本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Client VPN 端点
所有 AWS Client VPN 会话都与 Client VPN 端点建立通信。可以通过管理 Client VPN 端点创建、修改、查看和删除与该端点进行的 Client VPN 会话。可以使用 Amazon VPC 控制台或 AWS CLI 创建和修改端点。
## 创建 Client VPN 端点的要求
**重要**
必须在配置预期目标网络的同一 AWS 账户中创建 Client VPN 端点。您还需要生成服务器证书,并根据需要生成客户端证书。有关更多信息,请参阅 [中的客户端身份验证 AWS Client VPN](client-authentication.md)。
在您开始之前,请确保您已执行以下操作:
+ 查看 [使用规则和最佳实践 AWS Client VPN](what-is-best-practices.md)中的规则和限制。
+ 生成服务器证书,并(如果需要)获取客户端证书。有关更多信息,请参阅 [中的客户端身份验证 AWS Client VPN](client-authentication.md)。
## IP 地址类型
AWS Client VPN 支持 IPv4端点连接和 IPv6流量路由的仅限、仅限和双栈配置。以下指南可帮助您根据客户端设备功能、网络基础设施和应用程序要求选择适当的 IP 地址类型。
### 端点地址类型
端点地址类型决定了 Client VPN 端点支持哪些 IP 协议进行客户端连接。此设置在端点创建后无法更改。
** IPv4仅在以下情况下选择-**
+ 您的客户端设备仅支持 IPv4 VPN 连接
+ 您的安全工具已针对 IPv4 交通检查进行了优化
** IPv6仅在以下情况下选择-**
+ 所有客户端设备都完全支持 IPv6 连接
+ 您所在的网络 IPv4 地址已耗尽
**在以下情况下选择双堆栈:**
+ 您有多种具有不同 IP 功能的客户端设备
+ 你正在逐渐从过渡到 IPv4 IPv6
### 流量 IP 地址类型
流量 IP 地址类型控制 Client VPN 如何在客户端和您的 VPC 资源之间路由流量,这与端点支持的协议无关。
**按以下时间对流量 IPv4 进行路由:**
+ 仅支持您的 VPC 中的目标应用程序 IPv4
+ 你有复杂 IPv4 的安全组和网络 ACLs
+ 您正在连接到遗留系统
**按以下时间对流量 IPv6 进行路由:**
+ 您的 VPC 基础设施主要是 IPv6
+ 您希望让自己的网络架构适应未来需求
+ 你有专为之构建的现代应用程序 IPv6
## 端点修改
**注意**
使用快速入门设置创建的 Client VPN 端点可以使用与使用标准设置创建的端点相同的步骤进行修改。无论在创建过程中使用何种设置方法,所有配置选项都可用。
创建完 Client VPN 后,您可以修改以下任意设置:
+ 描述
+ 服务器证书
+ 客户端连接日志记录选项
+ 客户端连接处理程序选项
+ DNS 服务器
+ 拆分隧道选项
+ 路由(在使用拆分隧道选项时)
+ 证书撤销列表(CRL)
+ 授权规则
+ VPC 和安全组关联
+ VPN 端口号
+ 自助服务门户选项
+ 最长 VPN 会话持续时间
+ 启用或禁用会话超时时自动重新连接
+ 启用或禁用客户端登录横幅文本
+ 客户端登录横幅文本
**注意**
对客户端 VPN 端点的修改(包括证书吊销列表 (CRL, Certificate Revocation List) 更改)将在客户端 VPN 服务接受请求后最多 4 小时生效。
创建 IPv4 Client VPN 端点后,您无法修改客户端 CIDR 范围、身份验证选项、客户端证书或传输协议。
当您修改 Client VPN 端点上的以下任何参数时,连接将重置:
+ 服务器证书
+ DNS 服务器
+ 拆分隧道选项(打开或关闭支持)
+ 路由(当您使用拆分隧道选项时)
+ 证书撤销列表(CRL)
+ 授权规则
+ VPN 端口号
**Topics**
+ [创建 Client VPN 端点的要求](#cvpn-working-create-req)
+ [IP 地址类型](#cvpn-ip-address-types)
+ [端点修改](#cvpn-endpoints-modify-req)
+ [创建 端点](cvpn-working-endpoint-create.md)
+ [查看端点](cvpn-working-endpoint-view.md)
+ [修改端点](cvpn-working-endpoint-modify.md)
+ [删除端点。](cvpn-working-endpoint-delete.md)
# 创建AWS Client VPN终端节点
创建AWS Client VPN终端节点,使您的客户端能够使用 Amazon VPC 控制台或使用 Amazon VPC 控制台建立 VPN 会话AWS CLI。Client VPN 在初始创建时支持终端节点类型(分隧道和全隧道)与流量类型(IPv4 IPv6、和双堆栈)的所有组合。
在创建端点之前,请先熟悉各项要求。有关更多信息,请参阅 [创建 Client VPN 端点的要求](cvpn-working-endpoints.md#cvpn-working-create-req)。
**使用控制台创建 Client VPN 端点**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Client VPN Endpoints**(Client VPN 端点),然后选择 **Create Client VPN Endpoint**(创建 Client VPN 端点)。
1. 在 “选择安装方法” 下,选择以下选项之一:
+ 快速入门-使用 AWS 推荐的默认值创建终端节点
+ 标准-手动配置终端的所有设置
**快速入门设置:**
1. 在 “选择设置方法” 中,选择 “快速入门”。
1. 在 “客户端 IPv4 CIDR” 中,输入要从中分配客户端 IP 地址的 IP 地址范围。AWS 建议使用 /22 CIDR 块(例如 10.0.0.0/22)。
1. 对于 “VPC”,选择要与 Client VPN 终端节点关联的 VPC。
1. 在 “子网” 中,选择 VPC 中的一个或多个子网。这些子网将用于目标网络关联。
1. 对于 Server certificate ARN(服务器证书 ARN),请指定服务器要使用的 TLS 证书的 ARN。客户端使用服务器证书对它们正在连接的 Client VPN 终端节点进行身份验证。
1. 选择 “创建 Client VPN 端点”。
AWS 会自动创建以下资源:
+ 允许所有用户访问 VPC CIDR 的授权规则
+ 目标网络与所选 VPC 子网的关联
+ VPC CIDR 的路由表条目
创建终端节点后,您可以从终端节点详细信息页面下载客户端配置文件,并将其与客户端证书和密钥一起分发给您的用户。
**标准设置:**
1. 在 “选择设置方法” 中,选择 “标准”。
1. (可选)提供 Client VPN 终端节点的名称标签和描述。
1. 对于**端点 IP 地址类型**,选择端点的 IP 地址类型:
+ **IPv4**:终端使用外部 VPN 隧道流量 IPv4 的地址。
+ **IPv6**:终端使用外部 VPN 隧道流量 IPv6 的地址。
+ **双栈**:端点同时使用 IPv4 和 IPv6 地址来处理外部 VPN 隧道流量。
1. 对于**流量 IP 地址类型**,选择流经端点的流量的 IP 地址类型:
+ **IPv4**:端点仅支持 IPv4 流量。
+ **IPv6**:端点仅支持 IPv6 流量。
+ **双栈**:端点同时支持 IPv4 和 IPv6 流量。
1. 对于**客户端 IPv4 CIDR**,以 CIDR 表示法指定一个 IP 地址范围,从中分配客户端 IP 地址。例如 `10.0.0.0/22`。如果您为流量 IP 地址类型选择了 IPv4 或双堆栈,则这是必需的。
**注意**
此地址范围不能与目标网络地址范围、VPC 地址范围或将与 Client VPN 端点关联的任何路由重叠。客户端地址范围必须至少为 /22 且不大于 /12 CIDR 块大小。创建 Client VPN 终端节点后,您无法更改客户端地址范围。
当您选择 IPv6 作为终端节点 IP 地址类型时,“客户端 IPv4 CIDR” 字段将被禁用。Client VPN 终端节点从关联的子网分配客户机 IPv6地址,您可以在创建终端节点后关联子网。
**注意**
对于 IPv6 流量,您无需指定客户端 CIDR 范围。Amazon 会自动为客户分配 IPv6 CIDR 范围。
1. 对于 **Server certificate ARN**(服务器证书 ARN),请指定服务器要使用的 TLS 证书的 ARN。客户端使用服务器证书对它们正在连接的 Client VPN 终端节点进行身份验证。
**注意**
服务器证书必须存在于您正在创建 Client VPN 端点的区域的AWS Certificate Manager(ACM) 中。可以使用 ACM 预置证书,也可以导入到 ACM 中。
有关在 ACM 中预置或导入证书的步骤,请参阅《AWS Certificate Manager用户指南》**中的 [AWS Certificate Manager证书](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)。
1. 指定当客户端建立 VPN 连接时要用来对客户端进行身份验证的身份验证方法。您必须选择身份验证方法。
+ 要使用基于用户的身份验证,请选择 **Use user-based authentication**(使用基于用户的身份验证),然后选择以下选项之一:
+ **Active Directory authentication**(Active Directory 身份验证):为 Active Directory 身份验证选择此选项。对于 **Directory ID**(目录 ID),指定要使用的 Active Directory 的 ID。
+ **Federated authentication**(联合身份验证):为基于 SAML 的联合身份验证选择此选项。
对于 **SAML provider ARN**(SAML 提供商 ARN),指定 IAM SAML 身份提供商的 ARN。
(可选)对于 **Self-service SAML provider ARN**(自助服务 SAML 提供商 ARN),指定您为[支持自助服务门户](federated-authentication.md#saml-self-service-support)而创建的 IAM SAML 身份提供商的 ARN(如果适用)。
+ 要使用相互证书身份验证,请选择 “**使用相互身份验证**”,然后在 “**客户端证书 ARN**” 中,指定在 (ACM) 中配置的客户证书的 ARN。AWS Certificate Manager
**注意**
如果服务器证书和客户端证书是由相同证书颁发机构 (CA) 颁发,则您可以将服务器证书 ARN 用于服务器和客户端。如果客户端证书是由其他 CA 颁发,则应指定客户端证书 ARN。
1. (可选)对于**连接日志**,请指定是否使用 Amazon Log CloudWatch s 记录有关客户端连接的数据。开启 **Enable log details on client connections**(在客户端连接上启用日志详细信息)。在**CloudWatch 日志日志组名称**中,输入要使用的日志组的名称。在**CloudWatch 日志日志流名称**中,输入要使用的日志流的名称,或者将此选项留空以让我们为您创建日志流。
1. (可选)对于 **Client Connect Handler**(客户端连接处理程序),开启 **Enable client connect handler**(启用客户端连接处理程序),以运行允许或拒绝与 Client VPN 端点的新连接的自定义代码。对于 **Client Connect Handler ARN**(客户端连接处理程序 ARN),指定包含允许或拒绝连接的逻辑的 Lambda 函数的 Amazon 资源名称(ARN)。
1. (可选)指定用于 DNS 解析的 DNS 服务器。要使用自定义 DNS 服务器,请为 **DNS 服务器 1 的 IP 地址**和 **DNS 服务器 2 的 IP IPv4 地址**指定要使用的 DNS 服务器的地址。对于 IPv6 双栈终端节点,您还可以指定 **DNS 服务器 IPv6 1** 和 **DNS 服务器 IPv6 2** 地址。要使用 VPC DNS 服务器,对于 **DNS Server 1 IP address**(DNS 服务器 1 IP 地址)或 **DNS Server 2 IP address**(DNS 服务器 2 IP 地址),指定 IP 地址,并添加 VPC DNS 服务器 IP 地址。
**注意**
验证客户端是否能访问 DNS 服务器。
1. (可选)原定设置情况下,Client VPN 端点使用 `UDP` 传输协议。若要改用 `TCP` 传输协议,对于 **Transport Protocol**(传输协议),选择 **TCP**。
**注意**
UDP 通常能比 TCP 提供更好的性能。创建 Client VPN 端点后,无法更改传输协议。
1. (可选)要使端点成为拆分隧道 Client VPN 端点,请开启 **Enable split-tunnel**(启用拆分隧道)。默认情况下,Client VPN 端点会禁用拆分隧道功能。
1. (可选)对于 **VPC ID**,请选择要与 Client VPN 端点关联的 VPC。对于**安全组 IDs**,选择一个或多个 VPC 的安全组以应用于 Client VPN 终端节点。
1. (可选)对于 **VPN port**(VPN 端口),选择 VPN 端口号。默认值为 443。
1. (可选)要为客户端生成 [self-service portal URL](cvpn-self-service-portal.md)(自助服务门户 URL),请开启 **Enable self-service portal**(启用自助服务门户)。
1. (可选)对于 **Session timeout hours**(会话超时时间),请从可用的选项中选择所需的最长 VPN 会话持续时间(以小时为单位),也可保留 24 小时的原定设置。
1. (可选)对于**会话超时时断开连接**,请选择是否要在达到最长会话时间时终止会话。选择此选项要求用户在会话超时时手动重新连接到端点;否则,Client VPN 将自动尝试重新连接。
1. (可选)指定是否启用客户端登录横幅文本。开启 **Enable client login banner**(启用客户端登录横幅)。对于 **Client login banner text**(客户端登录横幅文本),输入 VPN 会话建立时将在 AWS 提供的客户端上显示的横幅文本。仅支持 UTF-8 编码字符。最多可使用 1400 个字符。
1. 选择 **Create Client VPN Endpoint**(创建 Client VPN 终端节点)。
创建 Client VPN 端点后,请执行以下操作以完成配置并使客户端能够连接:
+ Client VPN 端点的初始状态为 `pending-associate`。仅当您关联第一个[目标网络](cvpn-working-target-associate.md)后,客户端才能连接到 Client VPN 端点。
+ 创建[授权规则](cvpn-working-rules.md),以指定哪些客户端具有网络访问权限。
+ 下载并准备要分发给客户端的 Client VPN 端点[配置文件](cvpn-working-endpoint-export.md)。
+ 指示您的客户使用AWS提供的客户端或其他基于 OpenVPN 的客户端应用程序连接到 Client VPN 端点。有关更多信息,请参阅 [AWS Client VPN《用户指南》](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/)。
**使用创建 Client VPN 终端节点AWS CLI**
使用 [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html) 命令。
创建终 IPv4 端节点的示例:
```
aws ec2 create-client-vpn-endpoint \
--client-cidr-block "172.31.0.0/16" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
创建终 IPv6 端节点的示例:
```
aws ec2 create-client-vpn-endpoint \
--endpoint-ip-address-type "ipv6" \
--traffic-ip-address-type "ipv6" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
创建双堆栈端点的示例:
```
aws ec2 create-client-vpn-endpoint \
--endpoint-ip-address-type "dual-stack" \
--traffic-ip-address-type "dual-stack" \
--client-cidr-block "172.31.0.0/16" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
# 查看 AWS Client VPN 端点
可以使用 Amazon VPC 控制台或 AWS CLI 查看有关 Client VPN 端点的信息。
**查看 Client VPN 端点(控制台)**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Client VPN Endpoints**(Client VPN 终端节点)。
1. 选择要查看的 Client VPN 端点。
1. 使用 **Details**(详细信息)、**Target network associations**(目标网络关联)、**Security groups**(安全组)、**Authorization rules**(授权规则)、**Route table**(路由表)、**Connections**(连接)和 **Tags**(标签)选项卡以查看有关现有 Client VPN 端点的信息。
还可以使用筛选条件来帮助优化搜索。
**查看 Client VPN 端点(AWS CLI)**
使用 [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) 命令。
# 修改 AWS Client VPN 端点
可以使用 Amazon VPC 控制台或 AWS CLI 修改 Client VPN 端点。有关可以修改的 Client VPN 字段的更多信息,请参阅[端点修改](cvpn-working-endpoints.md#cvpn-endpoints-modify-req)。
## 限制
以下是修改端点时具有的限制
+ 对客户端 VPN 端点的修改(包括证书吊销列表 (CRL, Certificate Revocation List) 更改)将在客户端 VPN 服务接受请求后最多 4 小时生效。
+ 在创建客户端 VPN 端点后,您无法修改客户端 IPv4 CIDR 范围、身份验证选项、客户端证书或传输协议。
+ 对于端点 IP 和流量 IP 类型,您可以将现有 IPv4 端点修改为双堆栈。如果端点 IP 和流量 IP 只需要使用 IPv6,则您必须创建一个新的端点。
+ 创建后,Client VPN 不支持修改端点类型(IPv4、IPv6、双堆栈)或流量类型(IPv4、IPv6、双堆栈)。
+ 不支持使用端点类型和流量类型的特定组合修改 Client VPN。您无法更改为任何其他组合。必须删除端点,然后使用所需的配置重新创建。
+ 不支持 IPv6 流量的客户端到客户端通信。
## 修改 Client VPN 终端节点
您可以使用控制台或 AWS CLI 修改 Client VPN 端点。
**使用控制台修改 Client VPN 端点**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Client VPN Endpoints**(Client VPN 终端节点)。
1. 选择要修改的 Client VPN 端点,选择 **Actions**(操作),然后选择 **Modify Client VPN endpoint**(修改 Client VPN 端点)。
1. 对于 **Description**(描述),输入 Client VPN 端点的简短描述。
1. 对于**端点 IP 地址类型**,您可以将现有 IPv4 端点修改为双堆栈。此选项仅适用于 IPv4 端点。
1. 对于**流量 IP 地址类型**,您可以将现有 IPv4 端点修改为双堆栈。此选项仅适用于 IPv4 端点。
1. 对于 **Server certificate ARN**(服务器证书 ARN),请指定服务器要使用的 TLS 证书的 ARN。客户端使用服务器证书对它们正在连接的 Client VPN 终端节点进行身份验证。
**注意**
服务器证书必须存在于您在其中创建 Client VPN 端点的区域中的 AWS Certificate Manager(ACM)中。可以使用 ACM 预置证书,也可以导入到 ACM 中。
1. 指定是否要使用 Amazon CloudWatch Logs 记录有关客户端连接的数据。对于 **Enable log details on client connections**(在客户端连接上启用日志详细信息),执行以下操作之一:
+ 要激活客户端连接日志记录,请开启 **Enable log details on client connections**(在客户端连接上启用日志详细信息)。对于 **CloudWatch Logs log group name**(CloudWatch Logs 日志组名称),选择要使用的日志组的名称。对于 **CloudWatch Logs log stream name**(CloudWatch Logs 日志流名称),选择要使用的日志流的名称,或者将此选项留空以便我们为您创建日志流。
+ 要停用客户端连接日志记录,请关闭 **Enable log details on client connections**(在客户端连接上启用日志详细信息)。
1. 对于 **Client connect handler**(客户端连接处理程序),要激活 [client connect handler](connection-authorization.md)(客户端连接处理程序),请开启 **Enable client connect handler**(启用客户端连接处理程序)。对于 **Client Connect Handler ARN**(客户端连接处理程序 ARN),指定包含允许或拒绝连接的逻辑的 Lambda 函数的 Amazon 资源名称 (ARN)。
1. 打开或关闭 **Enable DNS servers**(启用 DNS 服务器)。要使用自定义 DNS 服务器,对于 **DNS 服务器 1 IP 地址**和 **DNS 服务器 2 IP 地址**,指定要使用的 DNS 服务器的 IPv4 地址。对于 IPv6 或双堆栈端点,您还可以指定 **DNS 服务器 IPv6 1** 和 **DNS 服务器 IPv6 2** 地址。要使用 VPC DNS 服务器,对于 **DNS Server 1 IP address**(DNS 服务器 1 IP 地址)或 **DNS Server 2 IP address**(DNS 服务器 2 IP 地址),指定 IP 地址,并添加 VPC DNS 服务器 IP 地址。
**注意**
验证客户端是否能访问 DNS 服务器。
1. 打开或关闭 **Enable split-tunnel**(启用拆分隧道)。原定设置情况下,拆分隧道在 VPN 端点上处于关闭状态。
1. 对于 **VPC ID**,请选择要与 Client VPN 端点关联的 VPC。对于 **Security Group IDs**(安全组 ID),请选择要应用于 Client VPN 终端节点的 VPC 的一个或多个安全组。
1. 对于 **VPN port**(VPN 端口),选择 VPN 端口号。默认值为 443。
1. 要为客户端生成 [self-service portal URL](cvpn-self-service-portal.md)(自助服务门户 URL),请开启 **Enable self-service portal**(启用自助服务门户)。
1. 对于 **Session timeout hours**(会话超时时间),请从可用的选项中选择所需的最长 VPN 会话持续时间(以小时为单位),也可保留 24 小时的原定设置。
1. 对于**会话超时时断开连接**,请选择是否要在达到最长会话时间时终止会话。选择此选项要求用户在会话超时时手动重新连接到端点;否则,Client VPN 将自动尝试重新连接。
1. 开启或关闭 **Enable client login banner**(启用客户端登录横幅)。如果要使用客户端登录横幅,请输入 VPN 会话建立时将在 AWS 提供的客户端上显示的横幅文本。仅支持 UTF-8 编码字符。最多可使用 1400 个字符。
1. 选择 **Modify Client VPN endpoint**(修改 Client VPN 终端节点)。
**使用 AWS CLI 修改 Client VPN 端点**
使用 [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 命令。
将 IPv4 端点修改为双堆栈的示例:
```
aws ec2 modify-client-vpn-endpoint \
--client-vpn-endpoint-id cvpn-endpoint-123456789123abcde \
--endpoint-ip-address-type "dual-stack" \
--traffic-ip-address-type "dual-stack" \
--client-cidr-block "172.31.0.0/16"
```
# 删除 AWS Client VPN 端点。
您需要取消关联所有目标网络,然后才能删除 Client VPN 端点。在删除 Client VPN 端点时,其状态将更改为 `deleting`,客户端不再能够连接到它。
可以使用控制台或 AWS CLI 删除 Client VPN 端点。
**删除 Client VPN 端点(控制台)**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Client VPN Endpoints**(Client VPN 终端节点)。
1. 选择要删除的 Client VPN 端点。依次选择 **Actions**(操作)和 **Delete Client VPN endpoint**(删除 Client VPN 端点)。
1. 在确认窗口中输入 *delete*(删除),然后选择 **Delete**(删除)。
**删除 Client VPN 端点(AWS CLI)**
使用 [delete-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-endpoint.html) 命令。