日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

創(chuàng)建和管理SSL服務(wù)端

SSL服務(wù)端用于控制客戶端可以訪問哪些網(wǎng)絡(luò)和資源。使用SSL-VPN功能前,您必須先創(chuàng)建SSL服務(wù)端。

前提條件

您已經(jīng)創(chuàng)建了VPN網(wǎng)關(guān)且VPN網(wǎng)關(guān)已開啟SSL-VPN功能。具體操作,請參見創(chuàng)建和管理VPN網(wǎng)關(guān)實例

如果創(chuàng)建VPN網(wǎng)關(guān)時您并未開啟SSL-VPN功能,可在創(chuàng)建VPN網(wǎng)關(guān)后單獨(dú)開啟SSL-VPN功能。具體操作,請參見開啟SSL-VPN功能

創(chuàng)建SSL服務(wù)端

  1. 登錄VPN網(wǎng)關(guān)管理控制臺

  2. 在左側(cè)導(dǎo)航欄,選擇網(wǎng)間互聯(lián) > VPN > SSL服務(wù)端

  3. 在頂部菜單欄,選擇SSL服務(wù)端的地域。

  4. SSL服務(wù)端頁面,單擊創(chuàng)建SSL服務(wù)端

  5. 創(chuàng)建SSL服務(wù)端面板,根據(jù)以下信息配置SSL服務(wù)端,然后單擊確定

    配置

    說明

    名稱

    輸入SSL服務(wù)端的名稱。

    資源組

    選擇VPN網(wǎng)關(guān)所屬的資源組。

    SSL服務(wù)端所屬的資源組與VPN網(wǎng)關(guān)所屬的資源組保持一致。

    VPN網(wǎng)關(guān)

    選擇要關(guān)聯(lián)的VPN網(wǎng)關(guān)。

    確保該VPN網(wǎng)關(guān)已經(jīng)開啟了SSL-VPN功能。

    本端網(wǎng)段

    本端網(wǎng)段是客戶端通過SSL-VPN連接要訪問的地址段。

    本端網(wǎng)段可以是專有網(wǎng)絡(luò)VPC(Virtual Private Cloud)的網(wǎng)段、交換機(jī)的網(wǎng)段、通過物理專線和VPC互連的本地數(shù)據(jù)中心的網(wǎng)段、云服務(wù)(例如對象存儲、云數(shù)據(jù)庫)等的網(wǎng)段。

    單擊+添加本端網(wǎng)段可添加多個本端網(wǎng)段,最多支持添加5個本端網(wǎng)段。 以下網(wǎng)段不支持指定為本端網(wǎng)段:

    • 100.64.0.0~100.127.255.255

    • 127.0.0.0~127.255.255.255

    • 169.254.0.0~169.254.255.255

    • 224.0.0.0~239.255.255.255

    • 255.0.0.0~255.255.255.255

    說明

    本端網(wǎng)段的子網(wǎng)掩碼位數(shù)在8至32位之間。

    客戶端網(wǎng)段

    客戶端網(wǎng)段是給客戶端虛擬網(wǎng)卡分配訪問地址的網(wǎng)段,不是指客戶端已有的內(nèi)網(wǎng)網(wǎng)段。當(dāng)客戶端通過SSL-VPN連接訪問本端時,VPN網(wǎng)關(guān)會從指定的客戶端網(wǎng)段中分配一個IP地址給客戶端使用,客戶端將使用分配的IP地址訪問云上資源。

    在您指定客戶端網(wǎng)段時需保證客戶端網(wǎng)段所包含的IP地址個數(shù)是當(dāng)前VPN網(wǎng)關(guān)SSL連接數(shù)的4倍及以上。

    • 單擊查看原因。

      例如您指定的客戶端網(wǎng)段為192.168.0.0/24,系統(tǒng)在為客戶端分配IP地址時,會先從192.168.0.0/24網(wǎng)段中劃分出一個子網(wǎng)掩碼為30的子網(wǎng)段,例如192.168.0.4/30,然后從192.168.0.4/30中分配一個IP地址供客戶端使用,剩余三個IP地址會被系統(tǒng)占用以保證網(wǎng)絡(luò)通信,此時一個客戶端會耗費(fèi)4個IP地址。因此,為保證您的客戶端均能分配到IP地址,請確保您指定的客戶端網(wǎng)段所包含的IP地址個數(shù)是VPN網(wǎng)關(guān)SSL連接數(shù)的4倍及以上。

    • 單擊查看不支持配置的網(wǎng)段。

      • 100.64.0.0~100.127.255.255

      • 127.0.0.0~127.255.255.255

      • 169.254.0.0~169.254.255.255

      • 224.0.0.0~239.255.255.255

      • 255.0.0.0~255.255.255.255

    • 單擊查看每個SSL連接數(shù)建議的客戶端網(wǎng)段。

      • 若SSL連接數(shù)為5,則客戶端網(wǎng)段的子網(wǎng)掩碼位數(shù)建議小于或等于27。例如:10.0.0.0/27、10.0.0.0/26。

      • 若SSL連接數(shù)為10,則客戶端網(wǎng)段的子網(wǎng)掩碼位數(shù)建議小于或等于26。例如:10.0.0.0/26、10.0.0.0/25。

      • 若SSL連接數(shù)為20,則客戶端網(wǎng)段的子網(wǎng)掩碼位數(shù)建議小于或等于25。例如:10.0.0.0/25、10.0.0.0/24。

      • 若SSL連接數(shù)為50,則客戶端網(wǎng)段的子網(wǎng)掩碼位數(shù)建議小于或等于24。例如:10.0.0.0/24、10.0.0.0/23。

      • 若SSL連接數(shù)為100,則客戶端網(wǎng)段的子網(wǎng)掩碼位數(shù)建議小于或等于23。例如:10.0.0.0/23、10.0.0.0/22。

      • 若SSL連接數(shù)為200,則客戶端網(wǎng)段的子網(wǎng)掩碼位數(shù)建議小于或等于22。例如:10.0.0.0/22、10.0.0.0/21。

      • 若SSL連接數(shù)為500,則客戶端網(wǎng)段的子網(wǎng)掩碼位數(shù)建議小于或等于21。例如:10.0.0.0/21、10.0.0.0/20。

      • 若SSL連接數(shù)為1000,則客戶端網(wǎng)段的子網(wǎng)掩碼位數(shù)建議小于或等于20。例如:10.0.0.0/20、10.0.0.0/19。

    重要
    • 客戶端網(wǎng)段的子網(wǎng)掩碼位數(shù)在16至29位之間。

    • 請確保客戶端網(wǎng)段與本端網(wǎng)段、VPC網(wǎng)段以及與客戶端終端關(guān)聯(lián)的任何路由網(wǎng)段均沒有重疊。

    • 在指定客戶端網(wǎng)段時,建議您使用10.0.0.0/8、172.16.0.0/12和192.168.0.0/16網(wǎng)段及其子網(wǎng)網(wǎng)段。如果您的客戶端網(wǎng)段需要指定為公網(wǎng)網(wǎng)段,您需要將公網(wǎng)網(wǎng)段設(shè)置為VPC的用戶網(wǎng)段,以確保VPC可以訪問到該公網(wǎng)網(wǎng)段。關(guān)于用戶網(wǎng)段的更多信息,請參見什么是用戶網(wǎng)段?如何配置用戶網(wǎng)段?

    • 創(chuàng)建SSL服務(wù)端后,系統(tǒng)后臺會自動將客戶端網(wǎng)段的路由添加在VPC實例的路由表中,請勿再手動將客戶端網(wǎng)段的路由添加到VPC實例的路由表,否則會導(dǎo)致SSL-VPN連接流量傳輸異常。

    高級配置

    協(xié)議

    SSL-VPN連接使用的協(xié)議。取值:

    • UDP

    • TCP(默認(rèn)值)

    端口

    SSL服務(wù)端使用的端口。端口取值范圍:1~65535。默認(rèn)端口:1194

    說明

    不支持使用以下端口:22、2222、22222、9000、9001、9002、7505、80、443、53、68、123、4510、4560、500、4500

    加密算法

    SSL-VPN連接使用的加密算法。

    • 如果客戶端使用Tunnelblick軟件或2.4.0及以上版本的OpenVPN軟件,則SSL服務(wù)端和客戶端之間動態(tài)協(xié)商加密算法,會優(yōu)先使用雙方均支持的最高安全級別的加密算法。您為SSL服務(wù)端指定的加密算法不生效。

    • 如果客戶端使用2.4.0之前版本的OpenVPN軟件,則SSL服務(wù)端和客戶端將使用您為SSL服務(wù)端指定的加密算法。SSL服務(wù)端支持指定以下加密算法:

      • AES-128-CBC(默認(rèn)值)

      • AES-192-CBC

      • AES-256-CBC

      • none

        本參數(shù)表示不使用加密算法。

    是否壓縮

    是否對傳輸數(shù)據(jù)進(jìn)行壓縮處理。取值:

    • (默認(rèn)值)

    雙因子認(rèn)證

    選擇是否開啟雙因子認(rèn)證功能。系統(tǒng)默認(rèn)關(guān)閉雙因子認(rèn)證功能。

    如果選擇開啟雙因子認(rèn)證功能,您還需要選擇應(yīng)用身份服務(wù)IDaaS(Identity as a Service)EIAM實例和IDaaS應(yīng)用ID。開啟雙因子認(rèn)證功能后,客戶端與VPN網(wǎng)關(guān)之間建立SSL-VPN連接時,系統(tǒng)將會對客戶端進(jìn)行二次認(rèn)證。第一次為默認(rèn)的SSL客戶端證書的認(rèn)證,客戶端通過SSL客戶端證書認(rèn)證后,系統(tǒng)將使用IDaaS實例中的用戶名和密碼對客戶端進(jìn)行第二次認(rèn)證(不支持通過IDaaS短信認(rèn)證功能對客戶端進(jìn)行第二次認(rèn)證),第二次認(rèn)證通過后才會建立SSL-VPN連接,該功能有效提高了SSL-VPN連接的安全性。相關(guān)教程,請參見SSL-VPN雙因子認(rèn)證

      說明
      • 如果您是首次使用雙因子認(rèn)證功能,請先完成授權(quán)后再開啟雙因子認(rèn)證功能。

      • 在阿聯(lián)酋(迪拜)地域創(chuàng)建SSL服務(wù)端時,推薦您綁定新加坡地域的IDaaS EIAM 2.0實例,以減少跨地域時延。

      • IDaaS EIAM 1.0實例不再支持新購。如果您的阿里云賬號下存在IDaaS EIAM 1.0實例,開啟雙因子認(rèn)證功能后,依舊支持綁定IDaaS EIAM 1.0實例。

        如果您的阿里云賬號下不存在IDaaS EIAM 1.0實例,開啟雙因子認(rèn)證功能后,僅支持綁定IDaaS EIAM 2.0實例。

      • 在您綁定IDaaS EIAM 2.0實例時,可能需要對VPN網(wǎng)關(guān)實例進(jìn)行升級。更多信息,請參見【變更公告】SSL-VPN雙因子認(rèn)證支持IDaaS EIAM 2.0

后續(xù)步驟

SSL服務(wù)端創(chuàng)建完成后,您需要基于SSL服務(wù)端創(chuàng)建SSL客戶端證書并安裝在客戶端上,用于對客戶端進(jìn)行身份驗證以及數(shù)據(jù)加密。具體操作,請參見創(chuàng)建和管理SSL客戶端證書

修改SSL服務(wù)端

SSL服務(wù)端創(chuàng)建完成后支持修改配置,修改后客戶端可能需要重新下載安裝SSL客戶端證書或重新發(fā)起SSL-VPN連接。

重要
  • 如果您修改了SSL服務(wù)端高級配置協(xié)議是否壓縮雙因子認(rèn)證的配置會使SSL服務(wù)端關(guān)聯(lián)的SSL客戶端證書失效,您需要重新創(chuàng)建SSL客戶端證書,然后在客戶端中安裝新的證書并重新發(fā)起SSL-VPN連接。

  • 如果您修改了SSL服務(wù)端的本端網(wǎng)段客戶端網(wǎng)段,會導(dǎo)致SSL服務(wù)端下的所有SSL-VPN連接斷開,客戶端需重新發(fā)起SSL-VPN連接。

  1. 登錄VPN網(wǎng)關(guān)管理控制臺
  2. 在左側(cè)導(dǎo)航欄,選擇網(wǎng)間互聯(lián) > VPN > SSL服務(wù)端

  3. 在頂部狀態(tài)欄處,選擇SSL服務(wù)端的地域。
  4. SSL服務(wù)端頁面,找到目標(biāo)SSL服務(wù)端,在操作列單擊編輯

  5. 編輯SSL服務(wù)端面板,修改SSL服務(wù)端的名稱、本端網(wǎng)段、客戶端網(wǎng)段或高級配置,然后單擊確定

刪除SSL服務(wù)端

您可以刪除一個不需要的SSL服務(wù)端。刪除SSL服務(wù)端后系統(tǒng)會自動刪除SSL服務(wù)端關(guān)聯(lián)的所有SSL客戶端證書,安裝了這些SSL客戶端證書的客戶端將會自動斷開SSL-VPN連接。

  1. 登錄VPN網(wǎng)關(guān)管理控制臺

  2. 在左側(cè)導(dǎo)航欄,選擇網(wǎng)間互聯(lián) > VPN > SSL服務(wù)端

  3. 在頂部菜單欄,選擇SSL服務(wù)端的地域。
  4. SSL服務(wù)端頁面,找到目標(biāo)SSL服務(wù)端,在操作列單擊刪除

  5. 在彈出的對話框中,確認(rèn)風(fēng)險提示,然后單擊刪除

通過調(diào)用API創(chuàng)建和管理SSL服務(wù)端

支持通過阿里云 SDK(推薦)阿里云 CLITerraform資源編排等工具調(diào)用API創(chuàng)建、查詢、修改、刪除SSL服務(wù)端。相關(guān)API說明,請參見: