新华三M9K防火墙SSL VPN服务没买授权情况下可以支持多少并发数

如何实现为领导预留账户？

所谓“预留”，本质是为领导账号保障一个可用的并发会话名额。当在线人数达到15个上线时，确保领导能通过挤掉其他用户来成功登录。

 方法：配置“最大在线用户数”并启用“离线排挤”策略

这个方法的核心是为领导账号配置抢占式登录，确保其总能成功连接。

• 步骤1：配置普通用户的“最大在线数”
  在SSL VPN访问实例的“用户组”或“用户”视图下，为所有普通用户设置一个合理的“最大在线用户数”。

  # 在SSL VPN访问实例视图下

  [H3C] sslvpn context <实例名> [H3C-sslvpn-context-<实例名>] user-group <普通用户组名> [H3C-sslvpn-context-<实例名>-user-group-<普通用户组名>] max-onlines 3说明：max-onlines 命令限制了该用户组内一个账号可以同时登录的设备数，防止单个普通用户占用过多资源，为领导腾出更多并发名额。

• 步骤2：为领导配置“允许挤掉其他用户”
  在领导的用户账号视图下，配置其拥有最高优先级，可以强制已登录的普通用户下线。

  # 在领导账号的用户视图下

  [H3C] local-user <领导账号> class network [H3C-luser-network-<领导账号>] sslvpn context <实例名> [H3C-luser-network-<领导账号>-sslvpn-context-<实例名>] policy-group <领导策略组名> [H3C-luser-network-<领导账号>-sslvpn-context-<实例名>] force-logout enable说明：force-logout 命令允许多人使用同一账号时，新登录者强制下线旧连接。若领导用一个全新的账号，应将该账号的优先级设为最高，以挤占普通用户的连接。具体参数请参考您的设备命令手册。

 备选操作建议

 关于“预留”的一点补充说明

如果15个并发数已经用满，那么普通用户无法登录是正常的。而“预留”给领导的2个账户能否登录，则取决于这两点：

• 关键1：领导是全新登录：如果领导是全新登录（即当前不在15个在线用户中），而普通用户已占满15个名额，领导一样无法登录。

• 关键2：领导已在线，只是重新连接：如果领导是短暂离开后重新连接，且在会话超时前就恢复了网络，那么由于领导本就占用一个名额，自然不受影响。