SSL vpn是什么，怎么配置

发布时间：2023-03-30

点击量：1464

SSLVPN通过第三方的短信平台进行短信发送操作，即SSLVPN用HTTP协议通告第三方短信平台向具体的手机号码发送具体的短信内容；这要求设备必须能与第三方短信平台通信，即要求设备必须能上以太网。

一、组网需求

【联网需求】： SSLVPN通过第三方的短信平台进行短信发送操作，即SSLVPN用HTTP协议通告第三方短信平台向具体的手机号码发送具体的短信内容；

这要求设备必须能与第三方短信平台通信，即要求设备必须能上以太网。

【部署拓扑说明】：短信功能与设备的部署方式无关，设备作为出口或设备以单臂模式挂在网内均可以。

【支持版本说明】： 11.1(6)B9及以上版本。

二、组网拓扑

拓扑说明：

1. 以设备作为网络出口为例进行测试。

2. 如果SSLVPN以【本地认证】方式进行登录认证，则SAM/SMP不需要。

3. 最小环境要求

a) 一台支持SSLVPN功能的网关设备， EG或NBR均可。

b)一个华兴软通测试账号，https://www.smshx.com 进行了解及账号申请。

三、配置要点

1、配置华兴软通的账号信息

2、配置设置DNS地址

3、配置短信策略

4、配置用户手机号码

四、配置步骤

1、选择【网络】-【SSLVPN配置】-【短信策略管理】，配置华兴软通的账号信息

注：

1）短信提供商支持华兴软通和欧电云，因为欧电云无法提供申请账号测试，推荐使用华兴软通；

2）注册码和密码需要从华兴软通官网注册获取；

3）发送模板内容“尊敬的${username}，您用于${func}的验证码是${VCode}。【SSLVPN服务】”--除了变量名称${username},${func},${VCode}不能修改，其他可自定义修改。

2、选择【网络】-【DNS配置】-【DNS服务器】，配置设置DNS地址

保证ping www.stongnet.com 通正常解析到IP地址

3、选择【网络】-【SSLVPN配置】-【短信策略管理】，配置短信策略

开启短信双因子认证策略：

【可选】开启SSLVPN硬件特征码自助绑定及审批功能：

开启硬件特征码审批并要求手动审批

【可选】开启短信自助解绑策略

注意：这四个功能可以单独开启与关闭，相互之间没有依赖。

4、选择【网络】-【SSLVPN配置】-【短信策略管理】，配置用户手机号码

注意：如果管理员觉得手动输入手机号码比较困难，可以开启用户自助提交手机号码功能，设备向用户发送短信时若发现用户未保存手机号码，则提示用户自助提交手机号码，一旦提交后，用户不允许修改、不允许删除。

5、【可选】开启硬件特征码审批并要求手动审批

五、配置验证

短信双因子认证功能：

1、用户侧使用PC登录SSLVPN登录页面或用客户端登录

2、提示短信已经下发到指定手机号码

3、用户输入动态验证码并提交

4、进入资源主页面

自助绑定硬件特征码功能：

1、用户侧使用用客户端登录

2、在一个PC首次登录时，会提示用户要提交硬件特征码

3、提示短信已经下发到指定手机号码

4、用户输入动态验证码

5、选择【网络】à【SSLVPN配置】à【运行状态】，单击【硬件特征码管理】查看SSLVPN-user2的硬件特征码信息为已审批状态。

自助解绑硬件特征码功能：

1、用户侧使用PC打开SSLVPN登录页面

2、通过【自助解绑硬件特征码】链接跳转到自助解绑页面

3、输入用户账号信息

4、提示短信已经下发到指定手机号码

5、用户输入动态验证码

6、通过Web网管查看用户的硬件特征码，用户相关的硬件特征码都已经删除了。

7、选择【网络】-【SSLVPN配置】-【运行状态】，单击【硬件特征码管理】不再存在SSLVPN-user2的硬件特征码信息。

六、注意问题；

【使用限制】手机APP不支持短信功能，包括IOS及安卓版本。这将导致以下问题

1. 开启短信双因子认证功能时，手机APP无法正常登录；CLI进入SSLVPN策略组模式通过mobile-smsg-disable命令可关闭对手机APP生效，保证手机APP能正常登录。

Ruijie#configure

Ruijie(config)#sslvpn gateway sslvpn

Ruijie(config-sslvpn-gateway)#sslvpn policy-group

Ruijie(config-sslvpn-group)#mobile-smsg-disable

Ruijie(config-sslvpn-group)#end

Ruijie#wr

2. 开启硬件特征码自助绑定时，手机APP登录提交的硬件特征码仍需要管理员手动审批。

七、常见问题诊断；

1、show sslvpn short-message stone查看当前配置及发送状态统计，关注以下成员

"hostname": "www.stongnet.com",

"service-ipaddress": "121.52.208.218",

"service-port": 80,

"reg-id": "xxxxxxxxx",

"password": " xxxxxxxxx ",

"template": "尊敬的${username}，您用于${func}的验证码是${VCode}。【SSLVPN服务】",

"request-times": 0, // 表示短信发送尝试次数

"failed-times": 0 //表示短信发送失败的次数

2、show sslvpn log wildcard *用户名*，查看用户的登录记录及日志记录，例如user反馈说有异常，则show sslvpn log wildcard *user* 查看用户user相关的日志，与短信功能相关的日志如下（以用户user为例）

错误日志	处理建议
用户"user"的短信发送失败, 原因是: 注册号或者密码错误，请与华兴软通联系!	与华兴软通的运维人员连接，明确是否给的账号有问题
用户"user"的短信发送失败, 原因是: 余额不足, 请联系华兴软通缴费!	联系华兴软通缴费
用户"user"的短信发送失败, 原因是: 手机号码格式错误, 请核实!	登录Web网管，确认一下用户的手机号码是否错误。
用户"user"的短信发送失败, 原因是: 参数格式错误!	1.联系华兴软通运维人员，确认是否短信发送模板配置错误。 2.与研发人员联系，开debug sslvpn error调试信息收集信息诊断。
用户"user"的短信发送失败, 原因是: 未知错误码(xx)!	与研发人员联系，开debug sslvpn error调试信息收集信息诊断。