VPN Gateway：建立和管理SSL服務端

1. 登入VPN網關管理主控台。

2. 在左側導覽列，選擇網間互聯 > VPN > SSL服務端。

3. 在頂部功能表列，選擇SSL服務端的地區。

4. 在SSL服務端頁面，單擊建立SSL服務端。

5. 在建立SSL服務端面板，根據以下資訊配置SSL服務端，然後單擊確定。

   配置	說明
   名稱	輸入SSL服務端的名稱。
   資源群組	選擇VPN網關所屬的資源群組。 SSL服務端所屬的資源群組與VPN網關所屬的資源群組保持一致。
   VPN網關	選擇要關聯的VPN網關。 確保該VPN網關已經開啟了SSL-VPN功能。
   本端網段	本端網段是用戶端通過SSL-VPN串連要訪問的位址區段。 本端網段可以是Virtual Private Cloud（Virtual Private Cloud）的網段、交換器的網段、通過物理專線和VPC互連的本機資料中心的網段、雲端服務（例如Object Storage Service、雲資料庫）等的網段。 單擊+添加本端網段可添加多個本端網段，最多支援添加5個本端網段。 以下網段不支援指定為本端網段： 100.64.0.0~100.127.255.255 127.0.0.0~127.255.255.255 169.254.0.0~169.254.255.255 224.0.0.0~239.255.255.255 255.0.0.0~255.255.255.255 說明 本端網段的子網路遮罩位元在8至32位之間。
   客戶端網段	用戶端網段是給用戶端虛擬網卡分配訪問地址的網段，不是指用戶端已有的內網網段。當用戶端通過SSL-VPN串連訪問本端時，VPN網關會從指定的用戶端網段中分配一個IP地址給用戶端使用，用戶端將會使用分配的IP地址訪問雲上資源。 在您指定用戶端網段時需保證用戶端網段所包含的IP地址個數是當前VPN網關SSL串連數的4倍及以上。 單擊查看原因。 例如您指定的用戶端網段為192.168.0.0/24，系統在為用戶端分配IP地址時，會先從192.168.0.0/24網段中劃分出一個子網路遮罩為30的子網段，例如192.168.0.4/30，然後從192.168.0.4/30中分配一個IP地址供用戶端使用，剩餘三個IP地址會被系統佔用以保證網路通訊，此時一個用戶端會耗費4個IP地址。因此，為保證您的用戶端均能分配到IP地址，請確保您指定的用戶端網段所包含的IP地址個數是VPN網關SSL串連數的4倍及以上。 單擊查看不支援配置的網段。 100.64.0.0~100.127.255.255 127.0.0.0~127.255.255.255 169.254.0.0~169.254.255.255 224.0.0.0~239.255.255.255 255.0.0.0~255.255.255.255 單擊查看每個SSL串連數建議的用戶端網段。 若SSL串連數為5，則用戶端網段的子網路遮罩位元建議小於或等於27。例如：10.0.0.0/27、10.0.0.0/26。 若SSL串連數為10，則用戶端網段的子網路遮罩位元建議小於或等於26。例如：10.0.0.0/26、10.0.0.0/25。 若SSL串連數為20，則用戶端網段的子網路遮罩位元建議小於或等於25。例如：10.0.0.0/25、10.0.0.0/24。 若SSL串連數為50，則用戶端網段的子網路遮罩位元建議小於或等於24。例如：10.0.0.0/24、10.0.0.0/23。 若SSL串連數為100，則用戶端網段的子網路遮罩位元建議小於或等於23。例如：10.0.0.0/23、10.0.0.0/22。 若SSL串連數為200，則用戶端網段的子網路遮罩位元建議小於或等於22。例如：10.0.0.0/22、10.0.0.0/21。 若SSL串連數為500，則用戶端網段的子網路遮罩位元建議小於或等於21。例如：10.0.0.0/21、10.0.0.0/20。 若SSL串連數為1000，則用戶端網段的子網路遮罩位元建議小於或等於20。例如：10.0.0.0/20、10.0.0.0/19。 重要 用戶端網段的子網路遮罩位元在16至29位之間。 請確保用戶端網段和本端網段不衝突。 在指定用戶端網段時，建議您使用10.0.0.0/8、172.16.0.0/12和192.168.0.0/16網段及其子網網段。如果您的用戶端網段需要指定為公網網段，您需要將公網網段設定為VPC的使用者網段，以確保VPC可以訪問到該公網網段。關於使用者網段的更多資訊，請參見什麼是使用者網段？和如何配置使用者網段？。 建立SSL服務端後，系統後台會自動將用戶端網段的路由添加在VPC執行個體的路由表中，請勿再手動將用戶端網段的路由添加到VPC執行個體的路由表，否則會導致SSL-VPN串連流量傳輸異常。
   高級配置
   協議	SSL-VPN串連使用的協議。取值： UDP TCP（預設值）
   連接埠	SSL服務端使用的連接埠。連接埠取值範圍：1~65535。預設連接埠：1194。 說明 不支援使用以下連接埠：22、2222、22222、9000、9001、9002、7505、80、443、53、68、123、4510、4560、500、4500。
   密碼編譯演算法	SSL-VPN串連使用的密碼編譯演算法。 如果用戶端使用Tunnelblick軟體或2.4.0及以上版本的OpenVPN軟體，則SSL服務端和用戶端之間動態協商密碼編譯演算法，會優先使用雙方均支援的最高安全層級的密碼編譯演算法。您為SSL服務端指定的密碼編譯演算法不生效。 如果用戶端使用2.4.0之前版本的OpenVPN軟體，則SSL服務端和用戶端將使用您為SSL服務端指定的密碼編譯演算法。SSL服務端支援指定以下密碼編譯演算法： AES-128-CBC（預設值） AES-192-CBC AES-256-CBC none 本參數表示不使用密碼編譯演算法。
   是否壓縮	是否對傳輸資料進行壓縮處理。取值： 是 否（預設值）
   雙因子認證	選擇是否開啟雙因子認證功能。系統預設關閉雙因子認證功能。 如果選擇開啟雙因子認證功能，您還需要選擇應用身份服務IDaaS（Identity as a Service）EIAM執行個體和IDaaS應用ID。開啟雙因子認證功能後，用戶端與VPN網關之間建立SSL-VPN串連時，系統將會對用戶端進行二次認證。第一次為預設的SSL用戶端認證的認證，用戶端通過SSL用戶端認證認證後，系統將使用IDaaS執行個體中的使用者名稱和密碼對用戶端進行第二次認證（不支援通過IDaaS簡訊認證功能對用戶端進行第二次認證），第二次認證通過後才會建立SSL-VPN串連，該功能有效提高了SSL-VPN串連的安全性。相關教程，請參見SSL-VPN雙因子認證。 說明 如果您是首次使用雙因子認證功能，請先完成授權後再開啟雙因子認證功能。 IDaaS EIAM 1.0執行個體不再支援新購。如果您的阿里雲帳號下存在IDaaS EIAM 1.0執行個體，開啟雙因子認證功能後，依舊支援綁定IDaaS EIAM 1.0執行個體。 如果您的阿里雲帳號下不存在IDaaS EIAM 1.0執行個體，開啟雙因子認證功能後，僅支援綁定IDaaS EIAM 2.0執行個體。 在您綁定IDaaS EIAM 2.0執行個體時，可能需要對VPN網關執行個體進行升級。更多資訊，請參見【變更公告】SSL-VPN雙因子認證支援IDaaS EIAM 2.0。

後續步驟

SSL服務端建立完成後，您需要基於SSL服務端建立SSL用戶端認證並安裝在用戶端上，用於對用戶端進行身分識別驗證以及資料加密。具體操作，請參見建立和管理SSL用戶端認證。