开启SSL-VPN功能建立点到站点连接时,您必须先创建SSL服务端。

前提条件

您已经创建了VPN网关并开启了SSL-VPN。具体操作,请参见创建VPN网关

操作步骤

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择VPN > SSL服务端
  3. 在顶部菜单栏,选择SSL服务端的地域。
  4. SSL服务端页面,单击创建SSL服务端
  5. 创建SSL服务端面板,根据以下信息配置SSL服务端,然后单击确定
    配置 说明
    名称 SSL服务端的名称。

    名称在2~128个字符之间,以英文字母或中文开始,可包含数字、短划线(-)和下划线(_)。
    VPN网关 选择要关联的VPN网关。

    确保该VPN网关已经开启了SSL-VPN功能。
    本端网段 本端网段是客户端通过SSL-VPN连接要访问的地址段。本端网段可以是VPC的网段、交换机的网段、通过专线和VPC互连的IDC的网段、云服务如RDS/OSS等的网段。

    单击+添加本端网段添加多个本端网段。

    说明 本端网段的子网掩码在8到32位。
    客户端网段 客户端网段是给客户端虚拟网卡分配访问地址的网段,不是指客户端已有的内网网段。当客户端通过SSL-VPN连接访问本端时,VPN网关会从指定的客户端网段中分配一个IP地址给客户端使用。
    注意
    • 请确保客户端网段和本端网段不冲突。
    • 请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。

      例如:您指定的客户端网段为192.168.0.0/24,系统在为客户端分配IP地址时,会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段,例如192.168.0.4/30,然后从192.168.0.4/30中分配一个IP地址供客户端使用,剩余三个IP地址会被系统占用以保证网络通信,此时一个客户端会耗费4个IP地址。因此,为保证您的客户端均能分配到IP地址,请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。
    高级配置
    协议 SSL连接使用的协议,支持UDP或TCP协议。
    端口 SSL连接使用的端口,默认为1194。
    加密算法 SSL连接使用的加密算法,支持AES-128-CBC、AES-192-CBC、AES-256-CBC。
    是否压缩 是否对传输数据进行压缩处理。
    双因子认证 开启或关闭双因子认证。如果开启双因子认证,您还需要选择IDaaS实例。

    双因子认证默认支持使用IDaaS的用户名和密码进行认证,您可以选择配置AD认证。配置AD认证后,SSL-VPN具备AD认证的能力。更多信息,请参见助力SSL VPN二次认证校验通过LDAP认证建立SSL-VPN连接

    说明
    • 仅2020年03月05日00时00分之后创建的VPN网关支持开启双因子认证。
    • 如果您是首次使用双因子认证功能,请先完成授权后再创建SSL服务端。