SSL VPN网关
更新时间:2023-09-11
SSL VPN网关(Secure Session Layer安全会话层)是一种安全加密的网络连接产品,方便用户通过客户端加载证书的方式访问部署在百度智能云VPC中的应用及服务。
对比IPsec VPN配置相对简单及适用场景更多,如多个用户终端对云上的一个SSL VPN服务端进行访问,适用于出差、移动办公等场景下多人访问部署在百度智能云的ERP、OA、CRM等公司内部系统及云上应用服务。
说明:
- 百度智能云SSL VPN网关仅提供访问VPC中部署的应用及服务,不提供访问互联网的功能。
- SSL VPN网关分普通型和增强型,两款均支持SSL 连接数范围为5-1000。 推荐:SSL连接数200以上,建议使用SSL VPN网关增强型。
- UDP端口1194不允许限制。
- SSL VPN网关不支持NAT,请用户合理规划网段,避免IP地址冲突。
- SSL VPN服务端的客户端网络不支持网段新增,建议:VPN客户端网段配置IP个数至少是SSL连接数的4倍。
配额:
- 1个SSL VPN网关只能创建1个SSL VPN服务端
- 1个SSL VPN服务端用户最大可创建50个用户,如果您需要创建更多用户,可以提交工单申请。
基本概念
| 配置项 | 说明 |
|---|---|
| SSL VPN网关规格 | 普通型及增强型,最大转发带宽分别为200Mbps、1000Mbps |
| SSL连接数 | 支持5-1000个 |
| SSL VPN服务端网络 | 即云上VPC的网段,并支持用户自定义,可以添加多个网段 |
| SSL VPN客户端网络 | 即VPN服务端给客户端分配连接服务端虚拟网卡的网段,非客户端本地原有网段 |
| 用户管理 | 管理员可通过用户管理创建账号,分配给用户 |
| 证书下载 | 用户需要复制证书内容,并保存为证书格式导入终端的配置文件 |
| 客户端软件下载 | 用户可在控制台上根据终端类型下载安卓Android、微软Windows、苹果MACOS |
| DNS | 客户端的DNS地址,非必填 |
| 协议 | SSL连接使用的协议 |
| 端口 | SSL连接使用的端口 |
| 加密算法 | SSL连接使用的加密算法,目前仅支持AES-256 |
操作流程
SSL VPN网关 实例可以在控制台实现全自助配置,您需要完成以下几步才能实现使 VPN 连接生效:
创建SSL VPN网关
在私有网络VPC控制台左侧导航栏选择“网络连接->VPN网关”,选择“SSL VPN网关”页,点击“+创建SSL VPN网关”。
创建SSL VPN服务端
点击SSL VPN网关实例ID前面的折叠按钮,进入“+创建SSL VPN服务端”。
用户管理配置
点击SSL VPN服务端--操作--“用户管理”,跳转到SSL VPN服务端的“用户管理”配置界面,用户管理员可在此界面创建、修改、删除SSL VPN客户端的用户名、密码等信息。
证书下载
- 用户点击SSL VPN服务端列表页,此时出现“证书下载”,用户点击证书管理,并保存到本地,文件为xxx.ovpn.
- ovpn的文件导入到用户客户端的配置文件,然后输入服务端分配的用户名及密码,进行连接。
客户端软件下载
用户根据终端系统类型,可下载安卓Android、微软Windows、苹果MACOS 。
配置云端路由表
- 导航栏选择“路由表”,点击路由表名称进入详情页,点击“添加路由”。
- 输入与访问用户侧网络所关联的路由表。
- 源网段
- 输入目标网段
- 路由类型,选择“VPN网关”
- 下一跳实例,选择已创建并可用的 VPN 网关
- 点击“确定”,完成路由表配置。
测试可用性
以Windows系统电脑为客户端测试
- 测试参数如下
| 配置项 | 说明 |
|---|---|
| VPN服务端网络 | 192.168.1.0/24 |
| VPN客户端网络 | 172.16.200.0/24 |
| VPC中云服务器IP | 192.168.1.4/24 |
| SSL VPN客户端IP | 172.16.200.2/24 |
- 用户电脑生成TAP口,虚拟网卡.
- 从本地电脑ping VPC中云主机IP:
