如何控制SSL VPN用户访问互联网流量走隧道还是自己本地互联网出口？

1.1.39  ip-tunnel access-route

ip-tunnel access-route命令用来配置下发给客户端的路由表项。

undo ip-tunnel access-route命令用来恢复缺省情况。

【命令】

ip-tunnel access-route { ip-address { mask-length | mask } | force-all | ip-route-list list-name }

undo ip-tunnel access-route

【缺省情况】

未指定下发给客户端的路由表项。

【视图】

SSL VPN策略组视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address { mask-length | mask }：将指定路由下发给客户端。ip-address为路由的目的地址，不能是组播、广播、环回地址；mask-length为路由的掩码长度，取值范围为0～32；mask为路由的掩码。

force-all：强制将客户端的流量转发给SSL VPN网关。

ip-route-list list-name：将指定路由列表中的路由表项下发给客户端。list-name表示路由列表名称，为1～31个字符的字符串，不区分大小写，支持输入中文字符。本参数指定的路由列表必须先通过ip-route-list命令创建。

【使用指导】

客户端通过IP接入方式访问网关时，网关将指定的路由下发给客户端。客户端若访问该网段内的服务器，报文就会通过虚拟网卡发送给SSL VPN网关，防止报文进入Internet。

通过指定路由列表，可以同时将路由列表中的多条路由下发给客户端。若只需要为客户端下发一条路由，则可以直接配置ip-address {mask-length | mask }参数，无需指定路由列表。

执行本命令时如果指定了force-all参数，则SSL VPN网关将在客户端上添加优先级最高的缺省路由，路由的出接口为虚拟网卡，从而使得所有没有匹配到路由表项的流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端，不允许SSL VPN客户端删除此缺省路由，且不允许SSL VPN客户端添加优先级高于此路由的缺省路由。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 在策略组pg1下，配置将路由列表rtlist中的路由下发给客户端。

<Sysname> system-view

[Sysname] sslvpn context ctx1

[Sysname-sslvpn-context-ctx1] ip-route-list rtlist

[Sysname-sslvpn-context-ctx1-route-list-rtlist] include 10.0.0.0 8

[Sysname-sslvpn-context-ctx1-route-list-rtlist] include 20.0.0.0 8

[Sysname-sslvpn-context-ctx1-route-list-rtlist] quit

[Sysname-sslvpn-context-ctx1] policy-group pg1

[Sysname-sslvpn-context-ctx1-policy-group-pg1] ip-tunnel access-route ip-route-list rtlist