SSL VPN资源配置问题

配置不同的策略组，和用户绑定

1.12.6  为IP接入配置SSL VPN策略组

1. 功能简介

在SSL VPN策略组视图下需要配置下发给客户端的路由表项。AAA服务器将某个策略组授权给SSL VPN用户后，SSL VPN网关会将该策略组下配置的路由表项下发给客户端。下发的路由表项具有三种配置方法：

·     直接配置路由表项：用于将一条路由下发给客户端。

·     配置路由列表：用于将路由列表中的多条路由同时下发给客户端。

·     强制将客户端的流量转发给SSL VPN网关（指定force-all参数）：SSL VPN网关在客户端上添加优先级最高的缺省路由，路由的出接口为虚拟网卡，从而使得所有没有匹配到路由表项的流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端，不允许SSL VPN客户端删除此缺省路由，且不允许SSL VPN客户端添加优先级高于此路由的缺省路由。

SSL VPN网关可以通过高级ACL和URI ACL规则对SSL VPN用户的IP接入进行过滤，防止非法用户接入内部网络。配置SSL VPN访问控制策略后，设备对IP接入按照如下原则过滤：

(1)     进行URI ACL的规则检查，成功匹配URI ACL中permit规则后用户的访问请求才允许通过。

(2)     若URI ACL匹配失败时，再进行高级ACL的检查，成功匹配规则后用户的访问请求才允许通过。

(3)     若高级ACL检查失败，则授权失败，用户不允许访问资源。

若URI ACL和高级ACL均未引用，则SSL VPN网关默认允许所有IP接入方式的访问。

高级ACL支持根据接入请求报文的目的IP地址和目的端口号、源IP地址和源端口号、协议类型、报文优先级、分片信息、TCP报文标识、ICMP报文的消息类型和消息码信息进行过滤；URI ACL支持根据接入请求报文的协议类型、地址、域名、端口号和URL进行过滤。

2. 配置限制和指导

配置对IP接入进行URI ACL过滤时，URI ACL规则中请不要包含HTTP和HTTPS协议，否则配置后不生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入SSL VPN访问实例视图。

sslvpn context context-name

(3)     创建SSL VPN策略组，并进入SSL VPN策略组视图。

policy-group group-name

(4)     配置下发给客户端的路由表项。

ip-tunnel access-route { ip-address { mask-length | mask } | force-all | ip-route-list list-name }

缺省情况下，未指定下发给客户端的路由表项。

(5)     配置对IP接入进行过滤。

¡     通过高级ACL方式进行过滤。

filter ip-tunnel [ ipv6 ] acl advanced-acl-number

¡     通过URI ACL方式进行过滤。

filter ip-tunnel uri-acl uri-acl-name

缺省情况下，SSL VPN网关禁止所有客户端访问IP接入资源。

如果引用的ACL不存在，则SSL VPN网关拒绝所有IP接入方式的访问。

(6)     （可选）配置策略组引用的地址池。

ip-tunnel address-pool pool-name mask { mask-length | mask }

缺省情况下，策略组下未引用地址池。

若引用的地址池不存在或无可用地址，分配失败，用户无法通过IP接入。若策略组未引用地址池，则SSL VPN网关将使用SSL VPN访问实例中引用的地址池为客户端分配IP地址。