AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页

VPN网关实例配置

更新时间:
复制为 MD 格式
产品详情
我的收藏

VPN 网关实例是连通 VPC 与本地数据中心的云上出入口。配置 IPsec 连接前,需先创建 VPN 网关实例。

功能说明

  • VPN网关实例是部署在阿里云侧的网关设备,是加密隧道的云端端点。您必须先创建VPN网关,再基于VPN网关创建IPsec连接。

  • 创建VPN网关实例时,需要关联VPC并指定2个不同可用区的交换机,用于建立双隧道IPsec-VPN连接,实现可用区级别的容灾。

    对于仅支持一个可用区的地域 ,不支持可用区级别的容灾,建议您在该可用区下指定两个不同的交换机实例以实现IPsec连接的高可用。

  • 创建VPN网关实例后,系统会在指定的2个交换机下各创建1个弹性网卡(ENI),作为VPN网关与VPC流量互通的接口。每个ENI占用交换机下的1个私网IP地址,请确保交换机下有足够的可用IP地址。

创建VPN网关

VPN网关有增强型传统型2种形态,具体区别详见增强型对比传统型

创建增强型VPN网关(控制台)

重要

增强型VPN网关于20262月发布,目前处于邀测阶段,如需使用请联系阿里云工程师进行服务开通。支持的地域:马来西亚(吉隆坡)、英国(伦敦)、西南1(成都)、美国(弗吉尼亚)、美国(硅谷)、中国香港、新加坡。

前往控制台VPN网关页面,切换到增强型IPsec-VPN页签,单击创建增强型IPsec-VPN后进行配置:

  • 所属地域:选择要连通的云上VPC所在的地域。

  • 专有网络:选择目标VPC。

  • 虚拟交换机1虚拟交换机2:需选择关联的 VPC 和部署于不同可用区的 2 个交换机,确保跨可用区的高可用。开启 IPsec-VPN 后,系统会在 2 个交换机下各创建 1 个弹性网卡ENI,作为使用 IPsec 连接与 VPC 流量互通的接口。每个 ENI 会占用交换机下的 1 个 IP地址。

    华中1(武汉-本地地域)仅支持单可用区 ,无法实现可用区级别的容灾。建议在该可用区下指定 2 个不同的交换机以实现 IPsec 连接的高可用。

创建传统型VPN网关(控制台)

前往控制台VPN网关页面,在传统型VPN网关页签下,单击创建VPN网关后进行配置:

如果没有传统型VPN网关页签,则直接单击创建VPN网关

  • 地域和可用区:选择 VPC 所在的地域。

  • 网关类型:选择普通型,建立 IPsec 连接后将使用国际标准商用密码算法(普通算法)。

  • 网络类型:选择公网,将分配公网 IP 以建立 IPsec 连接。如需建立私网 IPsec 连接,建议使用私网 IPsec 连接绑定转发路由器

  • 隧道:选择双隧道

  • VPC虚拟交换机:需选择关联的 VPC 和部署于不同可用区的 2 个交换机,确保跨可用区的高可用。开启 IPsec-VPN 后,系统会在 2 个交换机下各创建 1 个弹性网卡ENI,作为使用 IPsec 连接与 VPC 流量互通的接口。每个 ENI 会占用交换机下的 1 个 IP地址。创建 VPN 网关后,不支持修改关联的交换机。

    华中1(武汉-本地地域)仅支持单可用区 ,无法实现可用区级别的容灾。建议在该可用区下指定 2 个不同的交换机以实现 IPsec 连接的高可用。

  • 带宽规格:不同地域下,VPN 网关支持的最大带宽规格不同。选择 5Mbps 或 10 Mbps 的带宽规格,将限制从本地数据中心去往 VPN 网关方向的带宽峰值为 10 Mbps。详见配额与限制

  • 开启IPsec-VPN,关闭SSL-VPN

    如果创建的 VPN 网关未开启 IPsec-VPN,可在目标 VPN 网关的功能配置列单击IPsec连接后的去开启

    为已有的 VPN 网关开启 IPsec-VPN,需要为当前计费周期的剩余时间补缴功能差价。

  • 计费周期

    您可以选择是否自动续费:

    • 按月购买:自动续费周期为1个月。

    • 按年购买:自动续费周期为1年。

API

  • 调用CreateEnhancedVpnGateway创建增强型VPN网关。

    重要

    增强型VPN网关于20262月发布,目前处于邀测阶段,如需使用请联系阿里云工程师进行服务开通。支持的地域:马来西亚(吉隆坡)、英国(伦敦)、西南1(成都)、美国(弗吉尼亚)、美国(硅谷)、中国香港、新加坡。

  • 调用CreateVpnGateway创建传统型VPN 网关。

后续步骤

为实现云上VPC和云下IDC互通,VPN网关实例创建完成后还需要:

  1. 用户网关:将本地网关设备的信息(例如IP地址、BGP AS号)注册到阿里云上。

  2. 创建IPsec连接:在阿里云VPN网关和本地网关设备之间创建IPsec加密隧道,确保连接能正常建立。

配置国密型 VPN 网关(传统型)

为满足国密等保合规需求,可创建国密型 VPN 网关并绑定2个国密(SM2)标准的SSL证书,分别用于数据加密和身份认证。

  • 支持的地域:华东1(杭州)、华东2(上海)、华东5(南京-本地地域)、华东6(福州-本地地域)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、华中1(武汉-本地地域)、西南1(成都)

  • 仅支持绑定阿里云数字证书管理服务下的国密(SM2)标准的 SSL 证书。支持在阿里云数字证书管理服务下购买国密(SM2)标准SSL证书或将已有的国密(SM2)标准SSL证书上传至阿里云数字证书管理服务平台。

  • 国密(SM2)标准SSL证书的主题信息(申请证书时填写的公司名称、部门、公司所在区域等信息)需为英文。

  • 确保国密型 VPN 网关待连接的对端也使用国密算法,否则无法正常建立 IPsec 连接。

  • 普通型 VPN 网关与国密型 VPN 网关不支持互相转换。

  • 使用国密型 VPN 网关创建 IPsec 连接时,IKE 版本仅支持 IKEv1。

控制台

  1. 创建国密型 VPC 网关:前往VPN 网关 - 购买页,配置网关类型国密型,其他参数配置可参考创建VPN网关

  2. 绑定 SSL 证书:

    1. 登录VPN网关管理控制台,在顶部菜单栏,选择 VPN 网关所属的地域。

    2. 单击目标 VPN 网关ID,选择关联证书页签,单击绑定SSL证书,绑定加密证书签名证书。如果持有同时支持加密和签名的 SSL 证书,建议加密证书和签名证书均绑定该 SSL 证书。

      • 加密证书:对数据进行加密,以保证数据的保密性和完整性。

      • 签名证书:对数据进行签名认证,以保证数据的有效性和不可否认性。

API

  1. 调用CreateVpnGateway创建 VPN 网关。

  2. 调用AssociateVpnGatewayWithCertificate绑定 SSL 证书。

升级 VPN 网关(仅传统型)

如果传统型VPN网关非最新版本,强烈建议升级以获得更好的功能和兼容性。

重要

此处仅指版本升级,不是迁移到增强型(增强型需重新创建)。

  • 升级判断:可在 VPN 网关详情页根据升级按钮的状态判断 VPN 网关是否为最新版本。新购 VPN 网关默认为最新版本。

  • 升级成本:

    • 升级 VPN 网关约需要 10 分钟。

      重要

      VPN 网关升级期间无法提供服务,已有连接也会中断。建议在网络维护窗口期间进行升级,以免影响业务运行。

    • 升级 VPN 网关的操作不会产生费用。

  • 升级限制:

    • VPN 网关不存在 IPsec 连接时,升级前后配置不变。

    • VPN 网关存在 IPsec 连接时:

      • IKEv1 + 多网段:需改为IKEv2或将多个网段拆分为多个连接。

      • 2019321日前创建且未升级过的网关:升级后需手动路由配置

      • 其余场景下,升级前后 IPsec 连接配置不变。

控制台

  1. 登录VPN网关管理控制台,在顶部菜单栏,选择 VPN 网关所属的地域。

  2. 单击目标 VPN 网关 ID 前往详情页,单击升级

删除 VPN 网关

删除增强型VPN网关(控制台)

在目标VPN网关的操作列单击删除。

删除前,需确保 VPN 网关不存在 IPsec连接SSL服务端IPsec服务端

删除传统型VPN网关(控制台)

  • 传统型 VPN 网关不支持删除,到期后将自动释放。

  • 传统型 VPN 网关未到期前,可单击目标 VPN 网关操作列的退订以申请退订,系统会自动释放VPN网关实例。

    • 退款规则可参考非全额退订退款规则

    • VPN 网关处于临时升配状态时,不支持退订,需升配结束后再申请退订。

API

  • 增强型VPN:调用DeleteEnhancedVpnGateway删除。

  • 传统型VPN:未到期的VPN网关,只支持前往控制台操作释放。

配额与限制

增强型VPN网关

  • 对于已创建的传统型VPN网关,不支持直接迁移成增强型IPsec-VPN形态,建议重新创建。

  • 增强型VPN网关不支持处理解密后的IP分片报文。

  • 在增强型VPN网关中新增路由时,当前已有的存量流量需30s时间老化,之后使用新的路由指导转发。对于修改和删除路由,流量转发将会立即生效。

  • 增强型VPN网关的单条隧道BGP接收路由条目超过2000时,会中断当前隧道的路由学习功能。

  • 其他配额类限制,详见配额与限制

传统型VPN网关

  • 不同地域下,传统型VPN网关支持的最大带宽规格不同。

    分类

    地域

    最大支持 1000 Mbps

    华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、华中1(武汉-本地地域)、中国香港、新加坡、日本(东京)、马来西亚(吉隆坡)、印度尼西亚(雅加达)、泰国(曼谷)、韩国(首尔)、菲律宾(马尼拉)、美国(硅谷)、美国(弗吉尼亚)、德国(法兰克福)、英国(伦敦)、墨西哥、华东1金融云、华东2金融云、华南1金融云、华北2阿里政务云1

    最大支持 500 Mbps

    阿联酋(迪拜)

    华北2金融云(邀测)地域最大支持创建200 MbpsVPN网关实例。

  • 新购VPN网关实例的IPsec连接默认为双隧道模式。存量VPN网关实例默认仅支持创建单隧道模式的IPsec-VPN连接,建议您尽快升级为双隧道模式,以获得更高的连接可用性。

  • 不同 IPsec-VPN 隧道模式、带宽规格的传统型 VPN 网关,本地数据中心与传统型 VPN 网关之间两个方向的带宽峰值不完全相同。

    IPsec-VPN隧道模式

    传统型VPN网关带宽规格值

    出云方向的带宽峰值

    入云方向的带宽峰值

    双隧道

    > 10 Mbps

    传统型VPN网关的带宽规格值。

    传统型VPN网关的带宽规格值。

    ≤ 10 Mbps

    传统型VPN网关的带宽规格值。

    10 Mbps。

    单隧道

    > 100 Mbps

    传统型VPN网关的带宽规格值。

    传统型VPN网关的带宽规格值。

    ≤ 100 Mbps

    传统型VPN网关的带宽规格值。

    100 Mbps。

  • 其他配额类限制,详见配额与限制

上一篇:操作指南下一篇:用户网关