本文匯總了VPN網關產品常見問題。
常見問題快捷鏈接
產品咨詢
IPsec-VPN功能
SSL-VPN功能
是否可以通過VPN網關訪問互聯網?
不可以。
VPN網關僅提供私網接入VPC的功能,不提供訪問互聯網的功能。
本地站點通過IPsec-VPN接入VPC的前提條件是什么?
本地站點的網關設備必須支持IKEv1和IKEv2協議。
IPsec-VPN支持IKEv1和IKEv2協議,支持這兩種協議的設備均可以和阿里云VPN網關互連。如何選擇IKE版本,請參見配置IPsec-VPN連接時,如何選擇IKE版本?。
本地站點的網關設備必須配置靜態公網IP地址。
本地站點和VPC之間需要互通的網段沒有重疊。
關于本地站點如何通過IPsec-VPN連接至VPC,請參見建立VPC到本地數據中心的連接(雙隧道模式)。
哪些本地網關設備可以與阿里云VPN網關建立連接?
阿里云VPN網關支持標準的IKEv1和IKEv2協議。因此,只要支持這兩種協議的設備都可以和阿里云VPN網關互連。例如華三、華為、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等。具體操作,請參見本地網關配置。
跨地域VPC是否可以通過VPN網關互通?
可以。
具體操作,請參見建立VPC到VPC的IPsec-VPN連接(雙隧道模式)。
如果您在跨地域的VPC之間建立IPsec-VPN連接,IPsec-VPN連接的網絡質量會受公網質量的影響,推薦您使用云企業網在跨地域VPC之間建立連接。具體操作,請參見使用云企業網實現跨地域跨賬號VPC互通(企業版)。
VPC之間的互通流量是否經過互聯網?
在使用VPN網關實現VPC與VPC互通的場景下:
如果兩個VPC位于相同的地域,則流量僅經過阿里云網絡,不會經過互聯網。
如果兩個VPC位于不同的地域,則流量會經過互聯網。
IPsec服務端和SSL服務端的區別是什么?
對比項 | IPsec服務端 | SSL服務端 |
使用場景 | 提供端到站點的連接。 | 提供端到站點的連接。 |
客戶端模式 | 僅支持iOS系統的手機端建立和阿里云的VPN連接。 | 支持Android系統的手機、電腦等終端建立和阿里云的VPN連接。 |
客戶端連接模式 | iOS系統的手機端通過自帶的VPN應用和阿里云建立VPN連接。 | Android系統的手機、電腦等終端通過OpenVPN軟件和阿里云建立VPN連接。 |
加密方式 | IPsec協議 | SSL證書 |
是否支持在一個IPsec連接中配置多個對端網段?
支持。
在為IPsec連接配置多個對端網段前,請先了解多網段配置建議。更多信息,請參見多網段場景配置建議。
每個VPN網關可以建立多少個IPsec連接?
每個VPN網關默認支持創建10個IPsec連接,您可以在阿里云控制臺自助調整使用限制。具體操作,請參見管理VPN網關配額。
VPN網關中如何為網絡ACL配置規則?
VPN網關類型 | 配置規則 |
IPsec-VPN | 在網絡ACL的出方向和入方向分別配置規則允許以下網段及IP地址通過,以便VPN網關可以正常建立IPsec-VPN連接:
|
SSL-VPN | 在網絡ACL的出方向和入方向分別配置規則允許以下網段及IP地址通過并放開SSL-VPN的端口,以便VPN網關可以正常建立SSL-VPN連接:
|
是否可以升級或降低VPN網關的配置?
可以。
如果您需要立即升級或降低VPN網關的帶寬規格,請參見升配。
如果您需要立即升級或降低VPN網關的SSL連接數規格,請參見修改SSL并發連接數。
如果您需要開啟VPN網關的IPsec-VPN功能或SSL-VPN功能,請參見開啟IPsec-VPN和開啟SSL-VPN功能。
如果您需要臨時升級VPN網關的配置,例如臨時升級VPN網關的帶寬規格,臨時開啟VPN網關的IPsec-VPN功能等,請參見臨時升配。
如果您需要在下月或者續費周期內升級或降低VPN網關的配置,例如降低VPN網關帶寬規格,關閉VPN網關IPsec-VPN功能等,請參見續費變配。
VPN網關支持查看SSL-VPN連接下客戶端的連接信息嗎?
支持。
具體操作,請參見查看SSL客戶端的連接信息。
2022年12月10日之后創建的VPN網關實例默認支持查看SSL客戶端的連接信息。
如果SSL服務端關聯的VPN網關實例是在2022年12月10日之前創建的,則您需要將VPN網關實例升級至最新版才能查看SSL客戶端的連接信息。具體操作,請參見升級VPN網關。
SSL-VPN發布前購買的VPN網關實例是否可以使用SSL-VPN功能?
不可以。
如需使用,請將VPN網關升級至最新版。具體操作,請參見升級VPN網關。
配置IPsec-VPN連接時,如何選擇IKE版本?
在配置IPsec-VPN連接時,您需要根據IPsec連接對端網關設備的支持情況,以及是否需要多網段互通來選擇IKE的版本。
多網段互通是指您在配置IPsec連接時,配置了多個本端網段或對端網段。
IPsec連接對端網關設備IKE版本的支持情況 | 是否需要多網段互通 | 配置方案說明 |
僅支持IKEv1版本 | 是 |
|
否 | IPsec連接及對端網關設備均使用IKEv1版本。 | |
僅支持IKEv2版本 | 是 |
|
否 | IPsec連接及對端網關設備均使用IKEv2版本。 | |
同時支持IKEv1和IKEv2版本 | 是 |
|
否 | IPsec連接及對端網關設備推薦使用IKEv2版本。 相對于IKEv1版本,IKEv2版本簡化了SA的協商過程并且對于多網段的場景提供了更好的支持,推薦使用IKEv2版本。 |
本地數據中心的IP地址經過NAT功能轉換后,如何與阿里云VPN網關建立IPsec-VPN連接?
例如本地數據中心計劃使用42.XX.XX.1這個地址與阿里云VPN網關建立IPsec-VPN連接,但是由于本地數據中心使用了SNAT功能,使用42.XX.XX.1地址發出的流量經過SNAT轉換后會變成由47.XX.XX.21地址發出的流量 ,那么在阿里云VPN網關管理控制臺創建用戶網關實例時,用戶網關實例的IP地址需填寫為47.XX.XX.21,阿里云VPN網關才能與本地數據中心建立IPsec-VPN連接。
推薦本地數據中心使用IPsec協議默認端口號(500以及4500)與VPN網關之間建立IPsec-VPN連接,不建議轉換端口號。
在阿里云側如果公網VPN網關關聯的VPC實例同時配置了NAT網關功能,則公網VPN網關實例的IP地址保持不變,不會經過NAT網關轉換。
如何擴大IPsec-VPN連接的帶寬?
在IPsec連接綁定VPN網關實例的場景下,VPN網關實例最大的帶寬規格為1000 Mbps(部分地域的最大帶寬規格為500 Mbps)。如果您需要擴大IPsec-VPN連接的帶寬,推薦您使用IPsec連接綁定轉發路由器實例的方式將本地數據中心接入阿里云,通過轉發路由器實現本地數據中心與VPC的網絡互通。
在IPsec連接綁定轉發路由器實例的場景下,單個IPsec-VPN連接最大的帶寬規格為1000 Mbps。如果您需要擴大IPsec-VPN連接的帶寬規格,您可以在轉發路由器和本地數據中心之間建立多個IPsec-VPN連接,本地數據中心和阿里云之間同時通過多個IPsec-VPN連接傳輸流量,如下圖所示。具體操作,請參見建立多條公網IPsec-VPN連接實現流量的負載分擔和建立多條私有IPsec-VPN連接實現私網流量的負載分擔。
IPsec連接的網絡類型為公網的場景:
IPsec連接的網絡類型為私網的場景:
VPC實例其他可用區的ECS實例是否支持通過VPN網關實例轉發流量?
支持。
創建VPN網關實例時,您需要指定交換機,系統將在指定交換機所屬的可用區下部署VPN網關。VPN網關實例創建完成后可以轉發VPC實例所有可用區下ECS實例的流量。
您可能需要依據實際場景添加一些路由配置來實現VPN網關實例轉發ECS實例的流量。例如一些可用區下的交換機關聯的是VPC實例的自定義路由表,則您需要在VPC實例的自定義路由表下添加一條指向VPN網關實例的自定義路由。
在VPN網關實例下添加路由時系統提示路由重復等報錯時怎么辦?
在VPN網關實例下添加路由時系統報錯,通常是以下2個原因:
您添加的路由的目標網段與VPC實例下的路由的目標網段相同,請排查VPC實例路由表下的路由配置,解決路由沖突問題。
您添加的路由與VPN網關實例下的路由沖突,請排查VPN網關實例策略路由表、目的路由表下的路由配置,解決路由沖突問題。
如果您添加的是目的路由,且目的路由的目標網段和下一跳與VPN網關實例下已有的目的路由的目標網段和下一跳相同,則會產生路由沖突。
如果您添加的是策略路由,且策略路由的源網段、目標網段、下一跳與VPN網關實例下已有的策略路由的源網段、目標網段、下一跳相同,則會產生路由沖突。
為什么VPN連接的帶寬達不到購買的帶寬規格?
購買VPN網關產品后,VPN網關產品將為您提供購買的帶寬規格能力。但VPN網關產品傳輸流量的過程中以下因素可能會影響您的帶寬體驗:
用戶網關實例關聯設備的功能、連接的容量、平均數據包大小、所用的協議(TCP與UDP)。
用戶網關實例關聯設備與VPN網關之間的網絡延遲。
說明如果您購買了公網網絡類型的VPN網關實例或使用公網網絡類型的IPsec連接時,公網帶寬能力、公網時延可能會影響您的帶寬體驗。
如果您需要測試VPN網關產品的帶寬,推薦您使用iPerf3工具進行測試。使用FTP、SCP、CP等命令傳輸文件的速率由于受到磁盤讀寫速度的影響無法反映真實的帶寬速率。如何使用iPerf3工具,請參見使用iPerf3測試物理專線的帶寬。
如果您對傳輸質量有要求,建議您使用云企業網產品。
VPC與公網地址互通的流量可以通過VPN網關加密嗎?
可以。
使用VPN網關加密訪問VPC內資源時,如果您的客戶端或者本地數據中心需要使用公網地址進行訪問,需滿足以下條件:
路由條目超限怎么辦?
在您使用策略路由、目的路由或BGP動態路由時,如果因為路由條目超限導致無法新增路由條目或IPsec連接無法學習到BGP路由條目,您可以通過以下兩種方式解決問題:
提升路由條目配額。
支持提升策略路由條目、目的路由條目或BGP路由條目的配額。更多信息,請參見IPsec-VPN配額。
配置聚合路由。
在不影響您業務的前提下,將已經配置的多條路由條目聚合為一條路由條目。
例如您已經配置了目標網段分別為10.10.1.0/24、10.10.2.0/24、10.10.3.0/24,下一跳指向相同IPsec連接(例如IPsec連接1)的三條目的路由,您可以新增一條目標網段為10.10.0.0/22,下一跳指向IPsec連接1的目的路由,然后再刪除上述三條目的路由,以節省目的路由條目配額。