SSL与L3资源测试配置指南.pdfVIP

1简述

1.1SSL应用资源介绍

SANGFORSSL资源是指接入SSL后可供的服务，根据实现机制和应用服务的不同将

资源分为4类，分别为WEB应用，TCP应用，L3应用和应用。

1.2L3资源特点及应用环境

L3应用的实现是通过在客户端安装虚拟网卡，由虚拟网卡抓取服务器的数据，进行封

装后通过虚拟网卡和SSL设备建立的隧道将数据传递到应用服务器。L3目前支持TCP、UDP、

ICMP协议。

1.3L3两种模式

什么是路由模式？

所谓L3的路由模式是指SSL客户端是以分配的虚拟IP地址去服务器资源。即5.0及以上

版本配置中的【使用分配的虚拟IP地址作为源地址】。当资源具有服务端需要向客户端发起连接

的特征，则需要使用路由模式。若设备是单署，需要置网关加好到虚拟IP地址段的路由

下一跳指向设备的LAN口。

什么是SNAT模式？

所谓SNAT模式是指则SSL客户端资源时做了SNAT，将分配的虚拟IP地址转换成设备lan口

地址服务器资源，即5.0及以上版本配置中的【使用设备的IP地址作为源地址】。常用在不方

便做路由，或服务器安全限制，要求只能以设备LAN口所在的网段，常见有资源的环境

中使用。

2测试案例

新一台web服务器，供移动用户接入使用

3界面配置

（1）新建用户

（2）新建L3资源，类型为HTTP

（3）新建角色，将用户和资源关联起来（配置完成后须点击“立即生效”按钮完成配

置保存）

4测试效果

（1）登录SSL，在资源列表直接点击对应资源；或者在浏览器另开页，输入

资源地址直接，最终效果如下。

（2）客户端虚拟网卡（VNIC）安装成功了，分配到了虚拟ip，获取到了路由，具体

状态看如下截图：

5注意事项

1.不管发布哪种类型资源，前提是SSL本身能得到，SSL到目标服务器网络层路由可达、传输

层端口通。

2.如果发布的资源要在资源列表点击就能，要求“+”添加的第一条端口范围为固定值，如

80到80.

3.如果要求拨入能ping通服务器，需要将ICMP协议发布。

4.如果服务器需要主动连接客户端，此时需要将L3资源模式改成【使用分配的虚拟IP地址

作为源地址】，并在应用服务器加到对应虚拟ip网段的回包路由。

6.如果资源是以形式发布的，要求SSL本身能解析到，建议配置“内网解析”或者添加

内网DNS规则，保证客户端DNS解析请求能进隧道（这里做个简单了解）

6排错思路

1.确认目前此现象是个别用户还是所有人反馈都有问题，将问题点定位到是客户端插件未安装成

功还是服务端配置问题。

2.如果是资源不了，看下客户端有没有获取到虚拟ip；如果没有，确认下虚拟网卡有没有安

装成功；如果有安装成功，看下客户端路由表是否有对应路由（具体可以参考文档“SSL客户端排

查”）。

3.客户端有路由仍然不了，如果设备是单署，能否用一台PC将SSL设备替换，并配置和

SSLlan口一样的ip看能否。