更新时间:2022-01-08
『L3VPN』主要用于定义、配置和管理各种基于 IP 协议的 SSL VPN 内网资源,以适应各种各样不同协议(TCP/UDP/ICMP)的应用程序访问 SSL VPN 内网资源和内网服务器。
在『资源管理』页面,点击新建按钮,如下图:
选择[L3VPN],弹出【编辑 L3VPN 资源】对话框,设置界面如下:
『名称』和『描述』可随意填写便于理解记忆的文字,『名称』填写的文字会显示在SSL 用户成功登录 SSL VPN 后,出现的“资源列表”中。
『类型』选择该 L3VPN 资源的协议类型,SANGFOR SSL VPN 内置了常用应用服务的定义,直接选择设备会自动识别端口范围和协议,如无所需的类型,可选择『Other』, 设置协议,然后自行设定下面的『端口范围』。
若类型选择为[OTHER],则需要选择『协议』,可选择为 TCP、UDP 或 ICMP,根据定义『L3VPN』所使用的协议进行选择。
『地址』填写提供 L3VPN 服务的服务器地址,支持“单 IP 或域名”和“IP 段”的形式。点击 ,弹出【添加/编辑资源地址】对话框,可单个添加,也可批量添加,如下图:
『端口范围』定义该『L3VPN』所使用的端口,已预定义好的资源类型一般不需修改, 如果前面『类型』选择了『Other』,则填写该服务所使用的端口。
注意:填写“域名”形式时,必须在前面的『网络配置』中的『HOSTS』中设置“域名”或“主机名”对应的“IP 地址”,也可以通过『内网域名解析』中设置内网 DNS 服务器解析。
『应用程序路径』此处填写某些 C/S 结构服务可能用到的客户端软件的路径。
如果不勾选[允许用户可见]选项,则登录 SSL VPN 后,在“可用资源列表”中不显示该资源的信息,但实际上该资源是可用的。
『所属组』后面下拉框可以将该资源划入相应的“资源组”,默认属于“默认资源组”(资 源组的具体设置可参考 4.2.1“资源组”章节)。
[启用单点登录]勾上后,即开启该资源单点登录功能(资源单点登录的具体设置可参 考 3.5.1.5『单点登录配置』章节)。配置页面如下:
『管理员授权』可将该资源指派给其他管理员,使其他管理员对该资源拥有使用和指 派的权限。
注意:资源指派给管理员后,这部分管理员只具备对该资源的使用权、指派给该管理员的下属管理员的权限,对该资源不具备编辑权,用这部分管理员帐号登录控制台后,只能在角色管理中给用户或者用户组关联指派的资源,无法在资源管理中看见这些资源列 表。编辑权仅属于创建该资源的管理员或其上级管理员。
『主从用户名绑定』可实现主从绑定功能,即限制用户登录 SSL VPN 后,只能够使用指定的帐号登录该应用资源,使用其他帐号无法登录该应用资源,WEB 应用、TCP 应用、L3VPN 均可实现该功能。L3VPN 应用资源可通过以下两种方式实现,界面如下:
勾选[结合单点登录的用户名绑定认证],使用单点登录方式实现。首先必须对目标资源启用单点登录功能,然后在『用户管理』列表页面,对目标用户帐号绑定需要登录应用 系统的帐号和密码。
勾选[通过数据包解析登录的用户名绑定认证],使用数据包解析方式实现。首先在『数 据包格式』后面的下拉框中选择该应用的类型,并根据实际情况填写下方的数据信息。然 后在『用户管理』列表页面,对目标用户帐号绑定需要登录应用系统的帐号、密码。
『URL 访问控制』用来设置允许用户只能访问特定的 URL 地址。
注意:URL 访问控制只支持 L3VPN 应用的 HTTP 类型的应用。
『允许访问的客户端类型』用来设置允许访问该资源的客户端的类型,没有勾选则访问不到。
『L3VPN』的资源列表中有一项名称为“L3VPN 全网资源(或服务)”的资源,不可修改和删除,可以像其他 L3VPN 资源一样被用户关联。相当于设置了『主机地址』是 LAN 口和 DMZ 口所在网段,『协议』分别为 TCP、UDP、ICMP,『端口范围』是 1-65535 的三条 IP 服务。
注意:要使用全网服务访问 LAN 口或 DMZ 口区的非直连网段(中间隔着路由器或交换机等三层设备),需要在『本地子网』中添加需要访问的非直连网段以及在『系统路 由设置』添加到相应网段的路由。
保存按钮把当前配置进行保存并生效。
注意:首次使用『L3VPN』时计算机会自动安装虚拟网卡控件,需要以 administrator 登录系统才可以安装上。若 PC 上有防火墙或杀毒软件,可能会抯挡 PC 安装插件,可先关闭防火墙或杀毒软件。