未配置自動構建登錄請求方式下單點登錄的登錄參數加密文件。
【視圖】
URL表項視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
filename:加密文件名,為1~255個字符的字符串,不區分大小寫。
【使用指導】
自動構建登錄請求方式下單點登錄的登錄參數取值如果需要加密,必須指定對應的加密文件。
加密文件是使用JavaScript語法編寫的包含加密處理函數的文件,需由SSL VPN網關管理員提前上傳至設備的文件管理係統。如果將文件上傳至設備根目錄時,執行本命令不需要指定路徑;如果將文件上傳至非根目錄時,執行本命令時需要指定完整路徑。SSL VPN網關管理員需要按照如下模板編寫加密函數:
function sslvpn_sso_encrypt(code)
{
//加密處理編碼
}
【舉例】
# 在URL表項servera下配置自動構建訪問請求方式下單點登錄的登錄參數加密使用的加密文件test.js。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso auto-build encrypt-file test.js
sso auto-build login-parameter命令用來配置自動構建登錄請求方式下單點登錄的登錄參數。
undo sso auto-build login-parameter命令用來恢複缺省情況。
【命令】
sso auto-build login-parameter { cert-fingerprint | cert-serial | cert-title | custom-password | custom-username | login-name | login-password | mobile-num | user-group } name parameter-name [ encrypt ]
undo sso auto-build login-parameter { cert-fingerprint | cert-serial | cert-title | custom-password | custom-username | login-name | login-password | mobile-num | user-group }
【缺省情況】
未配置自動構建登錄請求方式下單點登錄的登錄參數。
【視圖】
URL表項視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
login-name:表示取SSL VPN登錄用戶名作為單點登錄的登錄參數取值。
login-password:表示取SSL VPN登錄密碼作為單點登錄的登錄參數取值。
cert-title:表示取登錄SSL VPN網關使用的證書標題作為單點登錄的登錄參數取值。
cert-serial:表示取登錄SSL VPN網關使用的證書序列號作為單點登錄的登錄參數取值。
cert-fingerprint:表示取登錄SSL VPN網關使用的證書指紋作為單點登錄的登錄參數取值。
mobile-num:表示取短信認證配置的手機號碼作為單點登錄的登錄參數取值。
user-group:表示取SSL VPN用戶所在的用戶組作為單點登錄的登錄參數取值。
custom-username:表示取SSL VPN網關管理員通過SSL VPN網管頁麵設置的自定義用戶名作為單點登錄的登錄參數取值。
custom-password:表示取SSL VPN網關管理員通過SSL VPN網管頁麵設置的自定義密碼作為單點登錄的登錄參數取值。
name parameter-name:單點登錄的登錄參數的屬性名,為1~63個字符的字符串,區分大小寫。
encrypt:表示使用加密文件對獲取到的登錄參數取值進行加密。該加密文件由sso auto-build encrypt-file命令配置。
【使用指導】
當采用自動構建登錄請求方式的單點登錄時(通過sso method auto-build命令),需要通過sso auto-build login-parameter命令選擇不同類型的參數作為單點登錄的登錄參數,並指定單點登錄的登錄參數屬性名。該屬性名為SSL VPN網關登錄內網服務器使用的參數名稱,內網服務器會根據參數屬性名查找參數取值,判斷登錄用戶是否為合法用戶。同一個屬性名可以配置不同類型的參數,同一個類型的參數可以配置不同的屬性名。
SSL VPN網關將根據配置的參數類型,提取對應的參數取值作為單點登錄的參數取值。SSL VPN網關將使用提取到的登錄參數取值與配置的自定義登錄參數(通過sso auto-build custom-login-parameter命令)來構建登錄請求。
【舉例】
# 在URL表項servera下配置自動構建登錄請求方式下單點登錄的登錄參數的參數類型為“cert-title”,登錄參數的屬性名為“login”,並使用加密文件對登錄參數的值進行加密。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso auto-build login-parameter cert-title name login encrypt
sso auto-build request-method命令用來配置自動構建登錄請求方式下單點登錄的HTTP請求方式。
undo sso auto-build request-method命令用來恢複缺省情況。
【命令】
sso auto-build request-method { get | post }
undo sso auto-build request-method
【缺省情況】
自動構建登錄請求方式下單點登錄的HTTP請求方式為GET。
【視圖】
URL表項視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
get:表示HTTP請求方式為GET。
post:表示HTTP請求方式為POST。
【使用指導】
自動構建登錄請求方式下單點登錄的HTTP請求方式,表示SSL VPN網關采用何種請求方式向內網服務器發送HTTP請求報文,設備支持兩種請求方式:GET和POST。SSL VPN網關管理員需要根據內網服務器設置具體的請求方式。
在同一個URL表項視圖下,多次執行本命令,最後一次執行生效。
【舉例】
# 在URL表項servera下配置自動構建登錄請求方式下單點登錄的HTTP請求方式為POST。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso auto-build request-method post
sso basic custom-username-password enable命令用來使能Basic認證方式下單點登錄使用自定義用戶名和密碼。
undo sso basic custom-username-password enable命令用來恢複缺省情況。
【命令】
sso basic custom-username-password enable
undo sso basic custom-username-password enable
【缺省情況】
Basic認證方式的單點登錄使用SSL VPN登錄用戶名和密碼。
【視圖】
URL表項視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
當采用Basic認證方式的單點登錄時,可以通過本命令使能設備使用自定義用戶名和密碼實現單點登錄。該自定義用戶名和密碼由SSL VPN網關管理員通過Web網管界麵配置。
【舉例】
# 在URL表項servera下使能Basic認證方式的單點登錄使用自定義用戶名和密碼。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso basic custom-username-password enable
【相關命令】
· sso method
sso method命令用來配置單點登錄方式,並開啟單點登錄功能。
undo sso method命令用來恢複缺省情況。
【命令】
sso method { auto-build | basic }
undo sso method
【缺省情況】
SSL VPN單點登錄功能處於關閉狀態。
【視圖】
URL表項視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
auto-build:表示自動構建登錄請求方式的單點登錄。
basic:表示Basic認證方式的單點登錄。
【使用指導】
SSL VPN支持SSO(Single Sign on,單點登錄)是指SSL VPN用戶隻需要完成一次登錄認證,即可訪問所有相互信任的應用係統。通過配置單點登錄信息,使得用戶登錄SSL VPN網關後,再通過Web接入方式訪問內網資源時,不必輸入內網服務器的登錄用戶名和密碼。
設備支持兩種單點登錄方式:
· 自動構建登錄請求方式:SSL VPN網關管理員通過報文捕獲工具獲取內網服務器的登錄請求報文,並根據請求報文設置單點登錄信息(HTTP請求方式、登錄請求報文的編碼方式、登錄參數、登錄參數取值的加密文件),自動構建登錄請求。
自動構建登錄請求方式的單點登錄目前僅支持用於登錄通過用戶名/密碼認證的內網服務器。
· Basic認證方式:Basic認證是一種簡單的HTTP認證方式,指客戶端通過Web頁麵訪問服務器時,如果服務器需要對客戶端進行Basic認證,會彈出Basic認證對話框,要求客戶端輸入用戶名和密碼,服務器會根據輸入的用戶名和密碼,判斷客戶端是否合法。Basic認證方式的單點登錄是指,SSL VPN網關作為客戶端自動添加用戶名和密碼(此用戶名和密碼可以是登錄SSL VPN網關的用戶名和密碼,或者自定義的用戶名和密碼),模擬Basic認證方式實現單點登錄。
Basic認證方式的單點登錄僅用於登錄支持Basic認證方式登錄的內網服務器。
【舉例】
# 在URL表項servera下配置單點登錄方式為Basic認證方式。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item servera
[Sysname-sslvpn-context-ctx1-url-item-servera] sso method basic
timeout idle命令用來配置SSL VPN會話保持空閑狀態的最長時間。
undo timeout idle命令用來恢複缺省情況。
【命令】
timeout idle minutes
undo timeout idle
【缺省情況】
SSL VPN會話保持空閑狀態的最長時間為30分鍾。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
minutes:SSL VPN會話保持空閑狀態的最長時間,取值範圍為1~1440,單位為分鍾。
【使用指導】
如果SSL VPN會話保持空閑狀態的時間超過本命令配置的值,則將斷開該會話。
【舉例】
# 配置SSL VPN會話保持空閑狀態的最長時間為50分鍾。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] timeout idle 50
【相關命令】
· display sslvpn policy-group
title命令用來配置SSL VPN頁麵的標題信息。
undo title命令用來恢複缺省情況。
【命令】
title { chinese chinese-title | english english-title }
undo title { chinese | english }
【缺省情況】
SSL VPN頁麵的標題為“SSL VPN”。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
chinese chinese-title:指定中文頁麵的標題信息。chinese-title為1~255個字符的字符串,區分大小寫。
english english-title:指定英文頁麵的標題信息。english-title為1~255個字符的字符串,區分大小寫。
【舉例】
# 配置SSL VPN英文頁麵的標題信息為“SSL VPN service for company A”,中文頁麵的標題信息為“公司A的SSL VPN服務”。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] title english SSL VPN service for company A
[Sysname-sslvpn-context-ctx1] title chinese公司A的SSL VPN服務
uri-acl命令用來創建URI ACL,並進入URI ACL視圖。如果指定的URI ACL已經存在,則直接進入URI ACL視圖。
undo uri-acl命令用來刪除指定的URI ACL。
【命令】
uri-acl uri-acl-name
undo uri-acl uri-acl-name
【缺省情況】
不存在URI ACL。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
uri-acl-name:URI ACL名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
此命令創建URI形式的ACL,用於對SSL VPN的各種接入方式進行更精細的控製。對URL進行匹配,符合要求的URL請求可以訪問對應的資源。
在一個SSL VPN訪問實例視圖中可以配置多個URI ACL。
【舉例】
# 創建名稱為uriacla的URI ACL,並進入URI ACL視圖。
<Sysname> system-view
[Sysname] sslvpn context abc
[Sysname-sslvpn-context-abc] uri-acl uriacla
[Sysname-sslvpn-context-abc-uri-acl-uriacla]
url命令用來配置文件策略應用的URL地址。
undo url命令用來恢複缺省情況。
【命令】
url url
undo url
【缺省情況】
不存在文件策略應用的URL地址。
【視圖】
文件策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url:表示文件策略應用的完整路徑,為1~256個字符的字符串,不區分大小寫。
【使用指導】
隻有配置的url與網關正在處理的網頁文件的URL相同時,才會根據文件策略中的配置對該網頁文件內容進行改寫。
完整URL的語法為scheme://user:password@host:port/path,其含義如下:
· scheme:表示訪問服務器以獲取資源時使用的協議類型,目前支持HTTP和HTTPS。
· user:password:訪問資源時需要提供的用戶名和密碼。
· host:資源服務器的主機名或IPv4/IPv6地址。如果URL中包含IPv6地址,需要為該IPv6地址增加一個中括號,例如:https://[1234::5678]:4430/a.html。
· port:資源服務器正在監聽的端口號。大多數協議類型都有默認的端口號(例如:HTTP為80、HTTPS為443等)。
· path:服務器上資源的本地路徑。
每個文件策略隻能創建一個URL。同一SSL VPN訪問實例下不同文件策略下的URL不能相同。
【舉例】
# 配置文件策略fp應用的URL地址。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] file-policy fp
[Sysname-sslvpn-context-ctx-file-policy-fp] url https://192.168.1.1:4430/js/test.js
url命令用來配置資源的URL。
undo url命令用來刪除資源的URL。
【命令】
url url
undo url
【缺省情況】
URL表項中不存在資源的URL。
【視圖】
URL表項視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url:表示URL表項中資源的URL,為1~253個字符的字符串,不區分大小寫。
【使用指導】
一個URL由協議類型、主機名或地址、端口號、資源路徑四部分組成,完整格式為“協議類型://主機名稱或地址:端口號/資源路徑”。
協議類型目前僅支持HTTP和HTTPS,如果沒有指定,協議類型缺省為HTTP。
每一種協議類型都有一個缺省的端口號,例如HTTP缺省端口號為80,HTTPS缺省端口號為443。
如果URL中包含IPv6地址,需要為該IPv6地址增加一個中括號,例如https://[1234::5678]:4430。
多次執行本命令,最後一次執行的生效。
【舉例】
# 在URL表項serverA中配置資源的URL為www.example.com。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item serverA
[Sysname-sslvpn-context-ctx1-url-item-serverA] url www.example.com
url-item命令用來創建URL表項,並進入URL表項視圖。如果指定的URL表項已經存在,則直接進入URL表項視圖。
undo url-item命令用來刪除指定的URL表項。
【命令】
url-item url-item-name
undo url-item url-item-name
【缺省情況】
SSL VPN訪問實例下不存在URL表項。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url-item-name:表示URL表項的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
可以在同一個SSL VPN訪問實例下創建多個URL表項,被URL列表引用的URL表項無法被刪除。
URL表項名稱即URL對應的鏈接名。
【舉例】
# 創建名稱為serverA的URL表項,並進入URL表項視圖。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item serverA
[Sysname-sslvpn-context-ctx1-url-item-serverA]
url-list命令用來創建URL列表並進入URL列表視圖。如果指定的URL列表已經存在,則直接進入URL列表視圖。
undo url-list命令用來刪除URL列表。
【命令】
url-list name
undo url-list name
【缺省情況】
不存在URL列表。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
name:URL列表名稱,為1~31個字符的字符串,不區分大小寫,支持輸入中文字符。
【舉例】
# 創建名為url1的URL列表,並進入URL列表視圖。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-list url1
[Sysname-sslvpn-context-ctx1-url-list-url1]
【相關命令】
· sslvpn context
url-mapping命令用來配置URL資源的映射方式。
undo url-mapping命令用來恢複缺省情況。
【命令】
url-mapping { domain-mapping domain-name | port-mapping gateway gateway-name [ virtual-host virtual-host-name ] } [ rewrite-enable ]
undo url-mapping
【缺省情況】
URL資源的映射方式為常規改寫。
【視圖】
URL表項視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
domain-mapping domain-name:域名映射方式,domain-name表示映射的域名,為1~127個字符的字符串,隻能包含字母、數字、下劃線、“-”和“.”,不區分大小寫。配置的映射域名不能和SSL VPN網關的域名相同。
port-mapping gateway gateway-name:端口映射方式,gateway-name表示引用的SSL VPN網關名,為1~31個字符的字符串,隻能包含字母、數字、下劃線,不區分大小寫。引用的SSL VPN網關名必須已存在。
virtual-host virtual-host-name:虛擬主機名稱,為1~127個字符的字符串,隻能包含字母、數字、下劃線、“-”和“.”,不區分大小寫。若不指定此參數,則表示對SSL VPN網關的引用方式為獨占引用。
rewrite-enable:開啟URL改寫功能。開啟此功能後,SSL VPN網關將對內網服務器返回的絕對URL(全路徑URL,一般為內網服務器頁麵中鏈接到其他服務器的URL,如果不進行改寫用戶將無法訪問此URL)進行改寫,提高用戶的接入體驗。通常建議開啟,若不指定本參數,則表示不會對絕對URL進行改寫。
【使用指導】
缺省情況下SSL VPN網關會對URL進行常規改寫,目前僅支持對HTML、XML、CSS和JavaScript類型的文件進行改寫。常規改寫可能會造成URL映射遺漏和映射錯誤等問題,從而導致SSL VPN客戶端不能訪問內網資源。因此可以通過配置域名映射或端口映射的方式解決此問題。
在配置域名映射時,需保證SSL VPN客戶端可以解析到配置的映射域名(通過DNS解析或者在客戶端上添加相應Hosts條目等方式皆可),映射域名對應的IP地址為當前SSL VPN網關的IP地址。
在配置端口映射時,引用的SSL VPN網關可以為任意已存在的SSL VPN網關。但若以獨占方式引用SSL VPN網關,則該網關不允許被其他訪問實例或URL表項引用。
多次執行本命令,最後一次執行的生效。
【舉例】
# 配置表項名為serverA,URL為www.server.example.com,訪問方式為域名映射,映射的域名為www.domain.com,同時開啟URL改寫功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item serverA
[Sysname-sslvpn-context-ctx1-url-item-serverA] url www.server.example.com
[Sysname-sslvpn-context-ctx1-url-item-serverA] url-mapping domain-mapping http://www.domain.com/ rewrite-enable
# 配置表項名為serverB,URL為www.server.example.com,訪問方式為端口映射,以虛擬主機名方式引用網關gw1,同時開啟URL改寫功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] url-item serverB
[Sysname-sslvpn-context-ctx1-url-item-serverB] url www.server.example.com
[Sysname-sslvpn-context-ctx1-url-item-serverB] url-mapping port-mapping gateway gw1 virtual-host host1 rewrite-enable
【相關命令】
· url-item
· url
url-masking enable命令用來開啟URL偽裝功能。
undo url-masking enable命令用來關閉URL偽裝功能。
【命令】
url-masking enable
undo url-masking enable
【缺省情況】
URL偽裝功能處於關閉狀態。
【視圖】
SSL VPN訪問實例視圖
URL表項視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
URL地址偽裝是指將SSL VPN訪問實例下所配置的Web接入業務中的Web資源URL轉換成一定規則的編碼字符串對SSL VPN用戶呈現,從而達到隱藏真實的Web資源URL的目的。
若在SSL VPN訪問實例視圖下開啟URL偽裝功能,則該實例下所有Web資源都會開啟URL偽裝功能。此時若需要關閉URL偽裝功能,隻能在該實例視圖下執行undo url-masking enable命令關閉該SSL VPN訪問實例下所有URL的偽裝功能,而不能在URL表項視圖下單獨關閉某個URL的偽裝功能。
隻有當SSL VPN訪問實例下的URL偽裝功能處於關閉狀態時,才能在URL表項視圖下開啟或關閉單個URL的偽裝功能。
【舉例】
# 在URL表項視圖下,開啟指定URL表項的Web資源URL偽裝功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] url-item urlitem
[Sysname-sslvpn-context-ctx-url-item-urlitem] url-masking enable
# 在SSL VPN訪問實例視圖下,開啟該實例下所有Web資源的URL偽裝功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] url-masking enable
user命令用來創建SSL VPN用戶,並進入SSL VPN用戶視圖。如果指定的SSL VPN用戶已經存在,則直接進入該SSL VPN用戶視圖。
undo user命令用來刪除指定的SSL VPN用戶。
【命令】
user username
undo user username
【缺省情況】
不存在SSL VPN用戶。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
username:表示SSL VPN用戶名,為1~63個字符的字符串,區分大小寫,不能包括符號“\”、“|”、“/”、“:”、“*”、“?”、“<”和“>”。
【使用指導】
一個SSL VPN訪問實例中可以配置多個SSL VPN用戶。
【舉例】
# 創建名為user1的SSL VPN用戶,並進入SSL VPN用戶視圖。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] user user1
[Sysname-sslvpn-context-ctx-user-user1]
verification-code send-interval命令用來配置短信驗證碼重新發送的時間間隔。
undo verification-code send-interval命令用來恢複缺省情況。
【命令】
verification-code send-interval seconds
undo verification-code send-interval
【缺省情況】
短信驗證碼重新發送的時間間隔為60秒。
【視圖】
短信網關認證視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
seconds:短信驗證碼重新發送的時間間隔,取值範圍為0~3600,單位為秒。
【使用指導】
當時間超過短信驗證碼重新發送的時間間隔時,用戶可以重新獲取新的短信驗證碼。
【舉例】
# 在sms-gw短信網關認證視圖下配置短信驗證碼重新發送的時間間隔為80秒。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw] verification-code send-interval 80
verification-code validity命令用來配置短信驗證碼的有效時間。
undo verification-code validity命令用來恢複缺省情況。
【命令】
verification-code validity minutes
undo verification-code validity
【缺省情況】
短信驗證碼的有效時間為1分鍾。
【視圖】
短信網關認證視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
minutes:短信驗證碼有效時間,取值範圍為1~1440,單位為分鍾。
【舉例】
# 在sms-gw短信網關認證視圖下配置短信驗證碼的有效時間為30分鍾。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] sms-auth sms-gw
[Sysname-sslvpn-context-ctx1-sms-auth-sms-gw] verification-code validity 30
verify-code enable命令用來開啟驗證碼驗證功能。
undo verify-code enable命令用來關閉驗證碼驗證功能。
【命令】
verify-code enable
undo verify-code enable
【缺省情況】
驗證碼驗證功能處於關閉狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟驗證碼驗證後,用戶登錄時需要輸入驗證碼。隻有驗證碼驗證成功後,才允許用戶登錄SSL VPN頁麵。
【舉例】
# 開啟驗證碼驗證功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] verify-code enable
vpn-instance命令用來配置SSL VPN訪問實例關聯的VPN實例。
undo vpn-instance命令用來恢複缺省情況。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情況】
SSL VPN訪問實例關聯公網。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
vpn-instance-name:SSL VPN訪問實例關聯的VPN實例名稱,為1~31個字符的字符串,區分大小寫。
【使用指導】
執行本命令後,SSL VPN訪問實例包含的資源將屬於關聯的VPN實例。
每個SSL VPN訪問實例隻能關聯一個VPN實例。
SSL VPN訪問實例可以關聯不存在的VPN實例,但該SSL VPN訪問實例會處於未生效的狀態。待VPN實例創建後,SSL VPN訪問實例進入生效狀態。
如果配置修改關聯的VPN實例,則該訪問實例下的所有用戶綁定IP地址的配置均會被刪除。
【舉例】
# 配置名為contex1的SSL VPN訪問實例關聯VPN實例vpn1。
<Sysname> System-view
[Sysname] sslvpn context context1
[Sysname-sslvpn-context-context1] vpn-instance vpn1
vpn-instance命令用來配置SSL VPN網關所屬的VPN實例。
undo vpn-instance命令用來恢複缺省情況。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情況】
SSL VPN網關屬於公網。
【視圖】
SSL VPN網關視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
vpn-instance-name:SSL VPN網關所屬的VPN實例名稱,為1~31個字符的字符串,區分大小寫。
【使用指導】
每個SSL VPN網關隻能屬於一個VPN實例。SSL VPN所屬的VPN實例又稱為front VPN instance。
本命令指定的VPN實例可以不存在,但此時SSL VPN網關處於不生效的狀態。待VPN實例創建後,SSL VPN網關進入生效狀態。
【舉例】
# 配置SSL VPN網關gateway1屬於VPN實例vpn1。
<Sysname> system-view
[Sysname] sslvpn gateway gateway1
[Sysname-sslvpn-gateway-gateway1] vpn-instance vpn1
web-access ip-client auto-activate命令用來開啟Web方式成功登錄SSL VPN網關後自動啟動IP客戶端功能。
undo web-access ip-client auto-activate命令用來關閉Web方式成功登錄SSL VPN網關後自動啟動IP客戶端功能。
【命令】
web-access ip-client auto-activate
undo web-access ip-client auto-activate
【缺省情況】
Web方式成功登錄SSL VPN網關後自動啟動IP客戶端功能處於關閉狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟此功能,SSL VPN用戶通過Web方式成功登錄SSL VPN網關後,設備會自動啟動用戶主機上的IP客戶端,且會自動連接SSL VPN網關,連接成功後SSL VPN用戶可以使用IP接入方式訪問授權的資源。若用戶主機上未安裝IP客戶端,則先提示用戶下載並安裝IP客戶端,安裝完成後IP客戶端會自動啟動。
為使IP客戶端自啟動後成功連接SSL VPN網關,需要保證設備上已創建IP接入服務資源。
開啟本功能時如果用戶在PC上已經通過IP客戶端成功登錄,則無法通過瀏覽器直接訪問SSL VPN網關,需通過點擊IP客戶端的“打開資源列表”選項,在瀏覽器中訪問SSL VPN網關。
【舉例】
# 在SSL VPN訪問實例ctx1下開啟Web方式成功登錄SSL VPN網關後自動啟動IP客戶端功能。
<Sysname> system-view
[Sysname] sslvpn context ctx1
[Sysname-sslvpn-context-ctx1] web-access ip-client auto-activate
webpage-customize命令用來設置SSL VPN頁麵模板。
undo webpage-customize命令用來恢複缺省情況。
【命令】
webpage-customize template-name
undo webpage-customize
【缺省情況】
使用SSL VPN全局頁麵模板。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
template-name:頁麵模板的名稱,為1~31的字符串,不能包括下列任何字符“/”、“\”、“|”、“:”、“*”、““”、“?”、“<”和“>”。
【使用指導】
本功能用來設置SSL VPN網關登錄頁麵和資源頁麵使用的頁麵模板,該模板可以是預定義頁麵模板,也可以是自定義頁麵模板。
需要通過Web網管頁麵上傳和下載頁麵模板。可以通過下載預定義的模板,來編輯自定義的模板。
通過display sslvpn webpage-customize template命令可以查看目前係統中所有的SSL VPN頁麵模板。
SSL VPN訪問實例視圖下設置的SSL VPN頁麵模板優先級高於係統視圖下設置的全局SSL VPN頁麵模板。
若在SSL VPN訪問實例視圖下設置了自定義頁麵模板,則SSL VPN訪問實例視圖下定製的頁麵信息不再生效。
【舉例】
# 設置SSL VPN訪問實例ctx使用的頁麵模板為template1。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] webpage-customize template1
【相關命令】
· display sslvpn webpage-customize template
· sslvpn webpage-customize
wechat-work-authentication app-secret命令用來配置企業微信認證中企業應用數據的訪問密鑰。
undo wechat-work-authentication app-secret命令用來恢複缺省情況。
【命令】
wechat-work-authentication app-secret app-secret
undo wechat-work-authentication app-secret
【缺省情況】
未配置企業微信認證中企業應用數據的訪問密鑰。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
app-secret:企業應用數據的訪問密鑰,為1~127個字符的字符串,不區分大小寫。
【使用指導】
企業應用數據的訪問密鑰是企業應用中用於保障數據安全的“鑰匙”,每個應用都有一個獨立的訪問密鑰,為了保證數據安全,此密鑰務必不能泄漏。
此訪問密鑰和企業ID一起用於生成SSL VPN網關向企業微信API服務器獲取相關企業用戶信息時的重要憑據。
此訪問密鑰在企業微信管理平台上的查看路徑為:“應用管理”>“應用詳情”。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx下,配置企業應用數據的訪問密鑰為hpLRFnu7OxedV5bNd9OD0Xi。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication app-secret hpLRFnu7OxedV5bNd9OD0Xi
【相關命令】
· wechat-work-authentication corp-id
wechat-work-authentication authorize-field命令用來配置企業微信授權策略組字段名。
undo wechat-work-authentication authorize-field命令用來恢複缺省情況。
【命令】
wechat-work-authentication authorize-field authorize-field
undo wechat-work-authentication authorize-field
【缺省情況】
未配置企業微信授權策略組字段名。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
authorize-field:企業微信授權策略組字段名,為1~31個字符的字符串,不區分大小寫,支持輸入中文字符。
【使用指導】
本命令配置的企業微信授權策略組字段名,用於SSL VPN網關從企業微信API服務器獲取的應答報文中解析策略組名稱(即企業員工所屬的組織信息)。
假設定義了授權策略組字段名為group,若企業微信API服務器的應答報文含有group:ziliao字段,則SSL VPN網關會得到用戶的授權策略組名稱為ziliao,然後查找本地是否配置了名稱為ziliao的策略組:
· 若已配置,則授權用戶訪問此策略組中對應的內網資源。
· 若未配置,則授權用戶訪問缺省策略組中的內網資源。
為了保證SSL VPN網關能夠解析應答報文中的授權策略組名稱,授權策略組字段名需要SSL VPN網關管理員提前從企業微信獲取。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx下,配置企業微信授權策略組字段名為group。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication authorize-field group
wechat-work-authentication corp-id命令用來配置企業微信認證使用的企業ID。
undo wechat-work-authentication corp-id命令用來恢複缺省情況。
【命令】
wechat-work-authentication corp-id corp-id
undo wechat-work-authentication corp-id
【缺省情況】
未配置企業微信認證使用的企業ID。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
corp-id:企業微信認證使用的企業ID,為1~63個字符的字符串,不區分大小寫。
【使用指導】
企業ID在企業微信上唯一標識一個企業,企業ID和企業應用的訪問密鑰(通過wechat-work-authentication app-secret命令配置)一起用於生成SSL VPN網關向企業微信API服務器獲取用戶信息時的重要憑據。
企業ID在企業微信管理平台上的查看路徑為:“我的企業”>“企業信息”。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx下,配置企業ID為wxdd725338566d6ffe。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication corp-id wxdd725338566d6ffe
【相關命令】
· wechat-work-authentication app-secret
wechat-work-authentication enable命令用來開啟企業微信認證功能。
undo wechat-work-authentication enable命令用來關閉企業微信認證功能。
【命令】
wechat-work-authentication enable
undo wechat-work-authentication enable
【缺省情況】
企業微信認證功能處於關閉狀態。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
企業微信認證功能是指,設備從企業微信獲取企業用戶信息,並使用該信息對用戶進行認證和授權,認證和授權成功後,用戶將可以訪問內網資源。此功能對於企業用戶而言是透明、無感知的。
【舉例】
# 在SSL VPN訪問實例ctx下,開啟企業微信認證功能。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication enable
wechat-work-authentication open-platform-url命令用來配置微信開放平台的URL地址。
undo wechat-work-authentication open-platform-url命令用來恢複缺省情況。
【命令】
wechat-work-authentication open-platform-url { pre-defined | user-defined user-defined-url }
undo wechat-work-authentication open-platform-url
【缺省情況】
未配置微信開放平台的URL地址。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
pre-defined:預定義的URL地址,為https://open.weixin.qq.com。
user-defined user-defined-url:自定義的URL地址,為1~63個字符的字符串,不區分大小寫。
【使用指導】
正常情況下,SSL VPN網關收到內網服務器的應答報文後,SSL VPN會檢查HTTP報文頭中是否帶有Location字段,如果有該字段,SSL VPN網關將改寫Location字段中的URL地址,並將報文轉發給SSL VPN客戶端。因此,SSL VPN客戶端後續的請求報文才能夠到達SSL VPN網關。
特殊情況下,SSL VPN網關與企業微信對接時,內網服務器發送給SSL VPN網關的應答報文可能是要求用戶再一次向企業微信發送認證請求,此時SSL VPN就不能改寫此Location字段中的URL地址,以便報文轉發給客戶端後,客戶端能夠正常訪問企業微信服務器,完成後續的認證、授權。否則,企業微信服務器將無法收到客戶端的請求報文,本次企業微信認證失敗。
SSL VPN網關管理員需要設置不改寫的Location字段中的URL地址為微信開放平台的URL地址。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx下,配置微信開放平台的URL地址為預定義地址:https://open.weixin.qq.com。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication open-platform url pre-defined
wechat-work-authentication timeout命令用來配置企業微信認證的超時時間。
undo wechat-work-authentication timeout命令用來恢複缺省情況。
【命令】
wechat-work-authentication timeout seconds
undo wechat-work-authentication timeout
【缺省情況】
企業微信認證的超時時間為15秒。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
seconds:企業微信認證的超時時間,取值範圍為5~50,單位為秒。
【使用指導】
SSL VPN網關向企業微信API服務器發送HTTP請求報文後,如果在超時時間內沒有收到服務器的應答報文,則本次企業微信認證失敗。
當網絡延遲比較大時,建議增大超時時間,避免超時誤判的情況;當網絡延遲比較小時,可以減小超時時間,提高報文超時判斷的效率。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx下,配置企業微信認證的超時時間為20秒。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication timeout 20
wechat-work-authentication url命令用來配置企業微信API服務器的URL地址。
undo wechat-work-authentication url命令用來恢複缺省情況。
【命令】
wechat-work-authentication url url
undo wechat-work-authentication url
【缺省情況】
未配置企業微信API服務器的URL地址。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url:企業微信API服務器的URL地址,為1~255個字符的字符串,不區分大小寫。
【使用指導】
配置此命令後,當設備收到從企業微信服務器重定向而來的報文時,設備將與此命令指定的企業微信API服務器進行信息交互,獲取用戶信息,並使用獲取到的信息對用戶進行認證和授權。SSL VPN網關管理員需要根據企業微信API服務器的實際URL配置此地址。
設備需要配置域名解析功能,以便SSL VPN網關能夠根據配置的企業微信API服務器解析URL對應的IP地址。有關域名解析的詳細介紹,請參見“三層技術-IP業務”中的“域名解析”。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx下,配置企業微信API服務器的URL地址為https://qyapi.weixin.qq.com。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication url https://qyapi.weixin.qq.com
wechat-work-authentication userid-field命令用來配置SSL VPN網關登錄內網服務器使用的企業微信userid字段名。
undo wechat-work-authentication userid-field命令用來恢複缺省情況。
【命令】
wechat-work-authentication userid-field userid-field
undo wechat-work-authentication userid-fild
【缺省情況】
未配置SSL VPN網關登錄內網服務器使用的企業微信userid字段名。
【視圖】
SSL VPN訪問實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
userid-field:SSL VPN網關登錄內網服務器使用的企業微信userid字段名,為1~63個字符的字符串,不區分大小寫。
【使用指導】
企業微信中的userid用於在企業內唯一標識一個企業的用戶,即“賬戶名”。SSL VPN網關與企業微信API服務器交互獲取的用戶信息中會攜帶企業微信userid。
本命令配置的企業微信userid字段名,用於SSL VPN網關向內網服務器發起訪問請求時,組裝攜帶用戶信息的登錄參數。例如,如果組裝的登錄參數為login=zhansan,則login表示userid字段名,zhangsan表示企業內用戶的userid。內網服務器收到SSL VPN網關發送的請求報文後,會將該登錄參數字段名對應的取值解析為用戶的userid。因此,為了保證SSL VPN網關可以準確封裝用戶的登錄參數,需要SSL VPN網關管理員提前從內網服務器獲取該名稱。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在SSL VPN訪問實例ctx下,配置企業微信userid字段名為login。
<Sysname> system-view
[Sysname] sslvpn context ctx
[Sysname-sslvpn-context-ctx] wechat-work-authentication userid-field login
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
