背景信息
客户端通过SSL VPN隧道远程接入VPC,实现与VPC内资源的安全通信。
前提条件
- 客户端的地址池和VPC的子网网段没有重合。
- 客户端可以访问互联网。
- 您已经了解VPC中所应用的安全组规则,并确保安全组规则允许客户端访问云上资源。
操作步骤
步骤一:创建VPN网关
- 登录控制中心。
- 单击控制中心左上角的
,选择目标资源池。 - 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在VPN连接页面,单击“创建VPN网关”,进入订购页面,按照提示配置参数。
| 参数 | 说明 | 取样 |
|---|---|---|
| 计费模式 | 选择创建VPN网关所使用的计费模式。 | 包年/包月 |
| 地域 | VPN网关所在的资源池。 | 华东1 |
| 名称 | VPN网关的名称。 | vpngw-1 |
| 网关类型 | 选择VPN网关的类型。 | 普通 |
| 实例类型 | 选择VPN网关的实例类型。 | SSL |
| 企业项目 | 选择当前VPN网关归属项目。 | default |
| 本端类型 | 通过VPN网关接入的资源类型。 | 虚拟私有云VPC |
| 虚拟私有云 | 选择要使用的VPC作为本端资源。 | vpc-682f |
| 子网 | 选择当前VPC中本端的子网资源。 | subnet-12345 |
| SSL带宽 | VPN网关要通过弹性IP访问公网,这里选择对应的弹性IP带宽大小。单位:Mbps,5M 起售。 | 20M |
| SSL并发连接数 | 选择对应的SSL VPN并发连接数。 | 20 |
| 购买时长 | 包年包月场景需要选择,购买VPN网关实例的时长。 | 6个月 |
| 自动续订 | 资源到期后自动续订,按月购买时按月续订,按年购买时按年续订。 | 开启 |
- 单击“下一步”。
- 在购买确认页,勾选服务协议,点击“确认下单”,进入订单列表。
- 在订单页面,点击“立即支付”,支付成功后,VPN网关创建成功。
说明记录VPN网关的IP地址,步骤五配置客户端的时候使用。
步骤二:创建SSL服务端
创建VPN网关后,需要创建相应的SSL服务端,用于提供用户侧连接SSL VPN服务。服务端配置时需要注意,SSL客户侧地址池与VPC的子网网段没有交集,否则无法通信。
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“SSL VPN”,进入SSL VPN列表页面。
- 进入SSL VPN列表页面中,单击“创建SSL服务端”。
- 按照提示配置用户网关参数。
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 名称 | SSL服务端的名称。 | SSL-server1 |
| 区域 | VPN网关所在的资源池。 | 华东1 |
| VPN网关 | 选择需要使用的VPN网关。 | vpn-gateway-a5f1-ssl |
| 虚拟私有云 | 选择要使用的VPC作为本端资源。 | vpc-a7f3 |
| 本端子网 | 选择本端需要连接的子网网段信息(可以复选,最多5个网段)。 | subnet-yl(192.168.0.0/24) |
| 客户端地址池 | 配置客户端地址池范围。 | 10.0.0.0/24 |
| 协议 | SSL VPN使用的协议。 默认:TCP |
TCP |
| 启用UDP | 是否启用UDP协议栈以提升转发效率。 默认:关闭 |
启用 |
| 端口 | SSL VPN使用的端口,端口可配置范围:1024~4499,4501~49151。 默认:1194 |
1194 |
| 加密算法 | SSL VPN使用的加密算法。 默认:AES-256-GCM |
AES-256-GCM |
| 是否压缩 | 是否对传输数据进行压缩处理。 默认:否 |
否 |
| 自定义DNS | SSL VPN需要配置的自定义DNS地址。 | 10.10.1.1 |
| 启用双因子认证 | · 启用双因子认证,客户端登录不仅需要证书,同时需要输入密码。· 取消双因子认证,登录端登录只需要证书,无需密码。 | 开启 |
- 点击“确定”,创建成功。
步骤三:创建SSL客户端
创建SSL客户端时,需要选择绑定的SSL服务端,并指定账号名称。创建完成后,可以在该页面下载SSL证书和密码信息,用于服务端和客户端进行双向认证。
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“SSL VPN”,进入SSL VPN列表页面。
- 进入SSL VPN页面中,单击“SSL 客户端”,进入SSL客户端页面,单击“创建客户端”。
- 按照提示配置用户网关参数,单击“确定”,创建成功。
| 参数 | 说明 | 取值样例 |
|---|---|---|
| SSL服务端 | 与当前创建客户端互联的SSL服务端。 | SSL-server1 |
| 账号名称 | 用于客户端登陆的账号信息。 | sslclient1 |
| 隧道限速 | 限速开关,选择是否对当前客户端的隧道进行限速。 | 关 |
- 在操作列单击“查看账号密码”,记录该密码,客户端登录的时候使用。
步骤四:下载客户端证书
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“SSL VPN”,进入SSL VPN列表页面。
- 进入SSL VPN页面中,单击“SSL 客户端”,进入SSL客户端页面。
- 在SSL客户端页面,找到目标SSL客户端,在操作列单击“更多”,选择“证书下载”,一共三个证书。
步骤五:配置客户端
以Windows客户端为例进行操作说明,按照以下操作,安装并配置Windows客户端。
- 下载客户端,选择“Windows 7及以上版本”,单击“立即下载”,下载客户端软件并安装客户端软件。
- 安装完成,打开CT-CloudConnect客户端软件,单击图中红色标识图标。
- 单击“新增配置”,进入新增配置对话框。
- 输入连接的名称,网关填写步骤一记录的VPN网关IP地址和步骤2配置的端口,这里以121.229.145.113:1194为例,单击“保存”,进入确认信息页面。
- 在确认信息页面,单击“确认信息”。
- 双击图中连接名称,如vpc-2,进入新增配置(高级)页面。
- 在新增配置(高级)页面,导入步骤四下载的三个证书,单击“保存”。
步骤六:测试连通性
登录客户端,访问VPC,测试网络连通性。
按照以下操作,测试Windows客户端与VPC的连通性。
- 单击图中的连接名称,如vpc-2,单击“连接”,进入输入密码对话框。
- 在输入密码对话框,输入步骤记录的密码,单击“OK”
Windows客户端上线成功。
经测试,Windows客户端可以正常连接VPC。
