开启SSL-VPN功能建立点到站点连接时,您必须先创建SSL服务端。
前提条件
操作步骤
- 登录VPN网关管理控制台。
- 在左侧导航栏,选择网间互联 > VPN > SSL服务端。
- 在顶部菜单栏,选择SSL服务端的地域。
- 在SSL服务端页面,单击创建SSL服务端。
- 在创建SSL服务端面板,根据以下信息配置SSL服务端,然后单击确定。
配置 说明 名称 SSL服务端的名称。 名称在2~128个字符之间,以大小写字母或中文开始,可包含数字、短划线(-)和下划线(_)。
VPN网关 选择要关联的VPN网关。 确保该VPN网关已经开启了SSL-VPN功能。
本端网段 本端网段是客户端通过SSL-VPN连接要访问的地址段。 本端网段可以是专有网络VPC(Virtual Private Cloud)的网段、交换机的网段、通过物理专线和VPC互连的本地数据中心的网段、云服务(例如对象存储、云数据库)等的网段。
单击+添加本端网段添加多个本端网段。
说明 本端网段的子网掩码位数在8至32位之间。客户端网段 客户端网段是给客户端虚拟网卡分配访问地址的网段,不是指客户端已有的内网网段。当客户端通过SSL-VPN连接访问本端时,VPN网关会从指定的客户端网段中分配一个IP地址给客户端使用。 在您指定客户端网段时需保证客户端网段所包含的IP地址个数是当前VPN网关SSL连接数的4倍及以上。-
单击查看原因。例如您指定的客户端网段为192.168.0.0/24,系统在为客户端分配IP地址时,会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段,例如192.168.0.4/30,然后从192.168.0.4/30中分配一个IP地址供客户端使用,剩余三个IP地址会被系统占用以保证网络通信,此时一个客户端会耗费4个IP地址。因此,为保证您的客户端均能分配到IP地址,请确保您指定的客户端网段所包含的IP地址个数是VPN网关SSL连接数的4倍及以上。
-
单击查看每个SSL连接数建议的客户端网段。
SSL连接数 建议的客户端网段 5 子网掩码位数小于或等于27的网段。 例如:10.0.0.0/27、10.0.0.0/26。
10 子网掩码位数小于或等于26的网段。 例如:10.0.0.0/26、10.0.0.0/25。
20 子网掩码位数小于或等于25的网段。 例如:10.0.0.0/25、10.0.0.0/24。
50 子网掩码位数小于或等于24的网段。 例如:10.0.0.0/24、10.0.0.0/23。
100 子网掩码位数小于或等于23的网段。 例如:10.0.0.0/23、10.0.0.0/22。
200 子网掩码位数小于或等于22的网段。 例如:10.0.0.0/22、10.0.0.0/21。
500 子网掩码位数小于或等于21的网段。 例如:10.0.0.0/21、10.0.0.0/20。
1000 子网掩码位数小于或等于20的网段。 例如:10.0.0.0/20、10.0.0.0/19。
高级配置 协议 SSL-VPN连接使用的协议。取值: - UDP(默认值)
- TCP
端口 SSL-VPN连接使用的端口。默认端口:1194。 加密算法 SSL-VPN连接使用的加密算法。取值: - AES-128-CBC(默认值)
- AES-192-CBC
- AES-256-CBC
- none
本参数表示不使用加密算法。
是否压缩 是否对传输数据进行压缩处理。取值: - 是
- 否(默认值)
双因子认证 选择是否开启VPN网关的双因子认证功能。系统默认关闭VPN网关的双因子认证功能。 如果您选择开启VPN网关的双因子认证功能,您还需要选择IDaaS实例。双因子认证支持使用IDaaS实例中的用户名和密码对SSL客户端进行二次认证。更多信息,请参见助力SSL VPN二次认证校验和SSL-VPN双因子认证。
说明- 仅2020年03月05日00时00分00秒之后创建的VPN网关支持开启双因子认证。
如果您的VPN网关是2020年03月05日之前创建的,您可以通过自助升级方式将VPN网关升级至最新版,体验双因子认证功能。具体操作,请参见升级VPN网关。
- 如果您是首次使用双因子认证功能,请先完成授权后再创建SSL服务端。
-