华为AR-G3系列路由器SSL-VPN交付指南-V11-C

ARG3系列路由器SSLVPN交付指南V1.1_C企业网络技术服务部V1.1Page2SSL

VPN前言Page3学习指南SSL

VPN技术原理SSL

VPN交付准备SSL

VPN典型配置应用SSL

VPN故障处理Page4学习完此课程，您将会：具有AR

G3路由器SSLVPN业务典型场景交付能力具有AR

G3路由器SSLVPN业务典型问题故障处理能力目标Page5内容介绍第1章SSL

VPN技术原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基础配置第4章AR中SSL

VPN配置-三种业务应用场景第5章AR中SSL

VPN典型问题故障处理Page6第1章SSL

VPN技术原理SSLVPN（SecureSocketsLayerVPN）是以HTTPS为基础的安全接入的VPN技术，它利用SSL协议提供的数据加密、身份验证和消息完整性验证机制，为用户远程访问公司内部网络提供安全保障。SSLPKIHTTPS业务模块构成资源访问流程Page7SSL

VPN远程维护合作伙伴移动办公分支机构WEB服务器数据库Email企业总部加密的内外连接标准的内部连接NFSERP客户VPN网关远程维护：HTTPS远程维护，对维护操作的数据加密传送功能应用：WEB代理、远程桌面/telnet等TCP应用、基于IP的应用认证方式：用户接入企业内部网络前先要进行认证，支持Local、RADIUS、TACACS等多种认证方式加密方式：用户访问企业内部网络的数据需要经过加密处理，支持DES、RC4、AES、RSA、MD5、SHA-1等密码算法Page8SSL协议概述安全套接层SSL（SecureSocketsLayer）协议是在Internet基础上提供的一种保证私密性的安全协议。它能使客户端与服务器之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户端进行认证。SSL协议与应用层协议相互独立，应用层协议（例如：HTTP，FTP）能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。SSL协议结构和位置如右图:SSL协议安全机制连接的私密性：SSL利用对称加密算法对传输数据进行加密，并利用密钥交换算法—RSA（RivestShamirandAdleman，非对称密钥算法的一种）加密传输对称密钥算法中使用的密钥。身份验证机制：基于证书利用数字签名方法对服务器和客户端进行身份验证，其中客户端的身份验证是可选的。SSL服务器和客户端通过公钥基础设施PKI（PublicKeyInfrastructure）提供的机制从认证机构CA（CertificateAuthority，）获取证书。内容的可靠性：消息传输过程中使用基于密钥的消息验证码MAC（MessageAuthenticationCode）来检验消息的完整性。Page9PKI公钥基础设施PKI（PublicKeyInfrastructure），是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系应用场景: VPN/安全电子邮件/Web安全Web安全：为了透明地解决Web的安全问题，在两个实体进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。利用PKI技术，SSL协议允许在浏览器和服务器之间进行加密通信。此外，服务器端和浏览器端通信时

双方可以通过数字证书确认对方的

身份。Page10PKI工作机制配置PKI的目的就是为指定的实体向CA申请一个本地证书，并由设备对证书的有效性进行验证数字证书CA:数字证书是一个经认证机构CA（CertificateAuthority）签名的，包含实体公开密钥及相关身份信息的文件，它建立了实体身份信息与其公钥的关联，是使用PKI系统的用户建立安全通信的信任基础。CA对数字证书的签名保证了证书的合法性和权威性。PKI工作过程:实体向注册机构RA提出证书申请。RA审核实体身份，将实体身份信息和公开密钥以数字签名的方式发送给CA。CA验证数字签名，同意实体的申请，颁发证书。RA接收CA返回的证书，通知实体证书发行成功。实体获取证书，利用该证书可以与其它实体使用加密、数字签名进行安全通信。实体希望撤消自己的证书时，向CA提交申请。CA批准实体撤消证书，并更新CRL。Page11HTTPSHTTPS将HTTP和SSL结合，通过SSL对客户端和服务器进行身份验证，对传输的数据进行加密，保证通信的安全性。对于支持Web网管功能的设备，开启HTTP服务后，设备可以作为Web服务器，允许用户通过HTTP协议登录，并利用Web页面实现对设备的访问和控制。但是HTTP协议本身不能对Web服务器的身份进行验证，也不能保证数据传输的私密性，无法提供安全性保证。为此，可在设备上部署HTTPS功能，通过SSL对客户端和服务器进行身份验证，对传输的数据进行加密，从而实现了对设备的安全管理。在作为HTTP服务器的设备上部署SSL策略，并使能HTTPS服务器功能后，用户可以在终端通过浏览器登录HTTPS服务器，利用Web页面安全管理设备或者访问设备所属网络的资源Page12业务模块构成Page13远程终端SSLVPN网关企业内网服务器CA认证服务器资源访问流程Page141.终端向AR提出身份审核申请2.

AR审核身份，将身份信息和公开密钥以数字签名的方式发送给CA。3.CA验证数字签名，同意终端实体的申请，颁发证书。4.AR接收CA返回的证书，通知终端证书发行成功。5.终端获取证书，利用该证书可以与其它终端使用加密、数字签名进行安全通信。6.终端希望撤消自己的证书时，向CA提交申请。CA批准终端撤消证书，并更新CRL。Page15内容介绍第1章SSL

VPN技术原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基础配置第4章AR中SSL

VPN配置-三种业务应用场景第5章AR中SSL

VPN典型问题故障处理Page16第2章AR中SSLVPN的License管理AR的License结构AR各型号支持的SSL

VPN

License特性License下载和激活AR的License结构Page17License软件体系按照业务类型可以分为数据、语音和安全特性，按照业务的层级可以分为基础、增值和进阶特性，如下图。SSLVPN属于安全增值特性，购买安全增值包后即具备SSL

VPN功能,此时默认支持2个用户同时在线,如需要更多用户同时在线,需要购买资源性SSL

VPN

License.虚拟网关允许接入的最大在线用户数目通过客户购买License包实现功能型License资源型LicenseAR各型号支持的SSL

VPN

License特性Page18设备支持的最大在线用户数（具体参考产品手册） AR150/200系列：10 AR1200系列、AR2201、AR2202、AR2204：50 AR2220、AR2220L、AR2240：100 AR3200系列：200SSLVPN属于资源型License，此License功能生效的前提是已购买安全增值业务包，同一个资源型License支持多次选择，用户可以任意组合，最终获得的资源数目为所有资源型License的资源之和，以下是AR全系列可购买的License包 SSLVPNlicense-接入10用户数 SSLVPNlicense-接入25用户数 SSLVPNlicense-接入100用户数License下载和激活Page19通过企业业务FNO系统提供自助服务端获取License/flexnet/operationsportalLicense申请指导可参考附件：License下载和激活Page20选择、购买License。获取License授权证书。提取设备的ESN。查看设备的ESN，用户需要登录设备后，执行命令displayesn。使用License激活码方式或用户名&密码方式登录FNO，绑定ESN，生成唯一的License文件。下载License文件。用户可以通过FTP或者移动存储等方式将获取的License文件上传至存储器的默认根目录下。上传License文件到设备，执行命令dirdevice-name，查看是否有足够存储空间存放License文件，确保有足够的存储空间后，通过FTP或者TFTP方式，将License文件上传至存储器的默认根目录下，License文件后缀为*.dat文件。激活License文件，执行命令licenseactivefile-name，获取相应授权检查License状态，使用displaylicense命令查看当前系统中License文件信息，使用displaylicensestate命令查看主控板License状态Page21内容介绍第1章SSL

VPN技术原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基础配置第4章AR中SSL

VPN配置-三种业务应用场景第5章AR中SSL

VPN典型问题故障处理Page22第3章AR中SSL

VPN配置-基础配置配置流程图PKI配置HTTPS配置SSL

VPN配置准备创建虚拟网关并绑定内网接口和AAA域使能SSL

VPN基本功能配置用户（本地/Radius）检查配置结果Page23配置流程图PKISSLHTTPSAAA域虚拟网关内网接口SSL

VPNPKIAR自签名证书通过CA服务器获取证书带外本地导入证书手动在线注册证书自动注册证书PKI配置-实体Page24PKI实体

一份证书是一个公开密钥与一个身份的绑定，而身份必须与一个特定的PKI实体相关联。PKI实体标识了一个证书的申请者。PKI实体的通用名称Common-name与合格域名FQDN,两者唯一标识了一个PKI实体，可任配其一，也可两者都配。

执行命令system-view，进入系统视图。

执行命令pkientity

entity-name，创建PKI实体并进入PKI实体视图。

执行如下命令，配置PKI实体标识。

执行命令common-name

common-name，配置PKI实体通用名。

执行命令fqdn

fqdn-name，配置PKI实体合格域名。例

<Huawei>pkientitysslvpn

创建PKI实体

<Huawei>countryCN

<Huawei>statebeijing

<Huawei>organizationhuawei

<Huawei>organization-unitinfo

<Huawei>common-namehello

设置通用名PKI配置-本地证书(通过带外方式导入)Page25PKI域[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]caidca_root配置PKI域信任的CA[Huawei-pki-realm-sslvpn]entitysslvpn绑定PKI实体[Huawei-pki-realm-sslvpn]certificate-checknone配置验证证书状态的检查方式{crl|none|ocsp}通过PKCS10生成证书申请文本(或申请文件) [Huawei]pkienroll-certificatesslvpnpkcs10pkcs10为申请文本,pkcs10

filename

xxx为申请文件.

此时需要输入两个密码:1.出现”Pleaseenterthefilenameofprivatekey<length1-127>”提示时输入的密码为证书注销密码;2.出现”The

currentpasswordofprivatekeyisrequired,pleaseenteryourpassword<length1-31>”提示时输入的密码为后续倒入证书时的密码,需记住.在CA服务器上生成证书文件,例如server.pem.将CA证书上传到AR的FLASH中,导入证书文件(本地导入)[Huawei]pkiimport-certificatelocal

sslvpn

pem本地导入证书文件,格式为PEMPleaseenterthenameofcertificatefile<length1-127>:server.pem

Youareimportingalocalcertificate,thecurrentprivatekeyisrequired.Pleaseenterthenameofprivatekeyfile<length1-127>:prikey.pem

Pleaseenterthetypeofprivatekeyfile(pem,p12):pem

Thecurrentpasswordisrequired,pleaseenteryourpassword<length1-31>:***（密码为privatekey生成时的密钥)

PKI配置-手动在线注册Page26PKI域[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]caidca_root配置PKI域信任的CA[Huawei-pki-realm-sslvpn]entitysslvpn绑定PKI实体

[Huawei-pki-realm-sslvpn]enrollment-url58:8080/certsrv/mscep/mscep.dllra--证书服务器URL[Huawei-pki-realm-sslvpn]certificate-checknone配置验证证书状态的检查方式{crl|none|ocsp}手工注册证书

[Huawei]pkienroll-certificatesslvpn手工注册证书AR在线从CA服务器上下载证书,不需要本地导入

PKI配置-自动注册Page27PKI域

[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]caidca_root配置PKI域信任的CA[Huawei-pki-realm-sslvpn]entitysslvpn绑定PKI实体[Huawei-pki-realm-sslvpn]auto-enroll使能实体证书自动注册和更新功能

[Huawei-pki-realm-sslvpn]enrollment-url58:8080/certsrv/mscep/mscep.dllra--证书服务器URL[Huawei-pki-realm-sslvpn]fingerprintsha17A34D94624B1C1BCBF6D763C4A67035D5B578EAF--配置验证CA证书时使用的指纹,自动注册必配,手动注册选配{md5|sha1}[Huawei-pki-realm-sslvpn]certificate-checknone配置验证证书状态的检查方式{crl|none|ocsp}配置证书自动注册和更新功能后，则不需要手工下载证书。当有外部应用需要CA证书或者设备证书时，将自动触发下载CA证书和本地证书

PKI配置-自签名证书Page28用户通过PKI设备生成自签名证书或设备本地证书，实现简单的证书颁发功能,此时不需要CA证书服务器.执行命令system-view，进入系统视图。执行命令pkicreate-certificate[self-signed]{filename

file-name}，配置自签名证书或设备本地证书

HTTPS配置Page29创建SSL

POLICY并引用PKI域

作为SSL服务器的Router基于PKI域从认证机构CA获取数字证书，以便SSL客户端可以根据数字证书对Router进行身份验证. [HUAWEI]sslpolicyuserstypeserver

创建SSL

POLICY,类型为服务器 [HUAWEI-ssl-policy-users]pki-realmsslvpn绑定PKI域关联SSL

POLICY并使能HTTPS功能

利用SSL协议的数据加密、身份验证和消息完整性验证机制，保证用户和设备之间数据传输的安全性，这样用户可以利用Web页面安全访问远程的设备 [HUAWEI]httpsecure-serverssl-policyusersHTTPS服务器类型为SSL [HUAWEI]httpsecure-serverenable使能HTTPS功能

SSL

VPN配置准备Page30组网拓扑

允许SSL

VPN用户使用的企业内网服务器IP地址和端口需要实现桌面共享或远程登陆的主机IP地址段（可选）网络扩展业务使用的IP地址段（可选）配置内外网接口IP地址配置AAA域（本地/Radius/hwtacas）Page31通过虚拟网关提供SSLVPN服务，一台AR设备可以配置成多个虚拟网关；每个虚拟网关都是独立可管理的，可以配置各自的资源、用户、认证方式等；当企业有多个部门时，可以为每个部门或者用户群体分配不同的虚拟网关，从而形成完全隔离的访问体系。SSL

VPN虚拟网关创建虚拟网关并绑定接口和AAA域Page32创建虚拟网关

[HUAWEI]sslvpngatewaymarket创建虚拟网关

[HUAWEI-sslvpn-market]intranetinterfaceGigabitEthernet0/0/1绑定内网接口 [HUAWEI-sslvpn-market]binddomaindefault绑定AAA域修改监听端口号

出于安全考虑，一般需要修改监听端口号。修改前需要确保设备上所有的SSLVPN虚拟网关都处于去使能状态。当管理员修改SSLVPN业务的端口号后，后续用户登录SSLVPN网关时，输入的URL地址携带的端口号必须为修改后的端口号。 [HUAWEI]sslvpnserver

port

1025默认为443使能SSL

VPN功能

[HUAWEI-sslvpn-market]enable使能SSL

VPN业务配置SSL

VPN用户-本地认证授权Page33本地认证用户执行命令system-view，进入系统视图。执行命令aaa，进入AAA视图。执行命令local-user

user-name

service-type

sslvpn，配置用户类型为SSLVPN虚拟网关用户。执行命令local-user

user-name

password

cipher

password，配置SSLVPN虚拟网关用户的密码。（可选）执行命令local-user

user-name

privilege

level

level，配置本地用户的优先级执行命令authentication-scheme

authentication-scheme-name，创建一个认证方案，并进入认证方案视图或直接进入一个已存在的认证方案视图。执行命令authentication-mode

local，配置认证模式为本地认证。执行命令quit，返回AAA视图。执行命令authorization-scheme

authorization-scheme-name，创建授权方案，并进入授权方案视图或直接进入一个已存在的授权方案视图。执行命令authorization-mode

local[none]配置授权模式。执行命令quit，返回AAA视图。执行命令domain

domain-name，创建域并进入域视图或进入一个已存在的域视图。执行命令authentication-scheme

authentication-scheme-name，配置域的认证方案。执行命令authorization-scheme

authorization-scheme-name，配置域的授权方案。配置SSL

VPN用户-Radius认证授权Page34Radius认证用户执行命令system-view，进入系统视图。执行命令radius-servertemplatetemplate-name，进入RADIUS服务器模板视图。执行命令radius-serverauthenticationip-addressport[vpn-instancevpn-instance-name][source{loopbackinterface-number|ip-addressip-address}]，配置RADIUS主用认证服务器。（可选）执行命令radius-servershared-key[cipher|simple]key-string，配置RADIUS共享密钥。执行命令quit，返回系统视图。执行命令aaa，进入AAA视图。执行命令authentication-schemeauthentication-scheme-name，创建一个认证方案，并进入认证方案视图或直接进入一个已存在的认证方案视图。执行命令authentication-moderadius[none]，配置认证模式为RADIUS认证。执行命令quit，返回AAA视图。执行命令domaindomain-name，创建域并进入域视图或进入一个已存在的域视图。执行命令authentication-schemeauthentication-scheme-name，配置域的认证方案。执行命令radius-servertemplate-name，配置域的RADIUS服务器模板。Page35配置检查查看虚拟网关users的配置信息<Huawei>displaysslvpngatewayusersGatewayname:usersStatus:enableIntranetinterface:Ethernet1/0/0IntranetIP:Domain:defaultMax-user:200Max-onlinetime(minute):120Web-proxyresources:2Port-forwardingresources:1Ip-forwardingresources:1Totalonlineusers:15查看SSLVPN业务的监听端口号<Huawei>displaysslvpnserverportsslvpnserverport:443(default:443)Page36内容介绍第1章SSL

VPN技术原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基础配置第4章AR中SSL

VPN配置-三种业务应用场景第5章AR中SSL

VPN典型问题故障处理Page37第4章AR中SSL

VPN配置-三种业务应用场景配置WEB代理业务配置端口转发业务配置网络扩展业务检查配置结果Page38管理员先在VPN网关上设置好用户允许访问的WEB站点，用户访问时先登陆VPN网关，认证通过后网关将把允许用户访问的站点资源列表显示给用户。用户点击内网服务器链接（https），VPN网关将该页面请求转发给内部web服务器（http），然后将服务器的响应回传给终端用户。Web代理有两种实现方式：Web-tunnel和URL改写。Web-tunnel利用端口转发原理实现，用户登录VPN网关后，客户端自动安装JAVA插件，显示给用户的内部网站资源的URL链接是内网真实的URL，例如00。用户点击该网站连接后，JAVA插件会自动为该报文增加一个目的地址是VPN网关的外层隧道，并通过HTTPS协议发送给网关，网关还原成原始的HTTP请求发送给内部WEB服务器。URL改写方式用户不需要JAVA插件，VPN网关显示给用户的内部网站资源链接是经过改写后的URL，例如上述服务器的URL可能会被改写成0/sslvpn/dynamic/4/2/0/9/http/00。VPN服务器需要对内部服务器响应远端用户的每个页面中的URL进行改写，其它内容不变。VPN网关WEB服务器远程用户000WEB代理业务流程配置WEB代理业务Page39组网拓扑

用户使用浏览器以HTTPS方式，通过SSLVPN网关对内网Web服务器提供的资源进行访问。在这个过程中，SSLVPN网关利用Web代理业务，代理用户对内网Web服务器的访问，为用户访问内网Web服务器提供了安全的连接配置

[HUAWEI]sslvpngatewaymarket

[HUAWEI-sslvpn-market]service-typeweb-proxyresourcemarket_web-proxy创建Web代理业务 [HUAWEI-sslvpn-market-wp-res-market_web-proxy]link:80-web服务器Page40VPN网关TCP3389TCP25TCP21TCP23应用请求应用代理CLIENTSERVERSSLInternet提供对内网TCP应用的安全接入！管理员先设置好允许用户使用的端口转发应用对应的服务器IP地址、端口号；用户端自动安装运行JAVA插件，获取到端口转发资源列表（目的服务器IP、端口）；用户在本地计算机上打开对应的应用程序，插件将客户端发起的TCP报文与资源列表进行比对，当发现报文的目的IP/Port与资源列表中的表项匹配，则截获报文。对该报文加密封装，添加隧道报文头，将目的地址设为VPN网关的IP地址，发往VPN网关。VPN网关收到报文进行解密，发往真实的目的服务器端口。VPN网关收到服务器的响应后，再加密封装回传给用户终端的侦听端口。端口转发业务流程配置端口转发业务Page41组网拓扑

通过端口转发业务，用户可以访问内网中基于TCP的服务，包括远程访问服务（如Telnet）、桌面共享服务、邮件服务等配置

[HUAWEI]sslvpngatewaymarket

[HUAWEI-sslvpn-market]service-typeport-forwardingresourcemarket_port-forwarding创建端口转发业务 [HUAWEI-sslvpn-market-pf-res-market_port-forwarding]serverip-address1port3389

可以与企业内部主机（IP地址：1）实现桌面共享,或访问某应用服务器网络拓展业务流程Page42用户登录网关后，在客户端自动运行JAVA插件，安装虚拟网卡，VPN网关给虚拟网卡分配一个可被内网识别的IP地址；客户端发起基于IP的内网应用（JAVA插件安装后会生成一条内网的路由，指向虚拟网卡），虚拟网关截获报文后增加IP隧道封装，进行SSL加密后发往VPN网关；VPN网关对报文解密剥掉IP隧道头后发往内网服务器；内网服务器的响应报文发到VPN网关，由VPN网关进行封装加密，发往客户端。^源IP目的IP原始报文54源IP目的IP虚拟网卡封装后0054Client:0虚拟网卡:540Server:配置网络扩展业务Page43组网拓扑

网络扩展业务，可以使远程终端与内网服务器在网络层实现安全通信，比如：在远处终端与内网服务器之间实现文件共享,配置

[HUAWEI]ippoolmarket_pool创建网络扩展业务使用的IP地址池 [HUAWEI-ip-pool-market_pool]networkmask24 [HUAWEI-ip-pool-market_pool]gateway-list [HUAWEI]sslvpngatewaymarket

[HUAWEI-sslvpn-market]service-typeip-forwardingresourcemarket_ip-forwarding创建ip转发业务 [HUAWEI-sslvpn-market-if-res-market_ip-forwarding]bindip-poolmarket_pool绑定网络扩展业务使用的IP地址池 [HUAWEI-sslvpn-market-if-res-market_ip-forwarding]route-modesplit配置网络扩展业务使用的路由模式为隧道分离模式 [HUAWEI-sslvpn-market-if-res-market_ip-forwarding]route-splitipaddress4mask27配置隧道分离模式下的用户路由,即用户可以Ping通企业内网部分主机（网段：4～5）配置检查Page44业务资源检查

执行命令displaysslvpngateway

gateway-name

resource

class{web-proxy|port-forwarding|ip-forwarding}，查看虚拟网关的资源信息。WEB代理资源检查

<Huawei>displaysslvpngatewayusersresourceclassweb-proxy

Thetotalnumberofresourcesis:2

ResourcenameUrlType

liyue5/web-proxy test5/web-proxy

Page45端口转发资源检查

<Huawei>displaysslvpngatewayusersresourceclassport-forwarding

Thetotalnumberofresourcesis:1

ResourcenameServerPortType

liyue53389port-forwarding

网络扩展资源检查

<Huawei>displaysslvpngatewayusersresourceclassip-forwarding

Resourcename:liyue Poolname:liyue Route-mode:full Acl:3001 Type:ip-forwarding

用户登录Page46用户登录

终端（比如PC）打开IE浏览器，输入网址“:1025/market”，即AR外部接口.进入SSLVPN登录页面。输入用户名和密码认证成功后，用户在Web访问页面上查看可以访问的资源列表，包括Web服务器资源、邮箱服务器资源和共享桌面主机资源，并且可以Ping通企业内网部分主机登等。登陆页面

Page47内容介绍第1章SSL

VPN技术原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基础配置第4章AR中SSL

VPN配置-三种业务应用场景第5章AR中SSL

VPN典型问题故障处理Page48第4章AR中SSL

VPN典型问题故障处理用户无法登陆SSLVPN网关设备SSLVPN客户端软件无法使用Page49用户无法登陆SSLVPN网关设备常见原因AR上的虚拟网关的配置不完整。用户与AR之间路由有故障，无法互相ping通。远程终端的浏览器不是IE或Firefox、浏览器的版本低、浏览器不支持Javascript或者浏览器没有启用cookie功能。AR没有加载包含SSLVPN网页的zip压缩包。AR上的HTTPS的配置不完整。用户输入的用户名、密码不正确。

Page50用户无法登陆SSLVPN网关设备故障处理步骤:1.检查虚拟网关的配置是否完整如果显示Web登录页面，但用户没有可选择的虚拟网关，请执行displaysslvpngateway

[gateway-name

]检查虚拟网关是否使能