步骤二:配置服务端
前提条件
请确认已通过云证书管理服务托管服务端证书。如何托管服务端证书,请参见使用CCM托管服务端证书。
操作步骤
- 配置服务端。
- 在“终端入云VPN网关”页面,单击目标VPN网关操作列的“配置服务端”。
- 根据界面提示配置参数,单击“确定”。
本示例仅对关键参数进行说明,全量参数请参见配置服务端。
表1 服务端参数说明 区域
参数
说明
取值样例
基本信息
本端网段
客户端需要访问的目标网段。
支持“选择子网”和“输入网段”两种方式。
192.168.1.0/24
客户端网段
分配给客户端虚拟网卡地址的网段。
172.16.0.0/16
认证信息
服务端证书
选择“上传证书”。
上传证书,请参见通过云证书管理服务CCM托管服务端证书。
cert-server
客户端认证类型
- 选择“客户端认证类型 > 口令认证(本地)”。
- 选择“客户端认证类型 > 证书认证”。
单击“上传CA证书”,以文本编辑器(如Notepad++)打开CA证书PEM格式的文件,将证书内容复制到“上传CA证书”的“内容”文本框内。
单击“确定”后,可以对用户管理和访问策略进行配置。
口令认证(本地)
高级配置
协议
支持“TCP”。
TCP
端口
支持“443”和“1149”。
443
加密算法
支持“AES-128-GCM”和“AES-256-GCM”。
AES-128-GCM
认证算法
支持“SHA256”和“SHA384”。
SHA256
域名访问
是否开启域名访问。
- 开启域名访问
- 合法的DNS地址。
- 非0.0.0.0。
- 非loopback地址,范围是127.0.0.0 ~ 127.255.255.255。
- 非组播地址,范围是224.0.0.0 ~ 239.255.255.255。
- 非0开头与0结尾。
- 输入2个不相同的DNS地址。
- 非255.255.255.255。
- 关闭域名访问
默认关闭域名访问。
关闭
- 创建用户组。
- 在“终端入云VPN网关”页面,单击目标VPN网关操作列的“查看服务端”。
- 在“用户管理 ”的页签中,选择“用户组”,单击“创建用户组”。
- 根据界面提示配置参数,单击“确定”。
本示例仅对关键参数进行说明。
表2 创建用户组参数说明 参数
说明
参数取值
名称
输入用户组的名称。
Testgroup_01
- 创建访问策略。
- 在“终端入云VPN网关”页面,单击目标VPN网关操作列的“查看服务端”。
- 在“访问策略 ”页签中,单击“创建策略”。
- 根据界面提示配置参数,单击“确定”。
本示例仅对关键参数进行说明。
表3 创建策略参数说明 参数
说明
参数取值
名称
只能由中文、英文字母、数字、下划线、中划线组成。
Policy_01
目的网段
输入网段,多个以半角逗号隔开,例如:
- 单个目的网段:192.168.1.0/24。
- 多个目的网段:192.168.1.0/24,192.168.2.0/24。
192.168.1.0/24
用户组
选择用户组。
Testgroup_01
- 创建用户。
- 在“终端入云VPN网关”页面,单击目标VPN网关操作列的“查看服务端”。
- 在“用户管理 ”的页签中,选择“用户”,单击“创建用户”。
- 根据界面提示配置参数,单击“确定”。
本示例仅对关键参数进行说明。
表4 创建用户参数说明 参数
说明
参数取值
名称
格式为英文字母、数字、“.”、“_”或“-”,最多包含64个字符。
说明:以下名称格式为系统内部预留用户名,请不要使用:
- L3SW_(前缀)
- link
- Cascade
- SecureNAT
- localbridge
- administrator(不区分大小写)
Test_01
密码
- 长度范围是8到32个字符。
- 至少包含以下字符中的2种:大写字母、小写字母、数字、特殊字符`~!@#$%^&*()-_=+\|[{}];:'",<.>/? 和空格。
- 不能与用户名或倒序的用户名相同。
请根据实际配置
确认密码
同“密码”设置参数保持一致。
请根据实际配置
所属用户组
选择所属用户组。
说明:用户未加入用户组,将不能访问云上资源。
Testgroup_01
