阅读量:0
一 创建用户的组和能通过对资源
sslvpn context SSLVPN gateway SSLVPN domain nanchang ip-tunnel interface SSLVPN-AC1 ip-tunnel address-pool sslvpnpool mask 255.255.255.0 ip-tunnel log connection-close ip-tunnel log address-alloc-release ip-route-list 1 include 1.1.5.0 255.255.255.252 include 2.4.2.0 255.255.255.252 policy-group 1 filter ip-tunnel acl 3000 ip-tunnel access-route ip-route-list 1 ip-tunnel address-pool sslvpnpool mask 255.255.255.0 timeout idle 10 log user-login enable log resource-access enable brief force-logout max-onlines enable service enable
sslvpn context SSLVPN
- 创建一个名为SSLVPN的VPN上下文。
gateway SSLVPN domain nanchang
- 指定SSLVPN网关的域名为nanchang。
ip-tunnel interface SSLVPN-AC1
- 定义一个IP隧道接口SSLVPN-AC1。
ip-tunnel address-pool sslvpnpool mask 255.255.255.0
- 指定一个IP地址池sslvpnpool,并设置子网掩码为255.255.255.0。
ip-tunnel log connection-close
- 记录IP隧道连接关闭的日志。
ip-tunnel log address-alloc-release
- 记录IP隧道地址分配和释放的日志。
ip-route-list 1
- 定义一个IP路由列表1。
include 1.1.1.5 255.255.255.252
- 将网络1.1.5.0/30包含在路由列表1中。
include 2.2.4.0 255.255.255.252
- 将网络2.2.4.0/30包含在路由列表1中。
policy-group 1
- 指定策略组1。
filter ip-tunnel acl 3000
- 使用访问控制列表3000过滤IP隧道。
ip-tunnel access-route ip-route-list 1
- 将IP隧道的访问路由设置为路由列表1。
ip-tunnel address-pool sslvpnpool mask 255.255.255.0
- 再次指定IP隧道地址池sslvpnpool,并设置子网掩码为255.255.255.0。
timeout idle 10
- 设置空闲超时时间为10分钟。
log user-login enable
- 启用用户登录日志记录。
log resource-access enable brief
- 启用资源访问日志记录,并设置为简要模式。
force-logout max-onlines enable
- 启用强制注销,当达到最大在线用户数时。
service enable
- 启用服务。
二 创建用户的账号密码
# local-user Szjt_aqhb class network password cipher $c$3$BCdjJO7CQAhkWMO0teusdqpMW8XgbMmZjLjY+T6/Sa0= service-type sslvpn authorization-attribute user-role network-admin authorization-attribute user-role network-operator authorization-attribute sslvpn-policy-group 5 # local-user Szjt_aqhb_aqhb class network password cipher $c$3$j9Rf1QxFY5wlafXIL2EW3L1aoNoYlZae6YtXj/Tjt44= service-type sslvpn authorization-attribute user-role network-admin authorization-attribute user-role network-operator authorization-attribute sslvpn-policy-group 13 #
local-user Szjt_aqhb class network
- 定义一个本地用户Szjt_aqhb,用户类别为network。
password cipher $c$3$BCdjJO7CQAhkWMO0teusdqpMW8XgbMmZjLjY+T6/Sa0=
- 为用户Szjt_aqhb设置加密密码。密码采用MD5加密算法,密文为$c$3$BCdjJO7CQAhkWMO0teusdqpMW8XgbMmZjLjY+T6/Sa0=。
service-type sslvpn
- 指定该用户可以使用的服务类型为SSL VPN。
authorization-attribute user-role network-admin
- 授权用户Szjt_aqhb具有网络管理员的角色。
authorization-attribute user-role network-operator
- 授权用户Szjt_aqhb具有网络操作员的角色。
authorization-attribute sslvpn-policy-group 5
- 授权用户Szjt_aqhb使用SSL VPN策略组5。
三 SSL-VPN 查询手册
显示SSL VPN AC接口的相关信息
display interface sslvpn-ac [ interface-number ] [ brief [ description | down ] ]- 显示SSL VPN AC接口的详细信息。可以通过指定接口编号来显示特定接口的信息,使用
brief参数可以显示简要信息,description或down参数可以进一步筛选显示内容。显示SSL VPN访问实例的信息
display sslvpn context [ brief | name context-name ]- 显示SSL VPN访问实例的详细信息。使用
brief参数可以显示简要信息,使用name context-name参数可以显示特定访问实例的信息。显示SSL VPN网关的信息
display sslvpn gateway [ brief | name gateway-name ]- 显示SSL VPN网关的详细信息。使用
brief参数可以显示简要信息,使用name gateway-name参数可以显示特定网关的信息。显示指定策略组的信息
display sslvpn policy-group group-name [ context context-name ]- 显示指定策略组的详细信息。需要指定策略组名称
group-name,可以使用context context-name参数来指定访问实例。显示TCP端口转发的连接信息
display sslvpn port-forward connection [ context context-name ] [ chassis chassis-number slot slot-number ]- 显示TCP端口转发的连接信息。可以使用
context context-name参数来指定访问实例,使用chassis chassis-number slot slot-number参数来指定具体的设备位置。显示SSL VPN会话信息
display sslvpn session [ context context-name ] [ user user-name | verbose ]- 显示SSL VPN会话的详细信息。可以使用
context context-name参数来指定访问实例,使用user user-name参数来显示特定用户的会话信息,或者使用verbose参数显示更详细的会话信息。显示通过IP接入的SSL VPN用户的报文统计信息
display sslvpn ip-tunnel statistics [ context context-name ] [ user user-name ]- 显示通过IP接入的SSL VPN用户的报文统计信息。可以使用
context context-name参数来指定访问实例,使用user user-name参数来显示特定用户的统计信息。清除SSL VPN AC接口的统计信息
reset counters interface [ sslvpn-ac [ interface-number ] ]- 清除SSL VPN AC接口的统计信息。可以通过指定接口编号来清除特定接口的统计信息。
清除通过IP接入的SSL VPN用户的报文统计信息
reset sslvpn ip-tunnel statistics [ context context-name [ session session-id ] ]- 清除通过IP接入的SSL VPN用户的报文统计信息。可以使用
context context-name参数来指定访问实例,使用session session-id参数来指定特定会话的统计信息。
[FW1]display sslvpn context Context name: SSLVPN Operation state: Up AAA domain: Not specified Certificate authentication: Disabled Password authentication: Enabled Authentication use: All SMS auth type: Not configured Urlmasking: Disabled Code verification: Disabled Default policy group: Not configured Associated SSL VPN gateway: SSLVPN Domain name: nanchang Maximum users allowed: 1048575 VPN instance: Not configured Idle timeout: 10 min Authentication server-type: aaa Password changing: Enabled
Context name: SSLVPN
- 访问实例的名称为SSLVPN。
Operation state: Up
- 访问实例当前处于激活状态。
AAA domain: Not specified
- 没有指定AAA域。
Certificate authentication: Disabled
- 证书认证功能当前未启用。
Password authentication: Enabled
- 密码认证功能已启用。
Authentication use: All
- 所有认证方式均被使用。
SMS auth type: Not configured
- 短信认证类型未配置。
Urlmasking: Disabled
- URL遮蔽功能当前未启用。
Code verification: Disabled
- 验证码验证功能当前未启用。
Default policy group: Not configured
- 默认策略组未配置。
Associated SSL VPN gateway: SSLVPN
- 与SSLVPN访问实例关联的SSL VPN网关名称为SSLVPN。
Domain name: nanchang
- 网关的域名为nanchang。
Maximum users allowed: 1048575
- 允许的最大用户数为1048575。
VPN instance: Not configured
- 没有配置VPN实例。
Idle timeout: 10 min
- 用户会话的空闲超时时间为10分钟。
Authentication server-type: aaa
- 使用AAA服务器进行认证。
Password changing: Enabled
- 允许用户更改密码。
[FW1]display sslvpn session user ?
STRING<1-63> User name
