1. SSL-VPN适用场景

SSL-VPN适用于client-to-site的连接，比如说个人电脑通过SSL-VPN连接到云上VPC。注：IPSec-VPN更多的是提供site-to-site的连接，办公室的路由器和云上的VPN网关建IPSEC隧道，只要电脑在办公区，就可以根据路由器上的转发规则（感兴趣流）访问云上VPC。

2. 在百度云上建一个SSL-VPN

2.1 新建VPN网关

百度云控制台VPN操作视图如下

主页面默认是IPSEC-VPN，需要手动切换到SSL VPN网关

点击新建SSL-VPN网关，按照产品指引输入相关参数

参数	解释
所在网络	VPN网关所属VPC
VPN网关名称	自定义名称
SSL连接数	本VPN网关可以支持最大的客户端连接数
VPN公网带宽	VPN网关需要暴露在公网，所以需要绑定一个EIP获取公网能力

点击下一步，提交订单，等待SSL-VPN创建完成。创建完成后，在控制台可以看到，如下图所示

2.2 配置SSL参数

完成SSL-VPN的创建以后，基于此SSL-VPN网关配置SSL-VPN参数

参数	解释
VPN隧道名称	自定义一个名称，该参数不对报文转发产生任何影响
接口类型	TAP是L2VPN，TUN是L3VPN，常规情况下，建议使用L3VPN
VPN服务端网络	指的是通过SSL-VPN要访问的云上的地址，客户端成功连接上VPN以后，客户端会默认生成此处配置的网段，下一跳指向SSL-VPN的虚拟网络接口。
VPN客户端网络	客户端连接SSL-VPN成功以后，会在客户端生成一个虚拟网络接口，并在此接口上配置IP地址，IP地址的分配由SSL-VPN进行，分配该地址基于此处填的网段；服务端SSL-VPN进程准备好后，SSL-VPN中也会创建一个虚拟网络接口，接口上的地址即为该网段的第一个地址。此处能切仅能配置一个网段。
DNS	如果填写该参数，当客户端连上SSL-VPN以后，客户端电脑的nameserver会被修改为此处的地址，非必要不填。

点击确认, 等待配置下发和进程启动

2.3 配置客户端账号

SSL-VPN创建好以后，可以为不同的客户端创建不同的账号，比如说团队一共有5个人要通过SSL-VPN访问云上资源，则可以创建五个账号，每人一个。

、

3. VPC路由配置

做完以上步骤，VPN的操作就完成了，此时还需要配置从云上到SSL-VPN客户端的路由。在配置SSL-VPN参数时，假设传入的VPN客户端网络是172.16.0.0/24，也就是电脑连上SSL-VPN以后，电脑端会创建一个虚拟网络接口，IP地址是172.16.0.xx/24，云上VPC可以使用172.16.0.xx作为目的地址访问电脑。
进入VPC路由表，创建一条路由。

4. 结束语

以上步骤操作完，百度云的配置就结束了，接下来使用客户端操作系统对应的客户端软件，连接SSL-VPN。
软件下载连接如下：
安卓客户端下载链接
windows客户端下载链接
mac客户端下载链接