H3C+SSL+VPN典型配置举例_h3cirf典型配置举例

H3C+SSL+VPN典型配置举例由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“h3cirf典型配置举例”。

目录 1 介绍 1.1 特性简介 1.2 特性关键技术点 2 特性使用指南 2.1 使用场合 2.2 配置指南 2.3 配置步骤

2.3.1 SSL VPN命令行基本配置 2.4 注意事项 3 支持的设备和版本 3.1 支持的设备清单 4 配置举例 4.1 组网需求 4.2 物理连接图 4.3 设备基本命令行配置

4.3.1 Secblade SSL VPN命令行配置 4.3.2 SecPath SSL VPN命令行配置 4.4 Web业务典型配置举例

4.4.1 超级管理员创建域，并设置域管理员初始密码（仅SecBlade SSL VPN支持）

4.4.2 登录普通域 4.4.3 配置Web业务资源

4.4.4 创建资源组，并把已配置的资源加入到资源组 4.4.5 创建用户、用户组，并把资源组和用户组关联起来 4.4.6 Web业务验证结果 4.5 TCP业务典型配置举例

4.5.1 超级管理员创建域，并设置域管理员初始密码（仅SecBlade SSL VPN支持）

4.5.2 登录普通域 4.5.3 配置TCP业务资源

4.5.4 创建资源组，并把已配置的资源加入到资源组 4.5.5 创建用户、用户组，并把资源组和用户组关联起来 4.5.6 TCP业务验证结果 4.5.7 TCP业务故障排除 4.6 IP业务典型配置举例

4.6.1 超级管理员创建域，并设置域管理员初始密码（仅SecBlade SSL VPN支持）

4.6.2 登录普通域 4.6.3 配置IP业务资源

4.6.4 创建资源组，并把已配置的资源加入到资源组 4.6.5 创建用户、用户组，并把资源组和用户组关联起来 4.6.6 IP业务验证结果 4.6.7 IP业务故障排除 4.7 认证策略典型配置举例

4.7.1 Radius认证（其他认证服务器）4.7.2 Radius认证（CAMS作为服务器）4.7.3 LDAP认证 4.7.4 AD认证 4.7.5 组合认证特性

4.7.6 USB-Key智能卡证书认证方式 4.7.7 证书序列号与用户名绑定 4.8 安全评估及动态授权配置举例 4.8.1 安全评估 4.8.2 动态授权 4.9 其他特色功能 4.9.1 批量导入用户帐户 4.9.2 个性化设置

4.9.3 控制远程主机登录后访问外网功能 4.9.4 guest帐户功能 4.9.5 证书管理功能 4.9.6 证书认证自动登录 4.9.7 自动打开资源特性 4.9.8 自动登录门户特性 4.9.9 单点登录特性 4.9.10 日志管理特性

4.9.11 SSL VPN支持MPLS VPN特性（仅SecPath SSL VPN支持）4.9.12 SSL卸载特性（仅SecBlade SSL VPN支持）4.9.13 License特性（仅SecBlade SSL VPN支持）5 相关资料

5.1 相关协议和标准 5.2 其它相关资料 1 介绍

H3C SSL VPN分为H3C SecPath SSL VPN和H3C SecBlade SSL VPN插卡两类形态的设备。下文中的配置无特殊说明则表示该配置两类设备均支持。如果该配置只有一类设备支持，会通过括号标注（如SecPath SSL VPN/ SecBlade SSL VPN)或不同的标题来区分。

1.1 特性简介

SSL通信的工作原理：SSL（Security Socket Layer，安全套接层）协议的主要用途是在两个通信应用程序之间提供私密性和可靠性，这个过程通过握手协议、记录协议、警告协议来完成。

VPN（虚拟专用网）比租用专线更加便宜、灵活，越来越多的公司开始通过互联网等公共网络，采用VPN将公司总部和在家工作、出差在外、分公司员工以及合作伙伴连接到一起。

SSL VPN是一种新兴的VPN技术。SSL VPN指的是以SSL协议建立加密连接的VPN网络。SSL VPN考虑的是应用软件的安全性，其协议工作在传输层之上，保护的是应用程序与应用程序之间的安全连接，更多应用在Web的远程安全接入方面。SSL VPN系统用于实现对网络资源的细粒度的访问控制。在SSL VPN系统中，用户有三种方式可以访问资源：Web接入方式、TCP接入方式和IP接入方式。同时SSL VPN系统采用基于角色的权限管理方法，可以根据用户登录的身份，限制用户可以访问的资源。另外，SSL VPN系统通过安全策略的检查，来检测接入PC的安全性，进而实现动态分配用户可访问权限。SSL VPN网关支持Web管理，管理员可以使用Web浏览器来配置和管理SSL VPN系统。

H3C SSL VPN系统是一款采用SSL连接建立的安全VPN系统，该系统为企业移动办公人员提供了便捷的远程接入服务。H3C SSL VPN设备是面向企业用户开发的新一代专业SSL VPN设备，可以作为企业的入口网关，也可以作为企业内部服务器群组的代理网关。SecPath SSL VPN主要面向中小型企业，而SecBlade SSL VPN主要面向大中型企业。

1.2 特性关键技术点

SSL VPN与传统VPN系统相比，有更好的易用性，无需用户配置、客户端免安装免维护、部署简单、安全性高、安全控制粒度大，极大地方便了企业的移动办公用户和网络管理。特性使用指南 2.1 使用场合随着Internet的普及，在家办公和移动办公也开始兴起，大量的应用程序也迅速从C/S 结构向基于Web的B/S 结构迁移；公司员工、客户以及合作伙伴在外出实时安全地访问公司的内部信息和应用程序。SSL VPN实现了在任何地方灵活远程访问内部网络和应用程序。

2.2 配置指南

H3C SSL VPN系统有以下三类用户角色：

(1)超级管理员：系统域的管理员。可以创建新的域，并初始化域的管理员密码，给域授予资源组，并授权域是否能够创建新的资源。(仅SecBlade SSL VPN支持)。

(2)域管理员：SSL VPN域管理员。主要是对一个域的所有用户进行权限访问限制。域管理员可创建和删除域的本地用户、用户组、资源、资源组和安全策略等。

(3)SSL VPN用户：使用SSL VPN访问网络资源的用户。SSL VPN用户登录时，需要通过SSL VPN网关对其进行认证。用户认证通过后，SSL VPN用户可以访问SSL VPN网关根据用户的安全状况、用户所属的用户组授权给用户的内网资源。在配置之前需要先理清上面各角色之间，以及本地用户、用户组、资源、资源组之间的关系，关系图如下： 图1 角色关系图

设备默认存在一个ROOT域，超级管理员可以创建域和资源。对于资源，一方面：超级管理员创建资源，指定资源属于哪个资源组，并把自己创建的ROOT域资源组授予某个域；另一方面：超级管理员授予域管理员是否能够创建新的资源的权限。（仅SecBlade SSL VPN支持）。

对于能够创建新的资源的域管理员，可以创建并维护自己的资源、资源组、本地用户及用户组，资源和资源组之间以及用户和用户组之间为多对多关系，即一个资源可以属于多个组，一个组可以拥有多个资源。通过配置关联资源组和用户组，指定哪些用户组可以访问哪些资源组，两组之间同样是多对多关系。

根域（ROOT域）和超级管理员只在SecBlade SSL VPN上支持，SecPath SSL VPN仅支持一个域。

SecBlade SSL VPN支持多域。除默认存在的根域外，系统允许创建的普通域的最大数目参见产品规格。

当前SecBlade SSL VPN 共有三款设备，分别应用于S7500E、S9500和SR6600；这几款设备的主要区别仅在于：S7500E的SSL VPN插卡使用4个GE口与75E背板进行通信，而S9500/SR6600的SSL VPN插卡则使用1个XGE口与S9500/SR6600背板进行通信。软件功能上没有区别。手册的以下关于SecBlade SSL VPN部分均以S7500E插卡为例进行说明。

2.3 配置步骤

配置SSL VPN，需要配置以下内容：

 命令行基本配置。

超级管理员界面相关功能配置（仅SecBlade SSL VPN支持）。域管理员界面相关功能配置。普通用户界面配置。





后面三种配置皆为Web配置，此处就不列出配置步骤，直接举实例。

2.3.1 SSL VPN命令行基本配置

用户可在命令行进行基本配置，主要包括启动Web服务器和SSL VPN服务。默认情况下系统会自动启动Web服务器和SSL VPN服务，而无需用户手动输入命令进行启动。

设备上需要做如下配置：

 启动Web服务器。启动SSL VPN服务。

2.4 注意事项

图2 配置管理

在Web页面上进行的相关配置，配置完成后必须将“配置文件”保存，否则设备重启后，配置丢失；   可以把当前配置保存到“配置文件”和“备份文件”中； 如果想把“备份文件”替换为“配置文件”，选择“恢复”； 选择“重启”，则重启域，使新的配置文件生效。

支持的设备和版本

3.1 支持的设备清单

 Secblade：

H3C S7500E LSQ1SSLSC0单板，H3C S9500 LSB1SSL1A0单板，H3C SR6600 SPE-SSL单板

 SecPath：

内置SSL 加密卡的设备：Secpath V100-E 需选配外置加密卡的设备：Secpath F100-A、Secpath F100-A-SI、Secpath F100-E、Secpath F100-M、Secpath F1000-A、Secpath V1000-A、Secpath F1000-S 4 配置举例

4.1 组网需求 采用双臂模式：SSL VPN网关跨接在内网和外网之间，对内网的保护最完全。但是，此时网关处在内外通讯的关键路径上，其性能和稳定性对内外网之间的数据传输有很大的影响。双臂模式的组网如下图所示： 图3 双臂模式SSL VPN 组网图

采用单臂模式：SSL VPN网关只相当于一台代理服务器，代理远程的请求，与内部服务器进行通讯。此时SSL VPN网关不在网络通讯的关键路径上，不会造成单点故障。单臂模式的组网如下图所示： 图4 单臂模式SSL VPN 组网图

4.2 物理连接图

测试组网：

图5 SecBlade SSL VPN单臂模式测试组网图

图6 SecPath SSL VPN双臂模式测试组网图

4.3 设备基本命令行配置

4.3.1 Secblade SSL VPN命令行配置

1.75E上的基本配置

[S7503E]vlan 100 //*端口相关的配置请结合上图*// [S7503E-vlan100]port GigabitEthernet 3/0/1 [S7503E-vlan100]port GigabitEthernet 4/0/1 [S7503E-vlan100]quit [S7503E]interface vlan 100 [S7503E-Vlan-interface100]ip addre 172.1.1.3 24 [S7503E-Vlan-interface100]quit [S7503E]vlan 200 [S7503E-vlan200]port GigabitEthernet 4/0/13 [S7503E-vlan200]quit [S7503E]inter vlan 200 [S7503E-Vlan-interface200]ip addre 172.2.1.1 24 [S7503E-Vlan-interface200]quit [S7503E]ip route-static 10.5.1.0 24 172.1.1.2 //*配置到虚地址网段的路由指

向SSLVPN插卡，供从内网返回的数据转发*// [S7503E]ip route-static 0.0.0.0 0 172.1.1.1 //*配置到公网的路由*// [S7503E]ip route-static 192.168.0.0 16 172.2.1.2 [S7503E]ip route-static 10.0.0.0 8 172.2.1.2 [S7503E]interface g3/0/1 [S7503E-GigabitEthernet3/0/1]speed 1000 [S7503E-GigabitEthernet3/0/1]duplex full //*配置与插卡通信的背板接口为强制模式，保证端口 up*// [S7503E-GigabitEthernet3/0/1]quit 2.SSL VPN插卡上的基本配置

[H3C]interface GigabitEthernet 0/0/0 [H3C-GigabitEthernet0/0/0]ip addre 172.1.1.2 24 [H3C-GigabitEthernet0/0/0]quit [H3C]ip route-static 0.0.0.0 0 172.1.1.3 [H3C]ntp-service unicast-server 172.1.1.3 //*SSLVPN插卡不支持本地时钟，设备默认时间为 2000年，此处不配置会导致证书过期*//

3.NAT-IN节点网关的相关路由配置

[H3C]ip route-static 10.5.1.0 24 172.2.1.1 //*配置到虚地址网段的路由*// [H3C]ip route-static 172.1.1.0 24 172.2.1.1 4.SSL VPN插卡上的业务相关配置（默认情况下，系统会自动启动Web服务器和SSL VPN服务而无需用户手动输入以下命令进行启动）[H3C] svpn service enable //*启动SSL VPN服务*// [H3C] Web server enable // *启动Web服务器*//

SecBlade SSL VPN目前应用于75E、95和SR66上，一般处于内网位置，所以组网配置为单臂模式； 

若实际组网中不存在NAT-IN节点，则需要在内网各节点配置路由，保证到10.5.1.0/24网段路由可达（即到虚地址网段路由可达）； 

由于上述配置只采用了SecBlade SSL VPN 75E的一个GE口，而SecBlade SSL VPN 95/SR66只有一个10GE口，所以上述配置可直接应用于SecBlade SSL VPN 95/SR66。

4.3.2 SecPath SSL VPN命令行配置

1.基本配置

[H3C] interface Ethernet0/0 [H3C-Ethernet0/0] ip addre 192.168.96.22 255.255.255.0 [H3C-Ethernet0/0] quit [H3C] interface Ethernet0/1 [H3C-Ethernet0/1] ip addre 155.1.1.1 255.0.0.0 [H3C-Ethernet0/1] quit [H3C] ip route-static 0.0.0.0 0 155.1.1.1 preference 60 2.svpn相关配置（默认情况下系统会自动启动Web服务器和SSL VPN服务而无需用户手动输入以下命令进行启动）

[H3C] svpn service enable //*启动SSL VPN服务*// [H3C] Web server enable // *启动Web服务器*// 4.4 Web业务典型配置举例

4.4.1 超级管理员创建域，并设置域管理员初始密码（仅SecBlade SSL VPN支持）

(1)在地址栏中输入SSL VPN 网关连接外网的端口地址

“https://155.1.1.1:444”，回车后，即可进入SSL VPN登录页面：（注意会弹出证书认证界面，此时选择“是”）图7 安全告警（点击“是”）

使用缺省超级管理员帐户“administrator”以本地认证方式登录SSL VPN系统，在用户名栏输入“administrator”，密码栏输入“administrator”，身份下拉框选择“超级管理员”，单击按钮即可登录。如下图所示。图8 SSL VPN登录页面

(2)超级管理员创建域h3c，设置域管理员初始密码

在导航栏中选择“域管理”，进入域策略配置页面，单击按钮可以新建域，单击按钮可以对已有的域进行配置。图9 创建域

创建域“h3c”，创建域时产生一个默认管理员“administrator”，此时需要设置该默认管理员的密码（如：123456）。同时可以设置该域的超时时间（30）和最大在线用户数（100）。超级管理员可以把已经创建的资源组授予新创建的域，同时允许域h3c的管理员创建资源。

(3)超级管理员配置完成后，必须将“配置文件”保存，否则设备重启后，配置丢失。图10 配置管理

域管理员配置完成后，同样必须将“配置文件”保存，否则设备重启使配置丢失。

4.4.2 登录普通域

该典型配置指导中的所有配置均是在普通域中完成。(1)SecBlade SSL VPN: 同超级管理员登录页面，输入域缺省管理员帐户以本地认证方式登录SSL VPN普通域，在用户名栏输入“administrator”，密码栏输入“123456”（创建域时设置），身份选择“管理员”，单击按钮即可登录。图11 域管理员登录

属于管理员用户组的用户为该域的管理员，所以管理员同时也是普通用户。如果管理员选择以“普通用户”身份登录，可以进入到该管理员的普通用户界面。在普通用户界面下，其可访问的资源，受域管理员组所拥有资源的限制。(2)SecPath SSL VPN: 在地址栏输入https://155.1.1.1/admin打开登录页面，输入缺省域管理员帐户 “administrator”，密码“administrator”，单击按钮即可登录。图12 域管理员登录

4.4.3 配置Web业务资源

Web网页是远程Web服务器提供的一种服务。SSL VPN的Web代理服务器为用户访问Web服务器提供了一种安全的链接方式，并且可以阻止非法用户访问受保护的Web服务器。

在导航栏中选择“资源管理->Web网站”，进入Web代理服务器管理页面。单击按钮可以创建新的Web资源。图13 创建Web代理资源

“站点名称”可以配置为ip地址，也可以配置为域名，配置为域名时必须在命令行下正确配置DNS 服务器。

站点匹配模式可以使用“模糊匹配”。此例中，站点匹配模式可以配置成“tech.*”进行模糊匹配，保证下挂在同一网站下的网页能够完全正常使用。更明显的例子是需要访问www.daodoc.com、news.sina.com.cn等网页，则只需在“站点匹配模式”下配置“*.sina.com.cn”。若需要增加多个模糊匹配条件，中间用“|”分隔即可。  创建成功后返回如下Web服务器资源列表。

图14 Web代理服务器列表

4.4.4 创建资源组，并把已配置的资源加入到资源组

在导航栏中选择“资源管理->资源组”，进入资源组管理页面，单击按钮创建新的资源组。

输入资源组名“Web”，将已配置资源 “tech”加入资源组“Web”；单击完成操作。图15 创建资源组

4.4.5 创建用户、用户组，并把资源组和用户组关联起来

在导航栏中选择“用户管理->本地用户”，进入本地用户页面。

图16 创建用户

创建成功后返回本地用户列表如下图所示： 图17 用户列表

在导航栏中选择“用户管理->用户组”，进入用户组页面，单击按钮创建新的用户组。

 输入用户组名“usergroup”。将用户“user1” 加入用户组。

将资源组“Web” 赋予用户组“usergroup”。



单击完成操作。图18 创建用户组

此时用户组“usergroup”中的用户“svpn”可以访问资源组“Web”中的所有资源。

4.4.6 Web业务验证结果

(1)普通用户登录

输入“https://155.1.1.1”打开用户登录界面，在用户名栏输入管理员创建的用户名 “svpn”，在“密码”框中输入密码。单击按钮即可登录。图19 可访问Web类资源

(2)远程用户成功访问Web代理业务

例如：Web资源 “tech”，点击即可打开页面，且URL成功替换：https://155.1.1.1/lvpn/proxy /1275152384/ 图20 Web代理访问

4.5 TCP业务典型配置举例

4.5.1 超级管理员创建域，并设置域管理员初始密码（仅SecBlade SSL VPN支持）

参照4.4 Web业务典型配置举例

4.5.2 登录普通域

参照4.4 Web业务典型配置举例

4.5.3 配置TCP业务资源

1.远程访问服务

远程访问服务是一类服务的总称，SSL VPN使用SSL加密技术，将这些在Internet上以明文方式传输的服务通过SSL来进行加密，保证了数据传输的安全性。在导航栏中选择“资源管理->TCP应用”，进入远程访问服务配置页面，单击按钮可以新建远程访问服务资源。图21 创建远程访问服务资源

“命令行”配置： telnet “本机主机”，此处“本机主机”是指用来连接远端主机的本地监听地址，可以配置为本地环回地址（127.0.0.2-127.0.0.254；当本地主机允许修改host文件时，也可以配置为字符串）。创建TCP资源成功后会返回如下资源列表： 图22 远程访问服务资源

2.Windows桌面共享

在导航栏中选择“资源管理->TCP应用”，进入桌面共享配置页面，单击按钮可以新建windows桌面共享资源。图23 创建Windows桌面共享资源

创建成功后返回远程桌面资源列表： 图24 Windows桌面共享资源

3.Outlook邮件服务

在导航栏中选择“资源管理->TCP应用”，进入电子邮件服务资源配置页面，单击按钮新建Outlook邮件服务资源 图25 创建Outlook邮件服务资源

创建成功后返回邮件服务资源列表： 图26 Outlook邮件服务资源

4.Notes邮件服务

在导航栏中选择“资源管理->TCP应用”，进入Notes邮件服务资源配置页面，单击按钮新建Notes邮件服务资源，且配置“本地地址”必须为数据库的实际地址或真实域名。图27 创建Notes邮件服务资源

创建成功后返回notes邮件服务资源列表如下图所示： 图28 Notes邮件服务资源

5.通用应用程序服务

导航栏中选择“资源管理->TCP应用”，进入TCP服务配置页面，单击按钮可以新建通用应用程序服务资源。图29 创建通用应用程序服务

创建成功后返回通用应用服务资源列表如下： 图30 通用应用程序服务

4.5.4 创建资源组，并把已配置的资源加入到资源组

参照4.4 Web业务典型配置举例 图31 创建TCP资源组

4.5.5 创建用户、用户组，并把资源组和用户组关联起来

参照4.4 Web业务典型配置举例

4.5.6 TCP业务验证结果

(1)普通用户“svpn” 登录后，默认启动TCP 客户端，可以通过“信息”查看端口监听情况。图32 TCP接入状态

图33 TCP端口监听

(2)普通用户登录后，出现所有TCP可访问资源。图34 TCP应用类可访问资源

(3)点击TCP应用类资源“telnet远程访问”，即可telnet到远程设备上 图35 telnet远程访问

(4)点击TCP应用类资源“Win桌面共享”，即可登录到远程主机上 图36 Win桌面共享

(5)TCP应用类资源“POP3”，“SMTP”的使用，需要在客户机Outlook的pop3和smtp服务器地址里进行配置，分别为资源 “POP3-A”，“SMTP-A”，通过用户名密码登录，即可正常处理邮件。图37 Outlook 邮件服务器配置

(6)TCP应用类资源“通用应用资源”，在资源里直接点击即可访问该资源。图38 通用应用http访问

4.5.7 TCP业务故障排除

(1)TCP资源配置时，命令行可不填写，如果填写，必须为操作系统可识别的命令；

(2)TCP业务下，客户端要成功访问邮件需要配置Outlook后才能使用。且邮件服务使用SMTP和POP3这两个端口通信，所以还需要创建两条资源；(3)不同操作系统的应用程序位置不一样。

4.6 IP业务典型配置举例

4.6.1 超级管理员创建域，并设置域管理员初始密码（仅SecBlade SSL VPN支持）

参照4.4 Web业务典型配置举例

4.6.2 登录普通域 参照4.4 Web业务典型配置举例

4.6.3 配置IP业务资源

SSL VPN网络服务访问提供了IP层以上的所有应用支持。用户不需要关心应用的种类和配置，仅通过登录SSL VPN，即可自动下载并启动ActiveX SSL VPN客户端程序，然后便可以安全访问特定主机的所有服务。SSL VPN可以保证用户与服务器间的通讯安全。1.全局配置

在导航栏中选择“资源管理->IP网络”，标签栏中选择“全局配置”，进入全局配置页面：

(1)Secblade SSL VPN： 图39 IP全局配置

“起始IP”、“结束IP”为当客户端登录后，设备分配给客户端的虚地址网段。“网关地址”为客户端访问指定网络资源时的默认网关。上述配置为必须配置，“基本信息配置”中的各字段则可根据需要进行配置。其中心跳时间为IP客户端向网关发送心跳报文的时间间隔；客户端是否可达允许设置不同的登录用户之间是否可以通过IP接入相互通信；WINS地址和DNS地址为网关下发给用户虚网卡的WINS和DNS地址；只允许访问VPN可以设置用户上线后是否能够同时访问Internet；用户网络服务显示方式可以设置用户上线后资源页面是显示IP资源的描述信息还是IP地址信息。(2)SecPath SSL VPN： 图40 IP全局配置

“起始IP”、“结束IP”为当客户端登录后，设备分配给客户端的虚地址网段。“网关地址”为客户端访问指定网络资源时的默认网关。内部接口指网关与内网相连的接口。指定内部接口并启用自动NAT后，系统自动在内部接口上配置NAT，而不需要在其他内网设备上添加指向虚网段的回程路由。上述配置为必选配置，“基本信息配置”中的各字段则可根据需要进行配置。其中心跳时间为IP客户端向网关发送心跳报文的时间间隔；客户端是否可达允许设置不同的登录用户之间是否可以通过IP接入相互通信；WINS地址和DNS地址为网关下发给用户虚网卡的WINS和DNS地址；只允许访问VPN可以设置用户上线后是否能够同时访问Internet；用户网络服务显示方式可以设置用户上线后资源页面是显示IP资源的描述信息还是IP地址信息。2.用户ip 绑定

在导航栏中选择“资源管理->IP网络”，标签栏中选择“全局配置->用户IP绑定”，进入全局配置页面，如图所示。图41 Secblade用户IP绑定列表

图42 SecPath用户IP绑定列表

为用户绑定固定IP后，用户登录后系统不会再从地址池中为用户虚网卡分配地址，而是直接把绑定的IP分配给用户。

3.主机配置

在导航栏中选择“资源管理->IP网络”，进入主机配置页面，如图所示。单击按钮，输入主机资源名称，单击按钮创建一个主机资源，图43 主机配置允许访问网络

图44 主机配置快捷方式

“允许访问的网络服务”和“快捷方式”在编辑区配置完后，需要点击。另外IP网络，可以进行各种业务的快捷方式访问：ping、ftp、文件共享等。

4.6.4 创建资源组，并把已配置的资源加入到资源组

图45 把IP资源加入资源组

4.6.5 创建用户、用户组，并把资源组和用户组关联起来

参照4.4 Web业务典型配置举例

4.6.6 IP业务验证结果

(1)普通用户svpn 登录后默认启动IP 客户端，通过查看客户端数据判断启动情况。

图46 IP客户端状态