步骤二：配置服务端

约束与限制

• 只有VPN网关处于“正常”状态时，才能进行服务端配置操作。
• 一个VPN网关仅支持关联一个服务端。

操作步骤

1. 配置服务端。
   1. 单击“终端入云VPN网关”，进入“终端入云VPN网关”页面。
   2. 在“终端入云VPN网关”页面，单击目标VPN网关操作列的“配置服务端”。
   3. 根据界面提示配置参数。
      本示例仅对关键参数进行说明，全量参数请参见配置服务端。

      表1 服务端参数说明

      区域	参数	说明	取值样例
      基本信息	本端网段	客户端需要访问的目标网段。 支持“选择子网”和“输入网段”两种方式。	192.168.1.0/24
      	客户端网段	分配给客户端虚拟网卡地址的网段。	172.16.0.0/16
      认证信息	服务端证书	支持“服务自签名证书”和“选择已有证书”。 上传证书，请参见通过云证书管理服务CCM托管服务端证书	服务自签名证书
      	客户端认证类型	选择“客户端认证类型 > 口令认证（本地）”。 口令认证会自动生成名称/ID为default的访问策略。 自动生成的default访问策略适用于default用户组中的所有用户。如果不需要default访问策略，可以将其删除，自定义创建访问策略。 选择“客户端认证类型 > 证书认证”。 单击“上传CA证书”，以文本编辑器（如Notepad++）打开CA证书PEM格式的文件，将证书内容复制到“上传CA证书”的“内容”文本框内。 单击“确定”后，可以对用户管理和访问策略进行配置。	口令认证（本地）
      高级配置	协议	支持“TCP”。	TCP
      	端口	支持“443”和“1149”。	443
      	加密算法	支持“AES-128-GCM”和“AES-256-GCM”。	AES-128-GCM
      	认证算法	支持“SHA256”和“SHA384”。	SHA256
      	域名访问	是否开启域名访问，默认关闭域名访问。 开启域名访问 配置合法的DNS服务器地址，取值如下： 非0.0.0.0。 非loopback地址，范围是127.0.0.0 ~ 127.255.255.255。 非组播地址，范围是224.0.0.0 ~ 239.255.255.255。 非0开头与0结尾。 输入的DNS地址重复检查。 非255.255.255.255。 关闭域名访问 默认关闭域名访问。	关闭

   4. 单击“确定”。
2. 创建用户。
   1. 在“用户管理 ”的页签中，选择“用户”，单击“创建用户”。
   2. 根据界面提示配置参数。
      本示例仅对关键参数进行说明，其他参数保持默认。

      表2 创建用户参数说明

      参数	说明	参数取值
      名称	格式为英文字母、数字、“.”、“_”或“-”，最多包含64个字符。 说明： 以下名称格式为系统内部预留用户名，请不要使用： L3SW_（前缀） link Cascade SecureNAT localbridge administrator（不区分大小写）	Test_01
      密码	长度范围是8到32个字符。 至少包含以下字符中的2种：大写字母、小写字母、数字、特殊字符`~!@#$%^&*()-_=+\|[{}];:'",<.>/? 和空格。 不能与用户名或倒序的用户名相同。	请根据实际配置
      确认密码	同“密码”设置参数保持一致。	请根据实际配置
      所属用户组	选择所属用户组。	default
      是否指定客户端IP	选择关闭。	关闭

   3. 单击“确定”。