V7防火墙SSLVPN超时时间不生效案例

关键词:
问题现象

在SSLVPN本地用户或用户组下配置闲置切断时间不生效,用户到时间后不下线。

[H3C]local-user aa class network

[H3C-luser-network-aa]authorization-attribute idle-cut 30

原因分析

对于sslvpn用户sslvpn context下的timeout是有效的。

解决办法

1、TCP接入及Web接入在sslvpn context下配置timeout,超时后访问资源需重新登录。

[H3C]sslvpn context aa
      [H3C-sslvpn-context-aa]timeout idle 30

2、ip接入缺省条件下30s发送一次保活报文,如果将保活报文发送时间设置为0,即客户端不发送保活报文,再配置超时时间。

[H3C-sslvpn-context-aa]ip-tunnel keepalive 0

用户超时后也不一定会下线,因为即使不访问资源,隧道里还会有其它未知流量,未知流量不可控,因此sslvpn会话会不定时被刷新。此外,即使用户超时下线,由于inode默认自动上线,掉线后用户也会自动上线。

 

建议与总结

综上所述,超时时间的设置仅对web接入和tcp接入有效,inode方式的ip接入不建议配置。

案例信息

案例类型:经验案例
案例号:201608150001
创建时间:2016年8月15日
更新时间:2017年8月1日
发布时间:2016/8/18 9:31:03
文章密级:游客可见
有效期:长期有效
发布者:易予晴 [y11767]
点击次数:1627
评论平均得分:0
关键词:V7 SSLVPN timeout 超时
产品线:安全产品
产品系列:M9000系列
产品版本:
故障类型:

常用操作
收藏