IPSec VPN 配置(5)

查看VPN 模块版本信息

IPSec VPN 配置 服务热线：8008105119 25

version 命令描述：

查看 VPN 模块版本信息。

vpn_exec

VPN 系统调试命令。 vpn_exec eroute 命令描述：

显示 eroute（扩展路由）表。 vpn_exec iked 命令描述：

启动 IKE 服务，只有在IKE 服务没启动时才能使用。 vpn_exec klipsdebug 命令描述：

显示当前 VPN 内部核心模块的调试开关。 vpn_exec spi 命令描述：

显示 SPI 信息。 vpn_exec tncfg 命令描述：

显示虚拟接口与实接口听绑定关系。

IPSec VPN 配置 服务热线：8008105119 26

vpn_exec tunnelcfg 命令描述：

显示 VDCD 模块的接口信息。 vpn_exec whack 命令描述：

用户和 IKE 进程通信命令。 vpn_exec clientcfg 命令描述：

显示上线客户端信息。

vrc

IPSec VPN 网关可以对移动用户的认证和接入进行相关配置。VRC 用户可以随时 通过当地的ISP（如：拨号上网）接入 Internet，并使用VPN 客户端软件（VRC， VPN Remote Client）向公共网上的VPN 网关进行认证（“用户名口令”方式或“证 书”方式），然后与其建立加密隧道，并经由这条隧道来安全地接入企业内部网 络。

access

权限对象设置（设置移动客户在认证成功后能访问的资源信息）

access add name ip mask [policy ] [ proto ] [dpolicy ] [dportstart ] [ dportend ] 命令描述：

添加一个权限对象。 参数说明：

IPSec VPN 配置 服务热线：8008105119 27

add 添加一个权限对象 name 指定对象名 string 字符串

ip 指定被监控数据包的目的IP 地址或目的子网IP 地址 ipaddress IP地址字符串

mask 指定被监控数据包的目的IP 地址子网掩码 netmask 子网掩码字符串

policy 指定访问策略，表示对匹配该规则的数据包是允许通 过还是丢弃

accept|deny 允许/拒绝

proto 选择数据包采用的网络协议 tcp|udp|icmp|igmp|all 选取一个协议名 dpolicy 指定数据包的目的端口约束策略

nouse 不对数据包目的端口进行控制，此时不需要设定 dportstart 和dportend 参数。 equal

数据包的目的端口为指定端口时匹配该规则，此时需 要设定dportstart 和dportend 的 number1 和number2 相等。 noequal

数据包的目的端口为除此指定端口外的其他端口时 匹配该规则，此时需要设定dportstart 和dportend 的 number1 和number2 相等。 between

数据包的目的端口属于指定端口范围时匹配该规则， 此时需要设定dportstart 和dportend 的 number1 小于 number2 。 nobetween

数据包的目的端口不属于此指定端口范围时匹配该 规则，此时需要设定dportstart 和dportend 的 number1 小于number2 。

dportstart 指定数据包的目的端口约束起点 port1 数值，范围 0-65535。

dportend 指定数据包的目的端口约束终点 port2 数值，范围 0-65535。

access modify name ip mask [policy ] [ proto

] [dpolicy ] [dportstart ] [ dportend ] 命令描述：

修改一个权限对象。 参数说明：

modify 修改一个权限对象 name 指定对象名 string 字符串

ip 指定被监控数据包的目的IP 地址或目的子网IP 地址 ipaddress IP地址字符串

mask 指定被监控数据包的目的IP 地址子网掩码

IPSec VPN 配置 服务热线：8008105119 28

netmask 子网掩码字符串

policy 指定访问策略，表示对匹配该规则的数据包是允许通 过还是丢弃

accept|deny 允许/拒绝

proto 选择数据包采用的网络协议 tcp|udp|icmp|igmp|all 选取一个协议名 dpolicy 指定数据包的目的端口约束策略

nouse 不对数据包目的端口进行控制，此时不需要设定 dportstart 和dportend 参数。 equal

数据包的目的端口为指定端口时匹配该规则，此时需 要设定dportstart 和dportend 的 number1 和number2 相等。 noequal

数据包的目的端口为除此指定端口外的其他端口时 匹配该规则，此时需要设定dportstart 和dportend 的 number1 和number2 相等。 between

数据包的目的端口属于指定端口范围时匹配该规则， 此时需要设定dportstart 和dportend 的 number1 小于 number2 。 nobetween

数据包的目的端口不属于此指定端口范围时匹配该 规则，此时需要设定dportstart 和dportend 的 number1 小于number2 。

dportstart 指定数据包的目的端口约束起点 port1 数值，范围 0-65535。

dportend 指定数据包的目的端口约束终点 port2 数值，范围 0-65535。 access delete name 命令描述：

删除一个权限对象。 参数说明： delete 删除

name 指定已经定义的权限名 string 字符串

access show [name ] 命令描述： 查看权限对象 参数说明： show 显示信息

name 指定已经定义的权限名 string 字符串

IPSec VPN 配置 服务热线：8008105119 29

使用说明：

如果不指定对象名称，则显示所有对象 vrc access clean 命令描述：

清除所有权限对象

acl-time

配置权限对象的时间对象。

vrc acl-time add name timeacc 命令描述：

为权限对象添加一条时间对象。 参数说明：

add 为权限对象添加一条时间对象 name 权限对象的名称 string1 字符串

timeacc 时间对象名称 string2 字符串

vrc acl-time delete name timeacc 命令描述：

为权限对象删除一条时间对象。 参数说明：

add 为权限对象删除一条时间对象 name 权限对象的名称 string1 字符串

timeacc 时间对象名称 string2 字符串

vrc acl-time show name 命令描述：

IPSec VPN 配置 服务热线：8008105119 30

显示权限对象的所有时间对象。

参数说明：

show 显示权限对象的所有时间对象 name 权限对象的名称 string 字符串

cert_access

设置证书认证权限。

cert_access set [acc control cn mail ] 命令描述：

设置证书认证权限。 参数说明：

set 设置证书认证权限 acc

对于使用证书认证的VRC 用户，当IPSec VPN 网关 验证证书有效后，选择是否在本地数据库中查找与证 书同名的用户。 on|off 是/否

control 当本地数据库中没有与证书同名的用户时，选择是否 允许该证书用户登录。 on|off 是/否

cn 区分证书用户时是否使用CN 字段做为用户权限区分 的索引 on 是

mail 区分证书用户时是否使用MAIL 字段做为用户权限区 分的索引 on|off 是/否

cert_access show 命令描述：

查看证书认证权限。

clean

清空VRC 配置信息

IPSec VPN 配置 服务热线：8008105119 31

clean 命令描述：

清空 VRC 配置信息。

config

VRC 接入服务基本配置

config set auth_mode check_time expired_time timeout

dhcp-if dhcp-pool dns1 dns2 wins1 wins2 vip_control < on|off > fw-control version_control < on|off > [version < standard|ukey|limit|secure|ukey_limit|ukey_secure >] [max_authnum ] 命令描述：