准备工作阶段，您需要合理规划本地设备和云上各网络实例的网段，避免网段之间产生冲突。本文采用以下网段作为示例，业务中请以实际情况为准。

　　本地IDC网关设备必须支持标准的IKEv1和IKEv2协议，方可与阿里云VPN网关建立连接。关于网关设备是否支持标准的IKEv1和IKEv2协议，请咨询网关设备生产厂商。

　　如果不选择，VPN网关实例创建完成后归属于默认资源组。您可以在资源管理控制台管理VPN网关实例以及其他云产品资源所属的资源组。更多信息，请参见什么是资源管理。

　　使用国密型VPN网关时，国密型VPN网关需要关联SSL证书进行数据加密和身份认证。更多信息，请参见管理SSL证书。

　　如果您需要基于私网建立VPN连接，更推荐您使用私网IPsec连接绑定转发路由器的方式。具体操作，请参见建立多条私有IPsec-VPN连接实现私网流量的负载分担。

　　关于IPsec-VPN连接隧道模式的说明，请参见绑定VPN网关场景双隧道IPsec-VPN连接说明。

　　IPsec-VPN功能开启后，系统会在两个交换机实例下各创建一个弹性网卡ENI（Elastic Network Interfaces），作为使用IPsec-VPN连接与VPC流量互通的接口。每个ENI会占用交换机下的一个IP地址。

　　创建VPN网关实例后，不支持修改VPN网关实例关联的交换机实例，您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机、交换机所属可用区以及交换机下ENI的信息。

　　您需要从VPN网关实例关联的VPC实例下指定两个分布在不同可用区的交换机实例，以实现IPsec-VPN连接可用区级别的容灾。

　　对于仅支持一个可用区的地域 ，不支持可用区级别的容灾，建议您在该可用区下指定两个不同的交换机实例以实现IPsec-VPN连接的高可用，支持选择和第一个相同的交换机实例。

　　华东5（南京-本地地域）、华东6（福州-本地地域）、华中1（武汉-本地地域）、泰国（曼谷）、韩国（首尔）、菲律宾（马尼拉）、阿联酋（迪拜）。

　　VPN网关使用此角色来访问其他云产品中的资源，更多信息，请参见AliyunServiceRoleForVpn。

　　建议您使用自治系统号的私有号码与阿里云建立BGP连接。自治系统号的私有号码范围请自行查阅文档。

　　45104是由全球互联网数字分配机构IANA分配给阿里云计算有限公司的唯一标识符，用于在全球互联网路由选择和数据传输中标识阿里云。

　　您可以在资源管理控制台管理用户网关资源以及其他云产品资源所属的资源组。更多信息，请参见什么是资源管理。

　　支持为用户网关实例添加标签，您可以通过标签对用户网关实例进行标记和分类，便于资源的搜索和聚合。更多信息，请参见什么是标签。

　　选择感兴趣流模式后，您需要配置本端网段和对端网段。IPsec连接配置完成后，系统自动在VPN网关实例的策略路由表中添加策略路由。

　　系统在VPN网关实例的策略路由表中添加策略路由后，路由默认是未发布状态。您可以依据网络互通需求决定是否将路由发布至VPC的路由表中。具体操作，请参见发布策略路由。

　　如果IPsec连接绑定了VPN网关实例，且您选择的VPN网关实例为旧版VPN网关实例，则您无需选择路由模式。

　　若您未指定预共享密钥，系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后，您可以通过编辑按钮查看系统生成的预共享密钥。具体操作，请参见修改IPsec连接。

　　主题信息仅支持输入英文，因此请确保申请对端签名证书时填写的主题信息（例如公司名称、部门、公司所在区域等信息）为英文。

　　通过输入对端CA证书，VPN网关实例可以在建立IPsec-VPN连接时校验对端证书的合法性。

　　如果您已经在本地保存了对端CA证书，您可以单击上传证书，将已经保存的对端CA证书上传至阿里云。

　　如果IPsec连接需要使用BGP路由协议，需要打开BGP功能的开关，系统默认关闭BGP功能。

　　使用BGP动态路由功能前，建议您先了解BGP动态路由功能工作机制和使用限制。更多信息，请参见配置BGP动态路由。

　　输入IPsec连接阿里云侧的自治系统号。默认值：45104。自治系统号取值范围：1~4294967295。

　　建议您使用自治系统号的私有号码与阿里云建立BGP连接。自治系统号的私有号码范围请自行查阅文档。

　　您可以选择以下方案中的一种。方案1与方案2均为配置企业专网地址天行vpn电脑怎么上网，区别在于方案1采用固定地址，对于终端用户而言配置更简单，无需配置自定义地址。

　　阿里云上私网云服务所在网段为100.64.0.0/10，该网段为RFC6598规定的保留网段。为了使无影终端可以正常调用无影云电脑企业版的服务API，需要在VPN中增加本端地址100.64.0.0/10网段，将目的地址隶属于该网段的请求转发至云上的用户VPC。

　　如果您在多地域使用云电脑，可以将100.64.0.0/10大段设置为云服务的网段。如果您需要更明细的网络，可以参考云电脑服务端口要求设置云服务网段，其中私网管控服务对应域名的IP地址即云服务IP地址。

　　如果返回IP地址，则表示可正常解析域名，可以跳过步骤3；如果无法返回IP地址，则需要按照以下步骤配置DNS。

　　要通过企业专网访问云电脑，需要DNS来解析无影云电脑企业版服务位于私网内的API及流网关的域名，对应的DNS地址为：

　　下文以通过Windows客户端V7.7版本连接云电脑为例，验证是否能够通过私网访问云电脑。业务中请根据实际情况选择合适的客户端。

　　在登录界面输入您从云电脑分配通知邮件或短信中收到的登录凭证（包括办公网络ID或组织ID、用户名、密码等），并单击下一步图标。

　　如果出现网络请求超时的相关报错，则说明网络不通，请检查配置是否正确。检查无误后请重新登录客户端并连接云电脑。