AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页 VPN网关 IPsec-VPN 操作指南 绑定VPN网关 VPN网关实例

VPN网关实例

更新时间:
复制为 MD 格式
产品详情
我的收藏

VPN 网关实例是连通 VPC 与本地数据中心的云上出入口。配置 IPsec 连接前,需先创建 VPN 网关实例。

选择VPN网关形态

VPN网关有增强型传统型2种形态。

重要

当前增强型VPN网关正处于邀测阶段,如需使用,请联系阿里云工程师进行服务开通。

  • 选择建议

    • 首次使用IPsec-VPN网关产品,建议选择增强型。增强型VPN按量付费,且支持多算法兼容模式,配置更简单。

    • 针对正在使用传统型VPN的用户,如需更大的IPsec连接带宽,建议改用增强型VPN网关,每个IPsec连接的带宽默认独占1Gbps。

  • 两者详细对比

    对比项

    增强型IPsec-VPN

    传统型VPN

    带宽

    • 相比传统型VPN,VPN网关实例不再具备带宽规格属性

    • 每个IPsec连接默认支持1Gbps独享带宽

    • VPN网关实例具备带宽规格属性,最大支持1000Mbps

    • VPN网关实例下的所有IPsec连接复用网关实例带宽

    隧道IP

    系统为每条IPsec隧道分配不同的云上IP地址

    VPN网关实例下的所有IPsec隧道复用相同的云上IP地址

    感兴趣流网段数

    10

    5

    多算法兼容

    支持,可同时配置多种算法

    不支持

    加密配置

    • 加密算法:相比传统型VPN,新增支持AES128-GCM-16、AES256-GCM-16,但不支持SM4国密算法

    • DH-Group:相比传统型VPN,新增支持DH group15~DH group24(共计10种)。

    • 加密算法只支持AES-128、AES-192、AES-256、3DES、DES、SM4(国密算法)

    • DH-Group只支持1/2/5/14。

    SSL-VPN功能

    不支持

    支持

    国密证书

    不支持

    支持

    策略路由

    不支持

    支持

    计费

    示意图

    		imageimage

创建VPN网关

创建增强型VPN网关(控制台)

前往控制台VPN网关页面,切换到增强型IPsec-VPN页签,单击创建增强型IPsec-VPN后进行配置:

  • 所属地域:选择要连通的云上VPC所在的地域。

  • 专有网络:选择目标VPC。

  • 虚拟交换机1虚拟交换机2:需选择关联的 VPC 和部署于不同可用区的 2 个交换机,确保跨可用区的高可用。开启 IPsec-VPN 后,系统会在 2 个交换机下各创建 1 个弹性网卡ENI,作为使用 IPsec 连接与 VPC 流量互通的接口。每个 ENI 会占用交换机下的 1 个 IP地址。

    华中1(武汉-本地地域)仅支持单可用区 ,无法实现可用区级别的容灾。建议在该可用区下指定 2 个不同的交换机以实现 IPsec 连接的高可用。

创建传统型VPN网关(控制台)

前往控制台VPN网关页面,切换到传统型VPN网关页签,单击创建VPN网关后进行配置:

  • 地域和可用区:选择 VPC 所在的地域。

  • 网关类型:选择普通型,建立 IPsec 连接后将使用国际标准商用密码算法(普通算法)。

  • 网络类型:选择公网,将分配公网 IP 以建立 IPsec 连接。如需建立私网 IPsec 连接,建议使用私网 IPsec 连接绑定转发路由器

  • 隧道:选择双隧道

  • VPC虚拟交换机:需选择关联的 VPC 和部署于不同可用区的 2 个交换机,确保跨可用区的高可用。开启 IPsec-VPN 后,系统会在 2 个交换机下各创建 1 个弹性网卡ENI,作为使用 IPsec 连接与 VPC 流量互通的接口。每个 ENI 会占用交换机下的 1 个 IP地址。创建 VPN 网关后,不支持修改关联的交换机。

    华中1(武汉-本地地域)仅支持单可用区 ,无法实现可用区级别的容灾。建议在该可用区下指定 2 个不同的交换机以实现 IPsec 连接的高可用。

  • 带宽规格:不同地域下,VPN 网关支持的最大带宽规格不同。选择 5Mbps 或 10 Mbps 的带宽规格,将限制从本地数据中心去往 VPN 网关方向的带宽峰值为 10 Mbps。详见配额与限制

  • 开启IPsec-VPN,关闭SSL-VPN

    如果创建的 VPN 网关未开启 IPsec-VPN,可在目标 VPN 网关的功能配置列单击IPsec连接后的去开启

    为已有的 VPN 网关开启 IPsec-VPN,需要为当前计费周期的剩余时间补缴功能差价。

  • 计费周期

    您可以选择是否自动续费:

    • 按月购买:自动续费周期为1个月。

    • 按年购买:自动续费周期为1年。

API

  • 调用CreateEnhancedVpnGateway创建增强型VPN网关。

  • 调用CreateVpnGateway创建传统型VPN 网关。

后续步骤

为实现云上VPC和云下IDC互通,VPN网关实例创建完成后还需要:

  1. 创建用户网关:将本地网关设备的信息(例如IP地址、BGP AS号)注册到阿里云上。

  2. 创建IPsec连接:在阿里云VPN网关和本地网关设备之间创建IPsec加密隧道,确保连接能正常建立。

配置国密型 VPN 网关(传统型)

为满足国密等保合规需求,可创建国密型 VPN 网关并绑定2个国密(SM2)标准的SSL证书,分别用于数据加密和身份认证。

  • 支持的地域:华东1(杭州)、华东2(上海)、华东5(南京-本地地域)、华东6(福州-本地地域)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、华中1(武汉-本地地域)、西南1(成都)

  • 仅支持绑定阿里云数字证书管理服务下的国密(SM2)标准的 SSL 证书。支持在阿里云数字证书管理服务下购买国密(SM2)标准SSL证书或将已有的国密(SM2)标准SSL证书上传至阿里云数字证书管理服务平台。

  • 国密(SM2)标准SSL证书的主题信息(申请证书时填写的公司名称、部门、公司所在区域等信息)需为英文。

  • 确保国密型 VPN 网关待连接的对端也使用国密算法,否则无法正常建立 IPsec 连接。

  • 普通型 VPN 网关与国密型 VPN 网关不支持互相转换。

  • 使用国密型 VPN 网关创建 IPsec 连接时,IKE 版本仅支持 IKEv1。

控制台

  1. 创建国密型 VPC 网关:前往VPN 网关 - 购买页,配置网关类型国密型,其他参数配置可参考创建VPN网关

  2. 绑定 SSL 证书:

    1. 登录VPN网关管理控制台,在顶部菜单栏,选择 VPN 网关所属的地域。

    2. 单击目标 VPN 网关ID,选择关联证书页签,单击绑定SSL证书,绑定加密证书签名证书。如果持有同时支持加密和签名的 SSL 证书,建议加密证书和签名证书均绑定该 SSL 证书。

      • 加密证书:对数据进行加密,以保证数据的保密性和完整性。

      • 签名证书:对数据进行签名认证,以保证数据的有效性和不可否认性。

API

  1. 调用CreateVpnGateway创建 VPN 网关。

  2. 调用AssociateVpnGatewayWithCertificate绑定 SSL 证书。

升级 VPN 网关(仅传统型)

传统型VPN 网关版本不断演进迭代,最新版本的传统型VPN 网关支持更多的功能特性,优化了和第三方厂商设备对接的兼容性。如果 VPN 网关非最新版本,可能会存在运行风险,强烈建议将其升级到最新版本,以体验更多功能并获得更稳定的网络能力。

重要

此处的升级仅指将传统型VPN网关的版本升级至最新。传统型VPN网关不支持直接迁移为增强型,只能重新创建。

  • 升级判断:可在 VPN 网关详情页根据升级按钮的状态判断 VPN 网关是否为最新版本。新购 VPN 网关默认为最新版本。

  • 升级成本:

    • 升级 VPN 网关约需要 10 分钟。

      重要

      VPN 网关升级期间无法提供服务,已有连接也会中断。建议在网络维护窗口期间进行升级,以免影响业务运行。

    • 升级 VPN 网关的操作不会产生费用。

  • 升级限制:

    • VPN 网关不存在 IPsec 连接时,升级前后配置不变。

    • VPN 网关存在 IPsec 连接时:

      • 若 IPsec 连接配置了多个网段且 IKE 版本为 IKEv1,则需要将 IKE 版本修改为 IKEv2,或者将多个网段拆分为多个IPsec连接才能进行升级,否则会升级失败。

      • 若 VPN 网关的策略路由表目的路由表页签下存在旧版 VPN 暂不支持此功能的提示,或者 VPN 网关在20190321日之前创建且未进行过升级时:以上实例创建 IPsec 连接时默认仅需配置感兴趣流而无需配置路由,但是为最新版本的 VPN 网关创建 IPsec 连接时需要配置路由。因此,升级VPN网关后,需要为 VPN 网关配置路由以确保 IPsec 连接正常工作。

      • 其余场景下,升级前后 IPsec 连接配置不变。

控制台

  1. 登录VPN网关管理控制台,在顶部菜单栏,选择 VPN 网关所属的地域。

  2. 单击目标 VPN 网关 ID 前往详情页,单击升级

删除 VPN 网关

删除增强型VPN网关(控制台)

在目标VPN网关的操作列单击删除。

删除前,需确保 VPN 网关不存在 IPsec连接SSL服务端IPsec服务端

删除传统型VPN网关(控制台)

  • 传统型 VPN 网关不支持删除,到期后将自动释放。

  • 传统型 VPN 网关未到期前,可单击目标 VPN 网关操作列的更多 > 退订以申请退订,系统会自动释放VPN网关实例。

    • 退款规则可参考非全额退订退款规则

    • VPN 网关处于临时升配状态时,不支持退订,需升配结束后再申请退订。

API

  • 增强型VPN:调用DeleteEnhancedVpnGateway删除。

  • 传统型VPN:未到期的VPN网关,只支持前往控制台操作释放。

配额与限制

增强型VPN网关

  • 对于已创建的传统型VPN网关,不支持直接迁移成增强型IPsec-VPN形态,建议重新创建。

  • 增强型VPN网关不支持处理解密后的IP分片报文。

  • 在增强型VPN网关中新增路由时,当前已有的存量流量需30s时间老化,之后使用新的路由指导转发。对于修改和删除路由,流量转发将会立即生效。

  • 增强型VPN网关的单条隧道BGP接收路由条目超过2000时,会中断当前隧道的路由学习功能。

  • 其他配额类限制,详见使用限制

传统型VPN网关

  • 不同 IPsec-VPN 隧道模式、带宽规格的传统型 VPN 网关,本地数据中心与传统型 VPN 网关之间两个方向的带宽峰值不完全相同。

    IPsec-VPN隧道模式

    传统型VPN网关带宽规格值

    出云方向的带宽峰值

    入云方向的带宽峰值

    双隧道

    > 10 Mbps

    传统型VPN网关的带宽规格值。

    传统型VPN网关的带宽规格值。

    ≤ 10 Mbps

    传统型VPN网关的带宽规格值。

    10 Mbps。

    单隧道

    > 100 Mbps

    传统型VPN网关的带宽规格值。

    传统型VPN网关的带宽规格值。

    ≤ 100 Mbps

    传统型VPN网关的带宽规格值。

    100 Mbps。

  • 不同地域下,传统型VPN网关支持的最大带宽规格不同。

    分类

    地域

    最大支持 1000 Mbps

    华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、华中1(武汉-本地地域)、中国香港、新加坡、日本(东京)、马来西亚(吉隆坡)、印度尼西亚(雅加达)、泰国(曼谷)、韩国(首尔)、菲律宾(马尼拉)、美国(硅谷)、美国(弗吉尼亚)、德国(法兰克福)、英国(伦敦)、墨西哥、华东1金融云、华东2金融云、华南1金融云、华北2阿里政务云1

    最大支持 500 Mbps

    阿联酋(迪拜)

    华北2金融云(邀测)地域最大支持创建200 MbpsVPN网关实例。

  • 其他配额类限制,详见使用限制

上一篇:绑定VPN网关下一篇:IPsec连接(绑定VPN网关)