一  创建用户的组和能通过对资源

sslvpn context SSLVPN  gateway SSLVPN domain nanchang  ip-tunnel interface SSLVPN-AC1  ip-tunnel address-pool sslvpnpool mask 255.255.255.0  ip-tunnel log connection-close  ip-tunnel log address-alloc-release  ip-route-list 1   include 1.1.5.0 255.255.255.252   include 2.4.2.0 255.255.255.252    policy-group 1   filter ip-tunnel acl 3000   ip-tunnel access-route ip-route-list 1   ip-tunnel address-pool sslvpnpool mask 255.255.255.0   timeout idle 10  log user-login enable  log resource-access enable brief  force-logout max-onlines enable  service enable

• sslvpn context SSLVPN

  • 创建一个名为SSLVPN的VPN上下文。

• gateway SSLVPN domain nanchang

  • 指定SSLVPN网关的域名为nanchang。

• ip-tunnel interface SSLVPN-AC1

  • 定义一个IP隧道接口SSLVPN-AC1。

• ip-tunnel address-pool sslvpnpool mask 255.255.255.0

  • 指定一个IP地址池sslvpnpool，并设置子网掩码为255.255.255.0。

• ip-tunnel log connection-close

  • 记录IP隧道连接关闭的日志。

• ip-tunnel log address-alloc-release

  • 记录IP隧道地址分配和释放的日志。

• ip-route-list 1

  • 定义一个IP路由列表1。

• include 1.1.1.5 255.255.255.252

  • 将网络1.1.5.0/30包含在路由列表1中。

• include 2.2.4.0 255.255.255.252

  • 将网络2.2.4.0/30包含在路由列表1中。

• policy-group 1

  • 指定策略组1。

• filter ip-tunnel acl 3000

  • 使用访问控制列表3000过滤IP隧道。

• ip-tunnel access-route ip-route-list 1

  • 将IP隧道的访问路由设置为路由列表1。

• ip-tunnel address-pool sslvpnpool mask 255.255.255.0

  • 再次指定IP隧道地址池sslvpnpool，并设置子网掩码为255.255.255.0。

• timeout idle 10

  • 设置空闲超时时间为10分钟。

• log user-login enable

  • 启用用户登录日志记录。

• log resource-access enable brief

  • 启用资源访问日志记录，并设置为简要模式。

• force-logout max-onlines enable

  • 启用强制注销，当达到最大在线用户数时。

• service enable

  • 启用服务。

二 创建用户的账号密码

# local-user Szjt_aqhb class network  password cipher $c$3$BCdjJO7CQAhkWMO0teusdqpMW8XgbMmZjLjY+T6/Sa0=  service-type sslvpn  authorization-attribute user-role network-admin  authorization-attribute user-role network-operator  authorization-attribute sslvpn-policy-group 5 # local-user Szjt_aqhb_aqhb class network  password cipher $c$3$j9Rf1QxFY5wlafXIL2EW3L1aoNoYlZae6YtXj/Tjt44=  service-type sslvpn  authorization-attribute user-role network-admin  authorization-attribute user-role network-operator  authorization-attribute sslvpn-policy-group 13 #

• local-user Szjt_aqhb class network

  • 定义一个本地用户Szjt_aqhb，用户类别为network。

• password cipher $c$3$BCdjJO7CQAhkWMO0teusdqpMW8XgbMmZjLjY+T6/Sa0=

  • 为用户Szjt_aqhb设置加密密码。密码采用MD5加密算法，密文为$c$3$BCdjJO7CQAhkWMO0teusdqpMW8XgbMmZjLjY+T6/Sa0=。

• service-type sslvpn

  • 指定该用户可以使用的服务类型为SSL VPN。

• authorization-attribute user-role network-admin

  • 授权用户Szjt_aqhb具有网络管理员的角色。

• authorization-attribute user-role network-operator

  • 授权用户Szjt_aqhb具有网络操作员的角色。

• authorization-attribute sslvpn-policy-group 5

  • 授权用户Szjt_aqhb使用SSL VPN策略组5。

三 SSL-VPN 查询手册

• 显示SSL VPN AC接口的相关信息

  • display interface sslvpn-ac [ interface-number ] [ brief [ description | down ] ]
  • 显示SSL VPN AC接口的详细信息。可以通过指定接口编号来显示特定接口的信息，使用brief参数可以显示简要信息，description或down参数可以进一步筛选显示内容。

• 显示SSL VPN访问实例的信息

  • display sslvpn context [ brief | name context-name ]
  • 显示SSL VPN访问实例的详细信息。使用brief参数可以显示简要信息，使用name context-name参数可以显示特定访问实例的信息。

• 显示SSL VPN网关的信息

  • display sslvpn gateway [ brief | name gateway-name ]
  • 显示SSL VPN网关的详细信息。使用brief参数可以显示简要信息，使用name gateway-name参数可以显示特定网关的信息。

• 显示指定策略组的信息

  • display sslvpn policy-group group-name [ context context-name ]
  • 显示指定策略组的详细信息。需要指定策略组名称group-name，可以使用context context-name参数来指定访问实例。

• 显示TCP端口转发的连接信息

  • display sslvpn port-forward connection [ context context-name ] [ chassis chassis-number slot slot-number ]
  • 显示TCP端口转发的连接信息。可以使用context context-name参数来指定访问实例，使用chassis chassis-number slot slot-number参数来指定具体的设备位置。

• 显示SSL VPN会话信息

  • display sslvpn session [ context context-name ] [ user user-name | verbose ]
  • 显示SSL VPN会话的详细信息。可以使用context context-name参数来指定访问实例，使用user user-name参数来显示特定用户的会话信息，或者使用verbose参数显示更详细的会话信息。

• 显示通过IP接入的SSL VPN用户的报文统计信息

  • display sslvpn ip-tunnel statistics [ context context-name ] [ user user-name ]
  • 显示通过IP接入的SSL VPN用户的报文统计信息。可以使用context context-name参数来指定访问实例，使用user user-name参数来显示特定用户的统计信息。

• 清除SSL VPN AC接口的统计信息

  • reset counters interface [ sslvpn-ac [ interface-number ] ]
  • 清除SSL VPN AC接口的统计信息。可以通过指定接口编号来清除特定接口的统计信息。

• 清除通过IP接入的SSL VPN用户的报文统计信息

  • reset sslvpn ip-tunnel statistics [ context context-name [ session session-id ] ]
  • 清除通过IP接入的SSL VPN用户的报文统计信息。可以使用context context-name参数来指定访问实例，使用session session-id参数来指定特定会话的统计信息。

[FW1]display  sslvpn context  Context name: SSLVPN   Operation state: Up   AAA domain: Not specified   Certificate authentication: Disabled   Password authentication: Enabled   Authentication use: All   SMS auth type: Not configured   Urlmasking: Disabled   Code verification: Disabled   Default policy group: Not configured   Associated SSL VPN gateway: SSLVPN     Domain name: nanchang   Maximum users allowed: 1048575   VPN instance: Not configured   Idle timeout: 10 min   Authentication server-type: aaa   Password changing: Enabled

• Context name: SSLVPN

  • 访问实例的名称为SSLVPN。

• Operation state: Up

  • 访问实例当前处于激活状态。

• AAA domain: Not specified

  • 没有指定AAA域。

• Certificate authentication: Disabled

  • 证书认证功能当前未启用。

• Password authentication: Enabled

  • 密码认证功能已启用。

• Authentication use: All

  • 所有认证方式均被使用。

• SMS auth type: Not configured

  • 短信认证类型未配置。

• Urlmasking: Disabled

  • URL遮蔽功能当前未启用。

• Code verification: Disabled

  • 验证码验证功能当前未启用。

• Default policy group: Not configured

  • 默认策略组未配置。

• Associated SSL VPN gateway: SSLVPN

  • 与SSLVPN访问实例关联的SSL VPN网关名称为SSLVPN。

• Domain name: nanchang

  • 网关的域名为nanchang。

• Maximum users allowed: 1048575

  • 允许的最大用户数为1048575。

• VPN instance: Not configured

  • 没有配置VPN实例。

• Idle timeout: 10 min

  • 用户会话的空闲超时时间为10分钟。

• Authentication server-type: aaa

  • 使用AAA服务器进行认证。

• Password changing: Enabled

  • 允许用户更改密码。

[FW1]display  sslvpn  session  user  ?
  STRING<1-63>  User name