sectiondaf0b00e2497606c) SSL VPN的私有账号手机端和PC端能同时在线么？ SSL VPN是怎么管理配置的？ 云主机需绑定公网IP地址，打开电脑浏览器，在地址栏输入 VPN的Web管理控制台页面的，默认管理员账号和密码请咨询厂商（请尽快修改默认密码，使用默认密码可能存在安全风险）。 怎么申请免费试用的SSL VPN序列号？ SSL VPN支持试用。试用需联系区域的客户经理，由客户经理代下单完成试用订购。 SSL VPN常用的端口有哪些？ SSL VPN的Web控制台管理页面的默认端口是TCP4430，此端口可以修改，修改的位置：打开SSL VPN的Web控制台管理页面，在“系统设置 > 系统配置 > 控制台配置”的https端口输入框修改。 SSL VPN客户端接入的默认端口是TCP443，此端口可以修改，修改的位置：打开SSL VPN的Web控制台管理页面，在“系统设置 > SSL VPN选项 > 系统选项 > 接入选项”的https端口输入框修改。 SSL VPN支持哪些客户端操作系统来拨入SSL VPN隧道？ 支持的有： Win7、Win8、Win10 MacOS 10.910.15、MacOS 11.012.0 安卓4.0或以上的版本 苹果iOS9.0或以上的版本 MacOS接入SSL VPN的注意事项？ MacOS用户需要关联L3VPN类型资源，才能正常使用SSL VPN。 是否可以简单执行ping route等网络命令来测试网络连通性？ 可以的，打开SSL VPN的Web控制台管理页面，点击“系统维护 > 命令控制台”，执行相关命令测试即可。

本小节介绍SSL VPN的购买类问题。 SSL VPN搭配使用的弹性IP带宽如何选择？ SSL VPN支持在哪些资源池开通使用？ SSL VPN授权是否绑定资源池？ SSL VPN授权订购时只有固定的5并发、10并发、50并发… 等5个规格，如何能购买其他并发数量的规格？ 购买SSL VPN设备，同时存在SSL并发授权及easyapp并发授权需求，此情况设备要如何选型？ SSL VPN是否支持试用，如何试用？ SSL VPN搭配使用的弹性IP带宽如何选择？ 根据用户访问业务系统的流量进行估算。 SSL VPN支持在哪些资源池开通使用？ 天翼云官网任一节点均可以开通SSL VPN，一类节点和二类节点均可以开通。 SSL VPN授权是否绑定资源池？ SSL VPN授权与资源池无绑定关系。 SSL VPN授权订购时只有固定的5并发、10并发、50并发… 等5个规格，如何能购买其他并发数量的规格？ SSL VPN支持扩容功能，购买SSL VPN实例后支持扩展并发数，详细操作请参见扩展实例并发数。 购买SSL VPN设备，同时存在SSL并发授权及easyapp并发授权需求，此情况设备要如何选型？ 按照SSL并发授权和easyapp并发授权总和并发数进行选型，例如客户有200 SSL并发需求，100 easyapp并发需求，选型时可按照300 SSL并发数量进行SSL VPN设备的选型。

步骤二：创建SSL服务端 创建VPN网关后，需要创建相应的SSL服务端，用于提供用户侧连接SSL VPN服务。服务端配置时需要注意，SSL客户侧地址池与VPC的子网网段没有交集，否则无法通信。 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“SSL VPN”，进入SSL VPN列表页面。 5. 进入SSL VPN列表页面中，单击“创建SSL服务端”。 6. 按照提示配置SSL服务端参数。 参数 说明 取值样例 名称 SSL服务端的名称。 SSLserver1 区域 VPN网关所在的资源池。 华东1 VPN网关 选择需要使用的VPN网关。 vpngatewaya5f1ssl 虚拟私有云 选择要使用的VPC作为本端资源。 vpca7f3 本端子网 选择本端需要连接的子网网段信息（可以复选，最多5个网段）。 subnetyl(192.168.0.0/24) 客户端地址池 配置客户端地址池范围。 10.0.0.0/24 协议 SSL VPN使用的协议。 默认：TCP TCP 启用UDP 是否启用UDP协议栈以提升转发效率。 默认：关闭 启用 端口 SSL VPN使用的端口，端口可配置范围：1024～4499，4501~49151。 默认：1194 1194 加密算法 SSL VPN使用的加密算法。 默认：AES256GCM AES256GCM 是否压缩 是否对传输数据进行压缩处理。 默认：否 否 自定义DNS SSL VPN需要配置的自定义DNS地址。 10.10.1.1 启用双因子认证 · 启用双因子认证，客户端登录不仅需要证书，同时需要输入密码。· 取消双因子认证，登录端登录只需要证书，无需密码。 开启 7. 点击“确定”，创建成功。

本文介绍SSL VPN相关术语。 SSL VPN SSL（Secure Sockets Layer，安全套接层）及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。 SSL VPN是一种远程安全接入技术，因为采用SSL协议而得名。因为Web浏览器都内嵌支持SSL协议，使得SSL VPN可以做到“无客户端”部署，从而使得远程安全接入的使用非常简单，而且整个系统更加易于维护。SSL VPN一般采用插件系统来支持各种TCP和UDP的非Web应用，使得SSL VPN真正称得上是一种VPN，并相对IPSec VPN更符合应用安全的需求，成为远程安全接入主要手段和选择。

本节介绍如何续订SSL VPN实例。 到期说明 SSL VPN授权到期会导致部分功能不可使用，运行状态和系统设置模块可使用，其余模块界面均不可见，授权到期一个月后所有功能将无法使用，建议在授权到期前及时续费，及时更新续订授权。 续订说明 SSL VPN支持续订，续订时规格与购买时一致内容包含规格续订，续订时间与订购计费模式一致，以包年/包月（预付费）方式进行，最小续订时长为1个月。 支持以下两种续费方式： 续订SSL VPN及对应云主机：同时续订SSL VPN服务及其云主机。选择该项，无需再手动单独续订承载SSL VPN服务的云主机。 续订SSL VPN：仅续订SSL VPN服务本身。若已单独续订承载SSL VPN服务的云主机，则可以选择仅续订SSL VPN服务。 注意 请确保续订后承载SSL VPN服务的云主机到期时间大于SSL VPN服务到期时间，否则会导致SSL VPN服务不可用。 续订步骤 1. 使用天翼云账号登录SSL VPN管理控制台。 2. 在SSL VPN实例列表页面，找到需要续订的实例，单击操作列的“续订”，根据需要选择“续订SSL VPN及对应云主机”或“续订SSL VPN”。 3. 选择“续订时长”，点击“确认”提交，支付后等待订单完成即可。 续订SSL VPN及对应云主机： 续订SSL VPN：

本文为您介绍如何创建SSL服务端。 创建VPN网关后，需要创建相应的SSL服务端，用于用户侧连接SSL VPN服务。服务端配置时需要注意，SSL客户侧地址池与VPC的子网网段没有重合，否则无法通信。 前提条件 您已经创建了VPN网关并开启了SSL VPN，请参见创建和管理IPsec连接。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“SSL VPN”，进入SSL VPN列表页面。 5. 进入SSL VPN列表页面中，单击“创建SSL服务端”。 6. 按照提示配置SSL服务端参数。 参数 说明 取值样例 名称 SSL服务端的名称。 SSLserver1 区域 VPN网关所在的资源池。 华东1 VPN网关 选择需要使用的VPN网关。 vpngatewaya5f1ssl 虚拟私有云 选择要使用的VPC作为本端资源。 vpca7f3 本端子网 选择本端需要连接的子网网段信息（可以复选，最多5个网段）。 subnetyl(192.168.0.0/24) 客户端地址池 配置客户端地址池范围。 10.0.0.0/24 协议 SSL VPN使用的协议。 默认：TCP TCP 启用UDP 是否启用UDP协议栈以提升转发效率。 默认：关闭 启用 端口 SSL VPN使用的端口，端口可配置范围：1024～4499，4501~49151。 默认：1194 1194 加密算法 SSL VPN使用的加密算法。 默认：AES256GCM AES256GCM 是否压缩 是否对传输数据进行压缩处理。 默认：否（暂仅支持未压缩模式） 否 自定义DNS SSL VPN需要配置的自定义DNS地址。 10.10.1.1 启用双因子认证 · 启用双因子认证，客户端登录不仅需要证书，同时需要输入密码。· 取消双因子认证，登录端登录只需要证书，无需密码。 开启 7. 单击“确定”，创建成功。修改SSL服务端

本小节介绍SSL VPN的客户端登录。 1. 登录SSL VPN的Web管理页面 > SSL VPN 选项 > 系统选项 > 接入选项”的“用户访问入口”修改SSL客户端接入端口，将443改成4433或其他端口，配置完成后点击“保存”和“立即生效”，使配置生效。 2. 安全组放开修改后的SSL VPN客户端接入端口。 注意 若SSL VPN绑定的公网IP备案过，则无需修改SSL VPN客户端接入端口。 客户端拨入SSL VPN隧道的默认端口是TCP443，打开方式是电脑打开浏览器，地址栏输入 VPN管理页面上修改SSL客户端接入端口，将443改成4433或其他端口，然后在天翼云的SSL VPN云主机安全组里面放通相应的SSL客户端端口（比如改成了TCP4433端口，那客户端接入SSL VPN隧道是打开

步骤二：创建SSL服务端 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“SSL VPN”，进入SSL VPN服务端列表页面。 5. 在SSL服务端页面，单击“创建SSL服务端”。 6. 按照提示配置SSL服务端参数。单击“确定”，创建成功。 参数 说明 取值样例 名称 SSL服务端的名称。 sslserver1 区域 VPN网关所在的资源池。 华东1 VPN网关 选择需要使用的VPN网关。 vpngateway1ssl 虚拟私有云 选择要使用的VPC作为本端资源。 vpc1 本端子网 选择本端需要连接的子网网段信息（可以复选，最多5个网段）。 subnet682f(192.168.1.0/24) 客户端地址池 配置客户端地址池范围。 10.0.0.0/24 协议 SSL VPN使用的协议。 默认：TCP TCP 端口 SSL VPN使用的端口，端口可配置范围：1024～49151。 默认：1194 1194 加密算法 SSL VPN使用的加密算法。 默认：AES256GCM AES256GCM 是否压缩 是否对传输数据进行压缩处理。 默认：否 否 自定义DNS SSL VPN需要配置的自定义DNS地址。 取消 启用双因子认证 启用双因子认证，客户端登录不仅需要证书，同时需要输入密码。 取消双因子认证，登录端登录只需要证书，无需密码。 开启

步骤二：创建SSL服务端 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“SSL VPN”，进入SSL VPN服务端列表页面。 5. 在SSL服务端页面，单击“创建SSL服务端”。 6. 按照提示配置SSL服务端参数。单击“确定”，创建成功。 参数 说明 取值样例 名称 SSL服务端的名称。 sslserver1 区域 VPN网关所在的资源池。 华东1 VPN网关 选择需要使用的VPN网关。 vpngateway1ssl 虚拟私有云 选择要使用的VPC作为本端资源。 vpc1 本端子网 选择本端需要连接的子网网段信息（可以复选，最多5个网段）。 subnet682f(192.168.1.0/24) 客户端地址池 配置客户端地址池范围。 10.0.0.0/24 协议 SSL VPN使用的协议。 默认：TCP TCP 端口 SSL VPN使用的端口，端口可配置范围：1024～49151。 默认：1194 1194 加密算法 SSL VPN使用的加密算法。 默认：AES256GCM AES256GCM 是否压缩 是否对传输数据进行压缩处理。 默认：否 否 自定义DNS SSL VPN需要配置的自定义DNS地址。 取消 启用双因子认证 启用双因子认证，客户端登录不仅需要证书，同时需要输入密码。 取消双因子认证，登录端登录只需要证书，无需密码。 开启

本小节介绍SSL VPN相关产品和使用限制。 相关产品 云主机 天翼云SSL VPN产品是以软件镜像形式交付，需要云主机来承载。购买SSL VPN平台会默认匹配合适的云主机，用户无需再单独购买云主机。 弹性IP SSL VPN云主机需要绑定公网IP地址，并且SSL VPN云主机要可以实时联网，否则无法正常使用SSL VPN授权ID、序列号和SSL VPN的功能。 带宽大小需根据用户实际业务量评估。 使用限制 截止标准版本7.6.9R1，vSSL VPN暂不支持国密算法。 天翼云SSL VPN产品是以软件镜像形式交付，需单独订购对应规格云主机，云主机计费模式请参照云主机计费说明。 SSL VPN云主机需要绑定公网IP地址，并且授权服务器可以与SSL VPN进行通信，否则无法正常使用SSL VPN 授权ID、序列号和SSL VPN的功能。 SSL VPN需要与发布的云服务器网络可达。 SSL VPN后台权限不对用户开放，用户管理只需登录SSL VPN的Web管理页面进行操作即可。 SSL VPN不支持 如下系统接入： Window server操作系统 ARM架构的Linux 客户端 CentOS系统 Debian系统 Openwrt系统 Fedora Workstation系统 Unix系统 RedHat系统

参数 说明 取值样例 名称 SSL服务端的名称。 sslserver1 区域 VPN网关所在的资源池。 华东1 VPN网关 选择需要使用的VPN网关。 vpngateway1ssl 虚拟私有云 选择要使用的VPC作为本端资源。 vpc1 本端子网 选择本端需要连接的子网网段信息（可以复选，最多5个网段）。 subnet682f(192.168.1.0/24) 客户端地址池 配置客户端地址池范围。 10.0.0.0/24 协议 SSL VPN使用的协议。 默认：TCP TCP 端口 SSL VPN使用的端口，端口可配置范围：1024～49151。 默认：1194 1194 加密算法 SSL VPN使用的加密算法。 默认：AES256GCM AES256GCM 是否压缩 是否对传输数据进行压缩处理。 默认：否 否 自定义DNS SSL VPN需要配置的自定义DNS地址。 取消 启用双因子认证 启用双因子认证，客户端登录不仅需要证书，同时需要输入密码。 取消双因子认证，登录端登录只需要证书，无需密码。 开启

本小节介绍SSL VPN的计费模式。 SSL VPN 产品支持包年/包月（预付费）计费方式。 订购SSL VPN平台会自动匹配合适的云主机，并帮助用户合并下单，无需用户单独购买云主机，云主机和SSL VPN会同步计费，具体费用请以购买页面为准。 SSL VPN云主机需要绑定公网IP地址，并且SSL VPN云主机要可以实时联网，否则无法正常使用SSL VPN授权ID、序列号和SSL VPN的功能，若订购弹性IP，其带宽大小需根据用户实际业务量评估。 说明 本产品一经提供服务不支持退订。 计费项 SSL VPN服务根据用户所选产品规格以及使用时长进行收费，资费标准价格（该费用仅为软件授权费用）如下： 产品规格（SSL并发数） 产品定价（元/月） 产品定价（元/年） 活动价（元/月） 5并发 125 1425 75 10并发 250 2700 150 50并发 1250 9750 750 200并发 5000 30000 3000 500并发 12500 60000 7500 注意 活动价是产品定价的6折，具体以各版本的订购页面和控制台展示为准。 SSL VPN授权用于计算EasyConnect（SSL VPN客户端）、浏览器接入SSL VPN的并发用户数。 SSL VPN会根据用户选择的SSL VPN并发数及用户所属资源池云主机资源情况自动为用户匹配云主机规格，当最低要求规格不满足时，会选择满足当前并发数的其他规格云主机，具体云主机报价请以购买页面为准，各并发推荐的云主机规格如下： SSL并发数 最低推荐云主机规格 5并发 1c2g 10并发及以上并发 2c4g 有特殊要求的资源池 4c8g及以上 注意 云主机资源选择无明确类型要求，系统会根据资源池云主机剩余情况选择该资源池支持的云主机类型，通用型、增强型、计算型等云主机类型都在选择范围内。 SSL VPN云主机资源无特殊要求，默认选择40G系统盘配置。

本文介绍SSL VPN连接相关问题。 如何理解SSL VPN连接中的本端子网和客户端地址池？ SSL VPN是一种通过SSL协议实现远程访问内部网络的方式。 在建立SSL VPN服务端时，本端子网是指企业内部的网络，而客户端地址池则是用于分配给客户端虚拟网卡的IP地址集合。 从天翼云的角度来看，本端子网一般指VPC网络，VPC是Virtual Private Cloud的缩写，它指用户在云平台上虚拟化的私有网络。而客户端地址池是用于分配给客户端虚拟网卡的IP地址集合。当用户通过SSL VPN连接到企业内网时，客户端虚拟网卡会获得一个属于该地址池的IP地址，以便可以在企业内部网络中访问相应的资源。通过正确配置本端子网和客户端地址池，可以确保SSL VPN连接的稳定性和安全性。 客户端连接失败怎么办？ 产生当前问题的可能原因及解决方案如下表。 分类 原因 解决方案 配置错误 SSL客户端配置错误。 请排查客户端VPN软件的配置是否与服务端配置一致。 SSL客户端证书到期 SSL客户端证书过期或无效。 1. 请排查SSL客户端证书的有效性。SSL客户端证书默认有效期为10年。2. 请删除现有的SSL客户端证书及所有配置，然后重新创建、下载、安装SSL客户端证书。开启和关闭双因子认证功能、修改SSL服务端的配置，均需要重新下载、安装SSL客户端证书。 客户端连接数超限 当前SSL服务端下的客户端连接数超限。 在VPN网关实例下查看已连接的客户端数量，确认在线客户端数量是否超限。 IP地址问题 VPC下的IP地址与客户端的IP地址冲突。 请根据实际情况，修改SSL服务端的本端网段（VPC或云间高速的网段）或者客户端网段以确保两侧IP地址不冲突。 IP地址问题 SSL服务端的客户端网段配置的太小，导致客户端无法被分配IP地址。 请确保您指定的客户端网段所包含的IP地址数量大于SSL VPN客户端数量。 VPN软件问题 客户端VPN软件冲突。 1.如果您的客户端上安装了多个VPN客户端软件，建议仅使用一个VPN客户端软件建立SSL VPN连接。

本地站点通过IPsec VPN接入VPC的前提条件是什么？ 本地站点的网关设备必须至少支持IKEv1和IKEv2协议中的一种。 本地站点的网关设备必须配置静态公网IP地址。 本地站点和VPC之间需要互通的网段没有重叠。 跨地域VPC是否可以通过VPN网关互通？ 主备模式资源池：同地域不同VPC可以通过VPN网关互通。 集群模式资源池：同地域不同VPC不可以通过VPN网关互通。 VPC之间的互通流量是否经过互联网？ 在使用VPN网关实现VPC与VPC互通的场景下： 如果两个VPC位于不同的地域，则流量会经过互联网。 如果两个VPC位于相同的地域，则流量不会经过互联网。 是否可以升级或降低VPN网关的配置？ 目前仅支持升级VPN网关的配置，暂不支持降级。 如果您需要立即升级VPN网关的带宽规格，请参见创建和管理VPN网关实例。 如果您需要立即升级VPN网关的SSL连接数规格，请参见修改SSL并发连接数。 如果您需要开启VPN网关的IPsec VPN功能或SSL VPN功能，请参见开启IPsec VPN和SSL VPN。 VPN网关支持查看SSL VPN连接下客户端的连接信息吗？ 支持。客户端建立SSL VPN连接后，您可以在SSL客户端页面查看已连接的客户端信息。 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在网络产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“SSL VPN”，进入SSL VPN列表页面。 5. 在SSL VPN页面，单击“SSL客户端”。 6. 在SSL客户端页面，找到目标SSL客户端，可以查看SSL客户端的连接信息。

本文为您介绍如何快速创建SSL VPN连接。 前提条件 客户端可以访问互联网。 客户端的私网网段和VPC的私网网段没有重合，否则无法访问VPC内的网络资源。 您已了解VPC中所应用的安全组规则，并确保安全组规则允许客户端访问云上资源。 使用流程 1. 创建VPN网关。 创建VPN网关并开启SSL VPN功能。 2. 创建SSL服务端。 创建相应的SSL服务端，用于接入用户侧连接SSL VPN服务。 3. 创建SSL客户端。 在控制台创建SSL客户端，用于生成客户端连接SSL VPN服务端的配置。 4. 下载客户端证书。 在控制台下载客户端证书，一共三个证书。 5. 配置客户端。 下载客户端软件，安装并配置客户端。详情请参见SSL VPN（Windows客户端双因子认证）、SSL VPN（Android客户端双因子认证）、SSL VPN（macOS客户端双因子认证）步骤五操作。 6. 测试连通性。 登录客户端，访问VPC，测试网络连通性。

本小节介绍SSL VPN的计费类问题。 SSL VPN订购页面选择的并发连接数是什么？ 订购页面选择的并发连接数是SSL VPN并发连接授权数量，用于计算EasyConnect（SSL VPN客户端）、浏览器接入SSL VPN的并发用户数。 SSL VPN订购后是否会包含云主机？ 包含，订购SSL VPN会自动匹配合适的云主机，无需用户再单独购买。

本小节介绍云防火墙（原生版）SSL VPN远程拨入最佳实践。 背景信息 用户存在远程拨入运维请求，但未购买天翼云平台SSL VPN服务，可使用云防火墙（原生版）N100型实例的SSL VPN服务，该服务需单独配置。 前期准备 提供使用SSL VPN人员数量及人员账户信息。 配置流程说明 序号 子流程 配置内容 1 梳理VPN用户及登录密码 梳理内部登录权限 2 创建VPN地址池 【网络】→【VPN】→【SSL VPN】→新建 3 创建用户 【对象】→【用户】→【本地用户】→新建 4 创建隧道接口 【网络】→【接口】→【新建】，编辑安全域及对应地址和链接隧道 5 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置 【策略】→【安全策略】→【新建】。 配置内容 配置VPN地址池 打开【网络→VPN→SSL VPN】，单击“新建”，进入SSL VPN配置页面。 配置名称/接入用户： 配置“接入接口/隧道接口”： 新增地址池：新建基本配置起始IP、终止IP、掩码、DNS1。 注意 该地址池是用户拨入VPN后，用户可获取的VPN地址，必须与隧道接口中的地址在同网段，且不能覆盖。 隧道路由配置：

本小节介绍SSL VPN的登录与授权。 登录WebUI配置界面 SSL VPN由云主机承载，如需正常被外网访问，需在安全组下放行SSL VPN管理访问端口。SSL VPN管理端口是4430，具体配置还请根据业务需求做端口放行，不建议开启any。 打开浏览器，地址栏输入 4430，输入管理员用户名密码后进行登录。初始管理员用户名密码请提交工单咨询。 授权激活 登录Web管理页面激活序列号，地址栏输入 VPN的Web管理页面，点击菜单栏“系统设置 > 系统配置 > 授权信息”页面，点击“在线授权”填写所购买的授权ID和序列号，点击“确认”，然后SSL VPN功能即可使用。 注意 更新vSSL VPN序列号会自动重启VPN所有服务，SSL VPN管理页面会自动登出，等待30秒后，刷新页面重新登录即可。

本节介绍如何购买SSL VPN实例。 购买SSL VPN时系统会自动匹配合适的云主机，无需用户再单独购买云主机，云主机和SSL VPN会同步计费。 SSL VPN支持包年/包月订购，最小服务时长为1个月。 操作步骤 1. 使用天翼云账号登录SSL VPN管理控制台。 2. 单击“立即购买”进入订购页面。 3. 按需选择并发连接数量、弹性IP、订购时长。 4. 点击“立即购买”，确认订单并支付后等待订单完成即可。

事件名称 资源类型 创建SSL服务端 SSL VPN 删除SSL服务端 SSL VPN 创建SSL客户端 SSL VPN 删除SSL客户端 SSL VPN 创建IPsec连接 IPsec VPN 删除IPsec连接 IPsec VPN

本小节介绍SSL VPN的订购前须知，包括确认使用需求和产品规格以及SSL VPN支持的客户端操作系统。 确认使用需求和产品规格 请综合未来业务发展情况合理评估需要订购的规格。 订购SSL VPN系统会自动匹配合适的云主机，无需用户单独下单，云主机和SSL VPN会同步计费。 SSL VPN支持的客户端操作系统 支持Win7、Win8、Win10操作系统，不支持Window server操作系统接入。 支持苹果Mac系统（包括支持最新的mac10.12和mac10.13系统）。 支持安卓和苹果iOS的手机平板。

更新授权及申请测试 申请测试 1. 登录之后，点击下图中的“申请试用”选项，会显示申请免费测试VPN序列号的申请页面。 2. 在申请页面填写有效手机号码等必填的相关信息，填写后点击“提交申请”。 3. 大约20分钟左右手机短信会收到一个月的免费测试VPN序列号，然后点击“在线授权”选项，复制填写授权 ID 和序列号即可。 更新授权 如果当前的免费测试VPN序列号测试完了，要购买正式SSL序列号。 更换SSL序列号时，点击“更换序列号”填写正式的授权ID和序列号即可。 说明 更新VPN序列号会自动重启SSL VPN服务，也就是当前已连接的SSL客户端会中断一下，如果当前SSL业务不能中断，可选择其他空闲时间再更新。 修改客户端接入端口 客户端拨入SSL VPN隧道的默认端口是TCP443，打开方式是电脑打开浏览器，地址栏输入 VPN后请在SSL VPN的Web控制台管理页面对端口进行修改。 具体操作步骤如下： 1. 登录SSL VPN的Web控制台管理页面 2. 选择“系统设置 > SSL VPN选项 > 系统选项 > 接入选项”，在“用户访问入口”修改SSL VPN客户端接入端口。将443改成4433或其他端口，保存并立即生效。 3. 然后在天翼云的SSL VPN云主机安全组中放通相应的SSL VPN客户端端口（比如改成了TCP4433端口，那客户端接入SSL VPN隧道是打开

本文为您介绍如何快速创建SSL VPN连接。 前提条件 客户端可以访问互联网。 客户端的私网网段和VPC的私网网段没有重合，否则无法访问VPC内的网络资源。 您已了解VPC中所应用的安全组规则，并确保安全组规则允许客户端访问云上资源。 使用流程 1. 创建VPN网关。 创建VPN网关并开启SSL VPN功能。 2. 创建SSL服务端。 创建相应的SSL服务端，用于接入用户侧连接SSL VPN服务。 3. 创建SSL客户端。 在控制台创建SSL客户端，用于生成客户端连接SSL VPN服务端的配置。 4. 下载客户端证书。 在控制台下载客户端证书，一共三个证书。 5. 配置客户端。 下载客户端软件，安装并配置客户端。 6. 测试连通性。 登录客户端，访问VPC，测试网络连通性。

您可以查看SSL客户端连接的日志信息,通过日志信息排查SSL VPN连接的故障。 创建SSL客户端后，您可以查看SSL客户端连接的日志信息，通过日志信息排查SSL VPN连接的故障。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“SSL VPN”，进入SSL VPN页面。 5. 单击“SSL客户端”，进入“SSL客户端”页签。 6. 在SSL客户端页面，在操作列单击“更多”，选择“查看连接日志”打开SSL客户端连接日志页面。 7. 在SSL客户端连接日志页面，可以查询14日之内的VPN网关SSL连接日志，日志查询周期为10分钟。如需修改查询时间范围，请修改开始时间，结束时间与开始时间间隔固定为10分钟。支持一键将查询到的日志信息复制到粘贴板。 说明 功能暂以白名单形式开放，如有功能需要，请提供资源池及账号信息于工单，由产品经理打开功能开关。

您可以在创建VPN网关时直接开启IPsec VPN和SSL VPN功能,也可以在创建VPN网关后根据需要再开启IPsec VPN或SSL VPN功能。 开启IPsec VPN功能 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在网络产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN网关页面，找到目标VPN网关实例，在功能配置列单击IPsec后的“开启”。 5. 在配置页面，选择“IPsec带宽”、“IPsec连接数”、“购买时长”，单击“下一步”。 6. 在购买确认页，勾选服务协议，单击“确认下单”，进入订单列表。 7. 在订单页面，单击“立即支付”，支付成功后，IPsec VPN功能开启成功。 开启SSL VPN功能 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在网络产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN网关页面，找到目标VPN网关实例，在功能配置列单击SSL后的“开启”。 5. 在配置页面，选择“SSL带宽”、“SSL并发连接数”、“购买时长”，单击“下一步”。 6. 在购买确认页，勾选服务协议，单击“确认下单”，进入订单列表。 7. 在订单页面，单击“立即支付”，支付成功后，SSL VPN功能开启成功。

本小节介绍SSL VPN的Windows安装客户端操作方法。 下载并安装Windows客户端 1. Windows电脑首次接入SSL VPN隧道时，在客户端电脑上打开浏览器，地址栏输入SSL VPN客户端接入地址 VPN云主机的公网IP，默认的端口是443，如果修改了默认端口，例如TCP443端口改为了4433端口，则接入地址是 2. 打开SSL VPN接入地址后会显示VPN客户端软件EasyConnect的下载，点击“下载”安装运行，如下图所示。 接入SSL VPN 1. 双击客户端图标。 2. 服务器地址输入vSSL的接入地址（以下截图中的IP为示例地址），然后点击右侧“连接”按钮。 3. 如下图中，输入SSL VPN客户端的用户名和密码信息，然后点击“登录”就可以接入SSL VPN隧道了。 4. 接入后，在电脑右下角就可以看到EasyConnect的图标，显示已连接的状态。右击图标点击“显示资源”可以看到自己的SSL用户可以访问到的资源权限。然后客户端电脑上输入天翼云业务服务器的内网私有IP地址访问即可。

本文为您介绍如何创建SSL客户端。 创建SSL客户端时，需要选择绑定的SSL服务端，并指定账号名称。创建完成后，可以在该页面下载SSL证书，如果启用双因子认证，还需要查看并在客户端配置密码，用于服务端和客户端进行双向认证。 前提条件 您已经创建了VPN网关并开启了SSL VPN，请参见创建和管理IPsec连接。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在网络产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“SSL VPN”，进入SSL VPN列表页面。 5. 进入SSL VPN页面中，单击“SSL 客户端”，进入SSL客户端页面，单击“创建客户端”。 6. 按照提示配置用户网关参数，单击“确定”，创建成功。 参数 说明 取值样例 SSL服务端 与当前创建客户端互联的SSL服务端。 SSLserver1 账号名称 用于客户端登陆的账号信息。 sslclient1 隧道限速 限速开关，选择是否对当前客户端的隧道进行限速。 关 7. 在操作列单击“查看账号密码”，记录该密码，客户端登录的时候使用。

SSL VPN是否支持HTTP2.0？ 目前HTTP2.0对SSL来说只影响Web资源，TCP和L3VPN资源只要服务端支持即可，目前HTTP2.0还没有大规模应用，在大规模应用之前Web资源也会支持。 使用SSL VPN能够避免哪些攻击？哪些是HTTPS解决不了的？ SSL VPN： 能降低用户身份仿冒攻击，在业务系统本身的认证之外增加了认证环境，且VPN的认证具备密码策略管理，可以强制密码复杂度、试错次数、防爆破、防自动化脚本攻击等。 增加了端点安全策略，能降低黑客通过合法客户端作为跳板进行攻击。 传输上支持更为安全的国家商用密码算法（硬件加密卡）。 对外只开放VPN服务端口，不开放业务服务器端口，避免了对服务器的入侵攻击，黑客如果要入侵系统，只能够先攻击VPN，控制VPN的前提下，才有可能对业务系统攻击。 HTTPS+认证： 只是业务系统本身传输的加密和认证，对攻击者来说，直接攻击的还是服务器本身（可以对服务器账号密码进行爆破、撞库、SSL中间人攻击等）。 不具备端点安全能力，如果合法用户的电脑已经被控制，很容易在使用业务系统的时候被进行跳板攻击。 服务器端口直接暴露在互联网，黑客可以对服务器进行各种攻击探测。 VPN设备本身的安全性： 设备每一个版本在生产销售过程中都经过各种检测，并有国家权威机构的检测证明。 设备本身作为一个安全产品，产品业务逻辑相比业务系统本身更安全，安全成熟度高。 SSL VPN在大量金融、公检法单位使用，这些单位安全要求很高，VPN每年都会多次经历安全检查。

本小节介绍SSL VPN的产品定义。 SSL VPN是一款基于SSL VPN技术的网络连接服务，通过加密通道的方式，帮助用户在任何时间、任何地点、使用任何主流终端，安全、快速地接入业务系统，能够更好地满足整个组织业务系统的安全发布及接入访问需求。

本小节介绍SSL VPN的订购操作方法。 购买SSL VPN时系统会自动匹配合适的云主机，无需用户再单独购买云主机，云主机和SSL VPN会同步计费。 SSL VPN支持包年/包月订购，最小服务时长为1个月。 操作步骤 1. 使用天翼云账号登录SSL VPN管理控制台。 2. 单击“立即购买”进入订购页面。 3. 按需选择并发连接数量、弹性IP、订购时长。 4. 点击“立即购买”，确认订单并支付后等待订单完成即可。

本小节介绍SSL VPN的产品优势。 更兼容 兼容市场主流PC操作系统接入。 兼容IE、Firefox、Opera、Chrome等多种浏览器。 适合主流移动终端设备，提供更佳用户体验。 更简洁 轻量级SSL VPN登录插件。 用户登录操作简单。 SSL VPN运维效率提升。 更快速 多重传输加速机制。 用户访问体验保障。 带宽成本降低。

相关术语解释 VPN网关 VPN网关是VPN连接的接入点。一个VPN网关仅能绑定一个VPC，每个VPN网关可以创建多个VPN连接。每个VPN网关默认分配了一个公网IP地址，可以满足用户本地数据中心侧VPN设备或移动终端接入VPC的业务需求。 用户网关 用户企业侧的VPN网关，与VPC侧VPN网关互为本端、远端。用户侧数据中心VPN网关需具备固定公网IP，动态拨号公网IP无法进行IPsec VPN对接。如果用户侧公网IP进行了变更，则需要尽快在天翼云上进行同步修改。否则，会导致IPsec VPN协商失败，流量转发不通。 IPsec连接 IPsec连接是一种基于IP协议的加密技术，用于构建VPN网关和用户本地数据中心远端网关之间的安全、可靠的加密通道。VPN连接使用IKE（Internet Key Exchange，网络密钥交换协议）和IPsec协议对传输数据进行加密，保证数据安全可靠，并且IPsec VPN连接基于互联网进行传输，更加节约成本。 SSL 服务端 SSL 服务端是SSL VPN连接的客户端网关，主要实现数据包的封装与解封装。需要在 VPN 网关中进行 SSL 服务端的相关配置，如配置本端子网、客户端地址池、传输协议及端口等。 SSL 客户端 SSL VPN客户端是一种安全访问虚拟专用网络（VPN）的客户端应用程序，它使用安全套接层（SSL）协议来建立加密的远程连接，以确保数据在客户端和VPN服务器之间的传输安全。