网关模式配置指导培训

目录1.1 VPN（网目录1.1 VPN（网关模式）配置指 VPN（客户端模式）配置指 VPN（NAT穿越模式）配置指 L2TPVPN配置指 PPTPVPN配置指 SSLVPN（在线模式）配置指 SSLVPN（旁路模式）配置指 GREVPN配置指 其 I1.1 稳定的隧道。支 L2TP（To1.1 稳定的隧道。支 L2TP（ToL2TP（ToPPTP（ToPPTP（ToSSL（ForSSL（For1.1.1IPSecVPN（网关模式）配置指功能简IPsec（IPsecurity，IP安全性）IETFIPISAKMP：密钥管理协议ISAKMP，提供共享安全信息。Internet定义在应用层,IETF规定了AssociationandKeyManagement安全协议和ISAKMP(Internet来实现IPSec的密钥管理,为身份认证的SA：安全联盟SA，记录每条IP安全通路的策略和策略参数。安全联盟是第1钥以及密钥有效期等。AHESP都要用到安全联盟，IKEAH：它用来向 通信提供钥以及密钥有效期等。AHESP都要用到安全联盟，IKEAH：它用来向 通信提供数据完整性和身份验证，同时可以提供抗重播服务ESP：它提供TunnelMode：IPAHESP头，AHESP头以ESPIP全网关之间的通讯TransportMode：AHESP头，AHESPESP加密的用户数据被放置在原IP的通讯，或一台主机和一个安全网关之间的通讯，定义了一个通用格式NATraversalIPSec提供了端到端的IP通信的安全NAT环境下对的支持有限，AHNATAHESP协议NAT环境下最多只能有一VPN主机能建立VPN通道，无法实现多台机器同时在NAT环境下进行ESP通信。NAT穿越（NATTraversal，NAT-T）就是为解决这个问题而提出的。该方ESP协议包封装到UDP包中（在原ESP协议的包头外添加新的IP头和UDP头之可以在NAT环境下使用的一种方法，这样NATIPSecVPN网络拓某企业两个分部的FW通过Internet采用IPSec_VP“网关-PC1PC2第2②外层内层：Src:00IPSecVPN通⑤外层内层：Src:00配置概详细配(1)访问：基>网络管理>接口②外层内层：Src:00IPSecVPN通⑤外层内层：Src:00配置概详细配(1)访问：基>网络管理>接口>组网配置，配置接口参FW1组网配置第31配置物理接口的参数信息，用于设备管理及业务转2安全3数据报文根据手工配置的目的网段信息，进行路由转45包过滤策通过配置安全域、地址对象/组、服务对象/组、生效时间等参数，对指定数据报文进行“通过”、“丢包”及“高级安全业6IPSec保护网当成功建立IPSec隧道后，可访问所设置的保护网段资7IPSec策略方8可自定义设置IPSec_VPN系统配置，并使能策FW2组网配置访问：基>网络FW2组网配置访问：基>网络管>安全域，配置安FW1安全域配FW2安全域配第4>访问：基>网络管单播IPv4路>FWFW>访问：基>网络管单播IPv4路>FWFW访问：基>防火FW1源NAT配置FW2源NAT配置说明：此处“源NAT”为允许本端网络访问Internet访问：基>防火>包过滤策略（包过滤策略，配置包过滤第5FW1包过滤策略配置FW2包过滤策略配置FW1包过滤策略配置FW2包过滤策略配置说明：本案例包过滤策略允许所有数据包通过，现网中可依据真实环境对源、目的地及服务进行精细化访问：业务>VPN>IPSec>IPSecVPN（保护网段FWFW访问：业务>VPN>IPSec>IPSecVPN（策略方式第6FW1策略方式配置FW2策略方式配置FW1策略方式配置FW2策略方式配置说明：关于“高级1、协商模式：IKE协商第一阶段的模式，有主模式（Main）和野蛮模式（Aggressive）两种根据需求选择协商模式；主模式更安全，野蛮模式协商速度更快，两端或多端都要设臵同的模2、安全提议：记录每条IP安全通路的策略和策略参数。安全提议是IPSec的基础，是通双方建立的一种协定，决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等双方协商的安全提议中至少要有一对是相同的才能建立连接，默认（default）代表发送受所有安全提议组3、封装模式：只是传输层数据被用来计AHESPAHESP以及ESP密的户数据被放臵在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机一个安全网关之间的通讯；隧道模式则通常用于两台本身具有IPSec封装功能且通信终结为自身的主机或设4、加密失败动作：当IPSec启动后，如果经过设备的报文匹配上了IPSec安全策略，但此第7IPSec连接并未建立时，DPtech防火墙提供了两种动作IPSec连接并未建立时，DPtech防火墙提供了两种动作供用户选择，Allow代表放通该报文Drop代表直接丢弃该报文（Drop一般用于防止VPN明文被传输到公网访问：业务>VPN>IPSec>IPSecVPN（系统配置FW1IPSec_VPNFW2IPSec_VPN说明：若无特殊需求，建议“高级配臵”使用默认配功能验当两台设备成功建立IPSec_VPNFW1连接状态第8FW2连接状态PC1FW2连接状态PC1Ping第9常见问-常见问1IPsecVPN建立不成功，一般与两端VPN1、两端网关之间路由不可达：包括PC常见问-常见问1IPsecVPN建立不成功，一般与两端VPN1、两端网关之间路由不可达：包括PC2IPUntrust域与Trust域之间的包过滤等3IKE安全提议不一致：包括安全提议采用的验证算法，验证方法等是否一致，及IPSecSA协商时间是否一致；4IKEPeerIKEPeer隧道对端的IPID是否一致第101常见IPsec_VPN建立丌成功问2IPsec_VPN业务运行一段时间后，业务中断问6IPSec安全提议不一致：包括IPSec装模式，安全协议，认证算法和加密算法等是否一致6IPSec安全提议不一致：包括IPSec装模式，安全协议，认证算法和加密算法等是否一致-常见问2IPsec_VPN业务运行一段时间后业务中断可能出现在与其他厂家VPNIKESAVPN1.1.2IPSecVPN（客户端模式）配置指功能简IPsec（IPsecurity，IP安全性）IETFIPISAKMP：密钥管理协议ISAKMP，提供共享安全信息。Internet定义在应用层,IETF规定了AssociationandKeyManagement安全协议和ISAKMP(Internet来实现IPSec的密钥管理,为身份认证的SA：安全联盟SA，记录每条IP安全通路的策略和策略参数。安全联盟是钥以及密钥有效期等。AHESP都要用到安全联盟，IKEAH：它用来向 通信提供数据完整性和身份验证，同时可以提供抗重播服务ESP：它提供TunnelMode：IPAHESP头，AHESP头以ESPIP全网关之间的通讯TransportMode：AHESP头，AHESPESP加密的用户数据被放置在原IP11NATraversalIPSec提供了端到端的IP通信的安全NAT环境下对的支持有限，AHNATAHESP协议NAT环境下最多只NATraversalIPSec提供了端到端的IP通信的安全NAT环境下对的支持有限，AHNATAHESP协议NAT环境下最多只能有一VPN主机能建立VPN通道，无法实现多台机器同时在NAT环境下进行ESP通信。NAT穿越（NATTraversal，NAT-T）就是为包头外添加新的IP头和UDP头之可以在NAT环境下使用的一种方法，这样NATIPSecVPN网络拓某企业总部互联网出口部署防火墙，启用客户端模式IPsec_VPN，外部出差员通过客户端IPsec_VPN拨入总部内网进行办公，其中总部内网网段为IPsecVPN/24FWRT可在Internet①外层 内层：Src:IPSecVPN通④外层内层：Src:00配置概121配置物理接口的参数信息，用于设备管理及业务转2安全3数据报文根据手工配置的目的网段信息，进行路由转45包过滤策数，对指定数据报文进行“通过”、“丢包”及“高详细配>>>>>>>>单播IPv4>静态路由（配置静态路由第详细配>>>>>>>>单播IPv4>静态路由（配置静态路由第13务”的处6IPSec保护网当成功建立IPSec隧道后，可访问所设置的保护网段资7IPSec策略方8Xauth9可自定义设置IPSec_VPN系统配置，并使能策IPSecIPSec_VPN客户端详细配访问：基>防火>源NAT说明：此处“源NAT”为允许本端访问：基>防火>源NAT说明：此处“源NAT”为允许本端网络访问Internet访问：基>防火>包过滤策略（包过滤策略，配置包过滤说明：本案例包过滤策略允许所有数据包通过，现网中可依据真实环境对源、目的地及服务进行精细化访问：业务>VPN>IPSec>IPSecVPN（保护网段访问：业务>VPN>IPSec>IPSecVPN（策略方式第14说明说明：关于“高级1、协商模式：IKE协商第一阶段的模式，有主模式（Main）和野蛮模式（Aggressive）两种根据需求选择协商模式；主模式更安全，野蛮模式协商速度更快，两端或多端都要设臵同的模2、安全提议：记录每条IP安全通路的策略和策略参数。安全提议是IPSec的基础，是通双方建立的一种协定，决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等双方协商的安全提议中至少要有一对是相同的才能建立连接，默认（default）代表发送受所有安全提议组3、封装模式：只是传输层数据被用来计AHESPAHESP以及ESP密的户数据被放臵在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机一个安全网关之间的通讯；隧道模式则通常用于两台本身具有IPSec封装功能且通信终结第15DPDIPSec>VPN>DPDIPSec>VPN>IPSec>IPSecXauth配置（客户信息配置>VPN>IPSec>IPSecVPN（系统配置(10)IPSec第16功能验当客户端与设备成功建立查看IPsec_VPN第功能验当客户端与设备成功建立查看IPsec_VPN第17PC2Ping常见问第18PC2Ping常见问第181在Winvista/7/8环境下IPsec_VPN客户端无法安装或无法运-常见问11.1.3IPSecVPN（NAT穿越模式）配置指-常见问11.1.3IPSecVPN（NAT穿越模式）配置指功能简IPsec（IPsecurity，IP安全性）IETFIPISAKMP：密钥管理协议ISAKMP，提供共享安全信息。Internet定义在应用层,IETF规定了 安全协议和ISAKMP(InternetAssociationandKeyManagementProtocol) 来实现IPSec的密钥管理,为身份认证的SASA：安全联盟SA，记录每条IP安全通路的策略和策略参数。安全联盟是钥以及密钥有效期等。AHESP都要用到安全联盟，IKEAH：它用来向 通信提供数据完整性和身份验证，同时可以提供抗重播服务ESP：它提供TunnelMode：IPAHESP头，AHESPESP加密的用户数据被封装在一个新的IPTransportMode：AHESP头，AHESPESP加密的用户数据被放置在原IP的通讯，或一台主机和一个安全网关之间的通讯，定义了一个通用格式NATraversalIPSecIPNAT环境下对第19的支持有限，AHNATAHESP协议NAT环境下最多只能有一VPN主机能建立VPN通道，无法实现多台机器同时在NAT环境下进行ESP通信。NAT穿越（NATTraversal，NAT-T）就的支持有限，AHNATAHESP协议NAT环境下最多只能有一VPN主机能建立VPN通道，无法实现多台机器同时在NAT环境下进行ESP通信。NAT穿越（NATTraversal，NAT-T）就是为包头外添加新的IP头和UDP头之可以在NAT环境下使用的一种方法，这样NATIPSecVPN网络拓FW采用IPSec_VPN网关-PC1FW1直连Internet，FW2NAT设备访问Internet②③外层：Src:内层：Src:00IPSecVPN通/24Gige0_3⑦⑥外层内层：Src:00配置概201配置物理接口的参数信息，用于设备管理及业务转2安全3数据报文根据手工配置的目的网段信息，进行路由转45包过滤策通过配置安全域、地址对象/组、服务对象/组、生效时间等参数，对指定数据报文进行“通过”、“丢包”及“高级安全业7IPSec保护网当成功建立IPSec隧道后，可访问所设置的保护网段资详细配访问：基>网络管>>FWFW>>访问：基详细配访问：基>网络管>>FWFW>>访问：基>网络管FW1安全域配第218IPSec策略方9可自定义设置IPSec_VPN系统配置，并使能策FW2安全域配访问：基>网络管>单播IPv4FW2安全域配访问：基>网络管>单播IPv4路>FWFW访问：基>防火FW1源NAT配置第22说明1、此处“源NAT”为允许本端网络访问2、本案例中FW2通过路由转发，无需配臵源NAT说明1、此处“源NAT”为允许本端网络访问2、本案例中FW2通过路由转发，无需配臵源NAT访问：基>防火>包过滤策略（包过滤策略，配置包过滤FW1包过滤策略配置FW2包过滤策略配置(6)访问：业VPNIPSecIPSecVPN（保护网段，配置保护网FW1保护网段配置第23FW2保护网段配置FW2保护网段配置访问：业务>VPN>IPSec>IPSecVPN（策略方式FW1策略方式配置FW2策略方式配置注意：FW2策略方式的“本端设备ID”为FW2的接口地ID”为的公网地址，“本端设备ID”为NAT设备的公网地址说明：关于“高级1、协商模式：IKE协商第一阶段的模式，有主模式（Main）和野蛮模式（Aggressive）两种根据需求选择协商模式；主模式更安全，野蛮模式协商速度更快，两端或多端都要设臵同的模2、安全提议：记录每条IP安全通路的策略和策略参数。安全提议是IPSec的基础，是通第24双方建立的一种协定，决定了用来保护数据双方建立的一种协定，决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等双方协商的安全提议中至少要有一对是相同的才能建立连接，默认（default）代表发送受所有安全提议组3、封装模式：只是传输层数据被用来计AHESPAHESP以及ESP密的户数据被放臵在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机一个安全网关之间的通讯；隧道模式则通常用于两台本身具有IPSec封装功能且通信终结为自身的主机或设4、加密失败动作：当IPSec启动后，如果经过设备的报文匹配上了IPSec安全策略，但此IPSec连接并未建立时，DPtech防火墙提供了两种动作供用户选择，Allow代表放通该报文Drop代表直接丢弃该报文（Drop一般用于防止VPN明文被传输到公网访问：业务>VPN>IPSec>IPSecVPN（系统配置FW1IPSec_VPNFW2IPSec_VPN第25说明：若无特殊需求，建议说明：若无特殊需求，建议“高级配臵”使用默功能验当两台设备成功建立IPSec_VPNFW1连接状态FW2连接状态PC2Ping第26常见问-常见问1穿越NAT时无法建立IPsec_VPN常见问-常见问1穿越NAT时无法建立IPsec_VPN1、IPsecAH模式，IPsec_VPN穿越NATAH更改成ESP模式AH报文第271穿越NAT无法建立IPsec_VPNESP报文第28ESP报文第282、未开启“启用NAT3VPNUDP45002、未开启“启用NAT3VPNUDP4500以及1.1.4L2TPVPN配置指功能简L2TP是一种工业标准的Internet隧道协议，功能大致和PPTPPPTP要求网络为IPL2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP提供包头压缩、隧道验证，而PPTP网络拓某企业外部出差人员需要使用移动PC接入L2TP_VPN第29①②L2TP_VPNIPL2TP_VPN③④配置概详细配(1)访问：基>网络>>组网配置，配置接口参30①②L2TP_VPNIPL2TP_VPN③④配置概详细配(1)访问：基>网络>>组网配置，配置接口参301配置物理接口的参数信息，用于设备管理及业务转2安全3数据报文根据手工配置的目的网段信息，进行路由转45L2TP创建L2TP分配的虚拟地址，用于在L2TP参数配置中引6创建L2TP认证用户，验证通过后可成功建立L2TP_VPN7通过LNS或LACL2TP_VPN，客户端成功拨入后会8包过滤策通过配置安全域、地址对象/组、服务对象/组、生效时间等参数，对指定数据报文进行“通过”、“丢包”及“高级安全业9PC访问：基>网络管理>网络>安全域，配置安访问：基>网络管理>网络>安全域，配置安注意：template1接口必须>网络管理>单播IPv4>静态路由（配置静态路由>>VPN>L2TP（L2TP地址池第31>VPN>L2TP（L2TP用户认证L2TP（>VPN>L2TP（L2TP用户认证L2TP（L2TP说明：本案例未涉及域配臵，可依据实际环境配臵域参数访问：基>防火>包过滤策略（包过滤策略，配置包过滤说明：本案例包过滤策略允许所有数据包通过，现网中可依据真实环境对源、目的地及服务进行精细化(9)L2TP客户IPSEC；点击“开始–第32ProhibitIpSec”值：ProhibitIpSec”值：1第33重启计算机后，新建连接（VPN重启计算机后，新建连接（VPN第34配置第35配置第35输入第36输入第36类第37类第37第38第38功能验成功建立设备L2TP功能验成功建立设备L2TP运行状态（tunnl&sesion：第39常见问-常见问1客户端接入 1、template1常见问-常见问1客户端接入 1、template13、L2TPVPNL2TP4、L2TP5IP-常见问2客户端接入1IP1.1.5PPTPVPN配置指功能简PPTPInternetL2TP第401客户端接入L2TP_VPN2客户端接入L2TP_VPN正常，但丌能访问内网资样可以对网络数据流进行加密。不过也有不同之处，比如L2TP要求面向数据包的点对点连接，PPTP要求网络为IP网络；L2TP使用多隧道，PPTP使用单一隧道；L2TP提供包头压缩、隧道验证，而PPTP网络拓某企业外部出差人员需要使用移动PC接入PPTP_VPN①②PPTP_VPNIPPPTP_VPN样可以对网络数据流进行加密。不过也有不同之处，比如L2TP要求面向数据包的点对点连接，PPTP要求网络为IP网络；L2TP使用多隧道，PPTP使用单一隧道；L2TP提供包头压缩、隧道验证，而PPTP网络拓某企业外部出差人员需要使用移动PC接入PPTP_VPN①②PPTP_VPNIPPPTP_VPN④③配置概411配置物理接口的参数信息，用于设备管理及业务转2安全3数据报文根据手工配置的目的网段信息，进行路由转45创建PNSPPTP_VPN，客户端成功拨入后会建立隧道，6包过滤策通过配置安全域、地址对象/组、服务对象/组、生效时间等参数，对指定数据报文进行“通过”、“丢包”及“高级安全业7PC详细配>>>>>>注意：template1接口必须>网络管详细配>>>>>>注意：template1接口必须>网络管理>单播IPv4>静态路由（配置静态路由>VPNPPTP（PPTP第42(6)访问：基>防火>(6)访问：基>防火>包过滤策略（包过滤策略，配置包过滤说明：本案例包过滤策略允许所有数据包通过，现网中可依据真实环境对源、目的地及服务进行精细化(7)PPTP客户第43连接（VPN第连接（VPN第44配置第45配置第45第46第46类第47类第47第48第48功能验成功建立常见问功能验成功建立常见问第49-常见问1客户端接入PPTP_VPN1、template12、PPTPVPNPPTP3、PPTP-常见问1客户端接入PPTP_VPN1、template12、PPTPVPNPPTP3、PPTP4IP-常见问2客户端接入PPTP_VPN1IP1.1.6SSLVPN（在线模式）配置指功能简SSL_VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复的IPSec_VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览的机器都可以使用SSL_VPN，这是因为SSL内嵌在浏览器中，它不需要象传网络拓某企业外部出差人员需要使用移动PC或手机接入SSL_VPN第501客户端接入PPTP_VPN2客户端接入PPTP_VPN正常，但丌能访问①②SSL_VPN③④配置概详细配(1)访问：基>>组网配置，配置接口参511配①②SSL_VPN③④配置概详细配(1)访问：基>>组网配置，配置接口参511配置物理接口的参数信息，用于设备管理及业务转2安全3数据报文根据手工配置的目的网段信息，进行路由转456创建SSL_VPN证用户，验证通过后可SSL_VPN7可自定义设置SSL_VPN登陆参数，并使能8包过滤策9Windows客户Windows系统PC登陆SSL_VPN详细配Android客户Android系统手机登陆SSL_VPNIOS系统手机登陆SSL_VPN详细访问：基>网络管理>网络>安全域，配访问：基>网络管理>网络>安全域，配置安注意：tunnel_ssl0接口必须加入安>网络管理>单播IPv4>静态路由（配置静态路由，配>VPNSSLVPN资源管理（资源配置，配置VPN资第52说明1、下发资源配臵（IP资源、Web资源说明1、下发资源配臵（IP资源、Web资源、快捷方式、公告简讯）后，方可在资2、Web支持HTTP/HTTPS式的URLIP址；快捷方式的Web式为具体链接，命令行方式为Windows的Dos命令；公告简讯显示在VPN登陆成功页面访问：业VPNSSLVPN用户管理（用户配置说明：下发用户组配臵后，方可在用户信息中引用访问：业VPNSSLVPN基本配置（全局配置SSL第53(8)访问：基>防火>包过滤策略（(8)访问：基>防火>包过滤策略（包过滤策略，配置包过滤说明：本案例包过滤策略允许所有数据包通过，现网中可依据真实环境对源、目的地及服务进行精细化(9)Windows客户【WindowsWindows客户端使用IESSL_VPN服务“:6443第54首次登陆SSL_VPN第55首次登陆SSL_VPN第55第56第56(10)Android-【AndroidAndroid客户端使用浏览器软件访问服务“htp://2(10)Android-【AndroidAndroid客户端使用浏览器软件访问服务“htp://:6443第57第第58第59第59第60第60输入登陆的相关参数，保存配置；长按已创建的第61输入登陆的相关参数，保存配置；长按已创建的第61第62第62(11)IOS第63(11)IOS第63-【IOSIOS客户端拨入时，需先拨入IPSec_VPN，再拨入有SSL_VPN配置基础上，创IPSec_VPN-【IOSIOS客户端拨入时，需先拨入IPSec_VPN，再拨入有SSL_VPN配置基础上，创IPSec_VPN策略配置IPSec_VPN保护网段，需配置“/0添加IPSec_VPN第64启用IPSec启用IPSec第65第66第66第67第67成功拨入第68成功拨入第68功能验成功建立可访问第69功能验成功建立可访问第69常见问-常见问1SSL_VPN1、tunnel_ssl0接口是否加入到安全域2、VPN常见问-常见问1SSL_VPN1、tunnel_ssl0接口是否加入到安全域2、VPN用户密码是否匹配3、Windowshttps的方式访问IP64434、AndroidSSL_VPN5、IOS客户端检查IPSec的配置（SSL_VPN基础上配置IPSec）的保护网段必须是/0，再检查SSL_VPN的配置6IP-常见问2客户端接入SSL_VPN1IP-常见问3第701客户端接入SSL_VPN2客户端接入SSL_VPN正常，但丌能访问内网资3Windows防火墙阻止SSL_VPN客户端，无法正常使引起SSL_VPN业务访问异常，引起SSL_VPN业务访问异常，解决方案如下解决方案1：关闭Windows防火墙功能（不推荐解决方案2：SSL_VPN客户端加入Windows防火墙信任列表。访问Windows系统的“控制面板>系统和安全>Windows防火墙>或功能通过第71点击“浏览”，将client点击“浏览”，将client.exe；第721.1.7SSLVPN（旁路模式）配置1.1.7SSLVPN（旁路模式）配置指功能简SSL_VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复的IPSec_VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL_VPN，这是因为SSL内嵌在浏览器中，它不需要象传统网络拓某企业外部出差人员需要使用移动 接入SSL_VPN，能够通过公司公网地第73②①③④⑤⑥①成功拨入SSL_VPN后，PCB访问PCA5->内层为FWNATNAT②5，内层②①③④⑤⑥①成功拨入SSL_VPN后，PCB访问PCA5->内层为FWNATNAT②5，内层为③VPN->启源NAT策略，在匹配NAT后，数据报文；PCA对请求报文进行响应，数据报文为->；④⑤NAT请求表项进行数据还原，数据报文为->，从->5，内层为->；⑥根据目的NAT->-配置概741配置物理接口的参数信息，用于设备管理及业务转2安全3数据报文根据手工配置的目的网段信息，进行路由转4详细配>>接口>>>网络>说明：tunnel_ssl0接口必须加入安详细配>>接口>>>网络>说明：tunnel_ssl0接口必须加入安访问：基>网络管理>单播>静态路由（配置静态路由访问：基>NAT（NAT，配置源第756创建SSL_VPN证用户，验证通过后可SSL_VPN7可自定义设置SSL_VPN登陆参数，并使能访问：业>VPN>SSLVPN访问：业>VPN>SSLVPN说明1、下发资源配臵（IP资源、Web资源、快捷方式、公告简讯）后，方可在资2、Web支持HTTP/HTTPS方式的URLIP址；快捷方式的Web式为具体链接，命令行方式为Windows的Dos命令；公告简讯显示在VPN登陆成功页面(6)访问VPNSSLVPN用户管理（用户配置，配置说明：下发用户组配臵后，方可在用户信息中引用第76(7)访问：业VPNSSLVPN基本配置（全局配置(7)访问：业VPNSSLVPN基本配置（全局配置SSL功能验由于SSL_VPN设备部署在内网，因此出口设备需配置目的出口设备目的NAT常见问第771客户端接入SSL_VPN-常见问1客户端接入SSL_VPN1NAT3、VPN设备上tunnel_ssl0接口是否加入-常见问1客户端接入SSL_VPN1NAT3、VPN设备上tunnel_ssl0接口是否加入到安全域；4、VPN设备上源NAT的配置是否正确5、VP