用于管理VPN接入账号信息，设置允许接入VPN的用户账号、密码、设置账号使用的配置模板、是否启用硬件捆绑鉴权、隧道内NAT、多线路选路策略等用户策略。如下图所示。

分组的新建

1. 点击[全部]后的“符号”可以新增分组，填写相应的名称，点击<确定>，完成分组的配置，如下图。

2. 配置新增的分组展示如下。

接入账号的新增

1. 在接入账号列表中点击<新增>，可以新增VPN接入账号，可依次设置[接入账号的名称]、[描述]、 [所在分组]等信息，如下图所示。

各配置项说明：

• [选择配置模板]：可查看模板设置，也可新增配置模板，以便修改其中的内容，模板中可配置模板名称、加密算法、是否启用多用户登录、用户的内网服务设置、组播服务、Sangfor VPN隧道超时时间等配置。

  通用模板设置如下图所示。

新增配置模板如下图所示。

• [认证方式]：选择用户的认证方式，包括密码认证、证书认证两种方式。选择密码认证则需要输入用户密码；若选择证书认证，则需要选择上传的证书。

• [高级配置]：包括用户过期时间、硬件证书捆绑鉴定、隧道内NAT、多线路选路策略、接入地址设置等配置。

• [高级配置/多线路选路策略]：当智能选路不匹配时走多线路选路策略，根据实际情况选择建立VPN连接的两端线路数，然后选择主线路组和备线路组，如下图。

•  [高级配置/接入地址]：主要用于SASE全球骨干网加速场景下，可以灵活建立基于互联网和骨干网的Sangfor VPN隧道。格式要求为：线路编号:IP地址，线路编号从【VPN线路配置】页面获取，比如：WAN1对应的线路编号1，期望WAN1的VPN线路使用公网IP（1.1.1）建立Sangfor VPN，此时就填写为：1:1.1.1.1。仅VPN总部类型的设备才需要做此配置。

2. 配置完成之后，点击<确定>完成用户相关的配置。

配置模板管理

管理员在[接入账号管理/更多操作]页面，点击<配置模板管理>，可以对当前的模板进行新增、编辑、复制、删除的操作。

1. 点击<新增>，可对配置模板中加密算法、内网服务设置、组播服务等进行配置。

• [加密算法]：支持DES、3DES、AES、AES192、AES256、SANGFOR_DES，以及国密算法SM1和SM4，但仅国密设备支持SM1算法。

• [多用户登录]：是否启用多用户登录设置

• [内网服务设置]：支持对ALL Services、ALL ICMP Services、ALL UDP Services、ALL TCP Services的内网服务设置相应动作，含允许和拒绝；以及服务不在列表中时采用的默认动作。

• [组播服务]：开启组播后，需要添加对应的组播服务，含默认和自定义，自定义的组播服务在[高级配置/组播服务管理]中自定义添加，然后在此选择即可。

• [Sangfor VPN隧道超时时间]：设置隧道的超时时间，用于隧道存活探测，超时时间内没有收到对端的确认包就认为对端失效，从而释放原有的连接。

2. 配置完成点击<提交>，即可保存在配置模板列表中。

虚拟IP池设置

为避免本地子网IP与分支IP冲突，可预留空闲网段作为分支的IP地址转换。配置如下：

1. 点击<虚拟IP池设置>，创建分支虚拟IP池，分支虚拟IP池中的虚拟IP段提供给分支接入到总部时将分支的原网段替换成虚拟IP池中的一个网段，以解决当两个相同网段的分支同时接入到总部时的内网IP冲突问题。设置时设定虚拟IP的起始IP/子网掩码、网段数、描述，页面如下。

2. 点击<提交>，即可完成虚拟IP池的配置。

账号的导入和导出

接入账号列表中，可以对接入账号进行删除、启用、禁用、导入、导出、移至其他分组等操作，页面如下图。

• 点击<导入>，可以从CSV/TXT文件中导入用户信息，导入后有相应的提示，如下图。

• 点击<导出>，可以从设备上将用户导出到本地进行保存，当前仅支持密文形式导出，页面如下。

：

导入：仅允许导入csv和txt格式的文件，导入的csv格式的模板文件，可通过账号导出功能获取，然后修改或新增后导入即可。

导出：当前不支持导出证书认证用户。