组网及说明
防火墙做sslvpn的gateway,负责sslvpn的ip接入
告警信息
不涉及
问题描述
现场sslvpn是ip接入的,user下绑定了一个ip,目的是这个ip单独给这个user用。但是实际测试发现user会分配到其他的ip
过程分析
debug看确实设备给现场分配了一个其他的ip
[2025-10-21 16:43:35] %Oct 21 16:42:02:670 2025 IPsec+SSL VPN SSLVPN/6/SSLVPN_IPAC_RELEASE_ADDR_SUCCESS: -COntext=1; User AAAA at 60.x.x.1 in context SSLVPN released IP address 100.100.10.53.
现场的需求是只要AAAA拨号上来,分配到的ip固定100.100.10.20
配置如下:
#
sslvpn ip address-pool SSLVPN 100.100.10.50 100.100.10.254
#
sslvpn gateway SSLVPN
ip address 172.136.12.10 port 10110
service enable
#
sslvpn context SSLVPN
gateway SSLVPN
ip-tunnel interface SSLVPN-AC1
ip-tunnel address-pool SSLVPN mask 255.255.255.0
ip-tunnel dns-server primary 172.136.10.120
... ...
user AAAA
ip-tunnel bind address 100.100.10.20
... ...
梳理配置发现,现场user绑定的ip address不在context下调用的address-pool范围内
#
user AAAA
ip-tunnel bind address 100.100.10.20
#
sslvpn ip address-pool SSLVPN 100.100.10.50 100.100.10.254
查看命令手册,有如下的相关限制说明:
解决方法
扩大sslvpn ip address-pool的地址范围,使其包含100.100.10.20。或者user AAAA下绑定一个sslvpn ip address-pool下的地址