『L3VPN』主要用于定义、配置和管理各种基于 IP 协议的 SSL VPN 内网资源，以适应各种各样不同协议（TCP/UDP/ICMP）的应用程序访问 SSL VPN 内网资源和内网服务器。

在『资源管理』页面，点击新建按钮，如下图：

选择[L3VPN]，弹出【编辑 L3VPN 资源】对话框，设置界面如下：

『名称』和『描述』可随意填写便于理解记忆的文字，『名称』填写的文字会显示在SSL 用户成功登录 SSL VPN 后，出现的“资源列表”中。

『类型』选择该 L3VPN 资源的协议类型，SANGFOR SSL VPN 内置了常用应用服务的定义，直接选择设备会自动识别端口范围和协议，如无所需的类型，可选择『Other』， 设置协议，然后自行设定下面的『端口范围』。

若类型选择为[OTHER]，则需要选择『协议』，可选择为 TCP、UDP 或 ICMP，根据定义『L3VPN』所使用的协议进行选择。

『地址』填写提供 L3VPN 服务的服务器地址，支持“单 IP 或域名”和“IP 段”的形式。点击 ，弹出【添加/编辑资源地址】对话框，可单个添加，也可批量添加，如下图：

『端口范围』定义该『L3VPN』所使用的端口，已预定义好的资源类型一般不需修改， 如果前面『类型』选择了『Other』，则填写该服务所使用的端口。

注意：填写“域名”形式时，必须在前面的『网络配置』中的『HOSTS』中设置“域名”或“主机名”对应的“IP 地址”，也可以通过『内网域名解析』中设置内网 DNS 服务器解析。

『应用程序路径』此处填写某些 C/S 结构服务可能用到的客户端软件的路径。

如果不勾选[允许用户可见]选项，则登录 SSL VPN 后，在“可用资源列表”中不显示该资源的信息，但实际上该资源是可用的。

『所属组』后面下拉框可以将该资源划入相应的“资源组”，默认属于“默认资源组”（资 源组的具体设置可参考 4.2.1“资源组”章节）。

[启用单点登录]勾上后，即开启该资源单点登录功能（资源单点登录的具体设置可参 考 3.5.1.5『单点登录配置』章节）。配置页面如下：

『管理员授权』可将该资源指派给其他管理员，使其他管理员对该资源拥有使用和指 派的权限。

注意：资源指派给管理员后，这部分管理员只具备对该资源的使用权、指派给该管理员的下属管理员的权限，对该资源不具备编辑权，用这部分管理员帐号登录控制台后，只能在角色管理中给用户或者用户组关联指派的资源，无法在资源管理中看见这些资源列 表。编辑权仅属于创建该资源的管理员或其上级管理员。

『主从用户名绑定』可实现主从绑定功能，即限制用户登录 SSL VPN 后，只能够使用指定的帐号登录该应用资源，使用其他帐号无法登录该应用资源，WEB 应用、TCP 应用、L3VPN 均可实现该功能。L3VPN 应用资源可通过以下两种方式实现，界面如下：

勾选[结合单点登录的用户名绑定认证]，使用单点登录方式实现。首先必须对目标资源启用单点登录功能，然后在『用户管理』列表页面，对目标用户帐号绑定需要登录应用 系统的帐号和密码。

勾选[通过数据包解析登录的用户名绑定认证]，使用数据包解析方式实现。首先在『数 据包格式』后面的下拉框中选择该应用的类型，并根据实际情况填写下方的数据信息。然 后在『用户管理』列表页面，对目标用户帐号绑定需要登录应用系统的帐号、密码。

『URL 访问控制』用来设置允许用户只能访问特定的 URL 地址。

注意：URL 访问控制只支持 L3VPN 应用的 HTTP 类型的应用。

『允许访问的客户端类型』用来设置允许访问该资源的客户端的类型，没有勾选则访问不到。

『L3VPN』的资源列表中有一项名称为“L3VPN 全网资源（或服务）”的资源，不可修改和删除，可以像其他 L3VPN 资源一样被用户关联。相当于设置了『主机地址』是 LAN 口和 DMZ 口所在网段，『协议』分别为 TCP、UDP、ICMP，『端口范围』是 1-65535 的三条 IP 服务。

注意：要使用全网服务访问 LAN 口或 DMZ 口区的非直连网段（中间隔着路由器或交换机等三层设备），需要在『本地子网』中添加需要访问的非直连网段以及在『系统路 由设置』添加到相应网段的路由。

保存按钮把当前配置进行保存并生效。

注意：首次使用『L3VPN』时计算机会自动安装虚拟网卡控件，需要以 administrator 登录系统才可以安装上。若 PC 上有防火墙或杀毒软件，可能会抯挡 PC 安装插件，可先关闭防火墙或杀毒软件。