本文汇总了VPN网关产品常见问题。
常见问题快捷链接
产品咨询
IPsec-VPN功能
SSL-VPN功能
是否可以通过VPN网关访问互联网?
不可以。
VPN网关仅提供私网接入VPC的功能,不提供访问互联网的功能。
本地站点通过IPsec-VPN接入VPC的前提条件是什么?
本地站点的网关设备必须支持IKEv1和IKEv2协议。
IPsec-VPN支持IKEv1和IKEv2协议,支持这两种协议的设备均可以和阿里云VPN网关互连。如何选择IKE版本,请参见配置IPsec-VPN连接时,如何选择IKE版本?。
本地站点的网关设备必须配置静态公网IP地址。
本地站点和VPC之间需要互通的网段没有重叠。
关于本地站点如何通过IPsec-VPN连接至VPC,请参见建立VPC到本地数据中心的连接(双隧道模式)。
哪些本地网关设备可以与阿里云VPN网关建立连接?
阿里云VPN网关支持标准的IKEv1和IKEv2协议。因此,只要支持这两种协议的设备都可以和阿里云VPN网关互连。例如华三、华为、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等。具体操作,请参见本地网关配置。
跨地域VPC是否可以通过VPN网关互通?
可以。
具体操作,请参见建立VPC到VPC的IPsec-VPN连接(双隧道模式)。
如果您在跨地域的VPC之间建立IPsec-VPN连接,IPsec-VPN连接的网络质量会受公网质量的影响,推荐您使用云企业网在跨地域VPC之间建立连接。具体操作,请参见使用云企业网实现跨地域跨账号VPC互通(企业版)。
VPC之间的互通流量是否经过互联网?
在使用VPN网关实现VPC与VPC互通的场景下:
如果两个VPC位于相同的地域,则流量仅经过阿里云网络,不会经过互联网。
如果两个VPC位于不同的地域,则流量会经过互联网。
IPsec服务端和SSL服务端的区别是什么?
对比项 | IPsec服务端 | SSL服务端 |
使用场景 | 提供端到站点的连接。 | 提供端到站点的连接。 |
客户端模式 | 仅支持iOS系统的手机端建立和阿里云的VPN连接。 | 支持Android系统的手机、电脑等终端建立和阿里云的VPN连接。 |
客户端连接模式 | iOS系统的手机端通过自带的VPN应用和阿里云建立VPN连接。 | Android系统的手机、电脑等终端通过OpenVPN软件和阿里云建立VPN连接。 |
加密方式 | IPsec协议 | SSL证书 |
是否支持在一个IPsec连接中配置多个对端网段?
支持。
在为IPsec连接配置多个对端网段前,请先了解多网段配置建议。更多信息,请参见多网段场景配置建议。
每个VPN网关可以建立多少个IPsec连接?
每个VPN网关默认支持创建10个IPsec连接,您可以在阿里云控制台自助调整使用限制。具体操作,请参见管理VPN网关配额。
VPN网关中如何为网络ACL配置规则?
VPN网关类型 | 配置规则 |
IPsec-VPN | 在网络ACL的出方向和入方向分别配置规则允许以下网段及IP地址通过,以便VPN网关可以正常建立IPsec-VPN连接:
|
SSL-VPN | 在网络ACL的出方向和入方向分别配置规则允许以下网段及IP地址通过并放开SSL-VPN的端口,以便VPN网关可以正常建立SSL-VPN连接:
|
是否可以升级或降低VPN网关的配置?
可以。
如果您需要立即升级或降低VPN网关的带宽规格,请参见升配。
如果您需要立即升级或降低VPN网关的SSL连接数规格,请参见修改SSL并发连接数。
如果您需要开启VPN网关的IPsec-VPN功能或SSL-VPN功能,请参见开启IPsec-VPN和开启SSL-VPN功能。
如果您需要临时升级VPN网关的配置,例如临时升级VPN网关的带宽规格,临时开启VPN网关的IPsec-VPN功能等,请参见临时升配。
如果您需要在下月或者续费周期内升级或降低VPN网关的配置,例如降低VPN网关带宽规格,关闭VPN网关IPsec-VPN功能等,请参见续费变配。
VPN网关支持查看SSL-VPN连接下客户端的连接信息吗?
支持。
具体操作,请参见查看SSL客户端的连接信息。
2022年12月10日之后创建的VPN网关实例默认支持查看SSL客户端的连接信息。
如果SSL服务端关联的VPN网关实例是在2022年12月10日之前创建的,则您需要将VPN网关实例升级至最新版才能查看SSL客户端的连接信息。具体操作,请参见升级VPN网关。
SSL-VPN发布前购买的VPN网关实例是否可以使用SSL-VPN功能?
不可以。
如需使用,请将VPN网关升级至最新版。具体操作,请参见升级VPN网关。
配置IPsec-VPN连接时,如何选择IKE版本?
在配置IPsec-VPN连接时,您需要根据IPsec连接对端网关设备的支持情况,以及是否需要多网段互通来选择IKE的版本。
多网段互通是指您在配置IPsec连接时,配置了多个本端网段或对端网段。
IPsec连接对端网关设备IKE版本的支持情况 | 是否需要多网段互通 | 配置方案说明 |
仅支持IKEv1版本 | 是 |
|
否 | IPsec连接及对端网关设备均使用IKEv1版本。 | |
仅支持IKEv2版本 | 是 |
|
否 | IPsec连接及对端网关设备均使用IKEv2版本。 | |
同时支持IKEv1和IKEv2版本 | 是 |
|
否 | IPsec连接及对端网关设备推荐使用IKEv2版本。 相对于IKEv1版本,IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持,推荐使用IKEv2版本。 |
本地数据中心的IP地址经过NAT功能转换后,如何与阿里云VPN网关建立IPsec-VPN连接?
例如本地数据中心计划使用42.XX.XX.1这个地址与阿里云VPN网关建立IPsec-VPN连接,但是由于本地数据中心使用了SNAT功能,使用42.XX.XX.1地址发出的流量经过SNAT转换后会变成由47.XX.XX.21地址发出的流量 ,那么在阿里云VPN网关管理控制台创建用户网关实例时,用户网关实例的IP地址需填写为47.XX.XX.21,阿里云VPN网关才能与本地数据中心建立IPsec-VPN连接。
推荐本地数据中心使用IPsec协议默认端口号(500以及4500)与VPN网关之间建立IPsec-VPN连接,不建议转换端口号。
在阿里云侧如果公网VPN网关关联的VPC实例同时配置了NAT网关功能,则公网VPN网关实例的IP地址保持不变,不会经过NAT网关转换。
如何扩大IPsec-VPN连接的带宽?
在IPsec连接绑定VPN网关实例的场景下,VPN网关实例最大的带宽规格为1000 Mbps(部分地域的最大带宽规格为500 Mbps)。如果您需要扩大IPsec-VPN连接的带宽,推荐您使用IPsec连接绑定转发路由器实例的方式将本地数据中心接入阿里云,通过转发路由器实现本地数据中心与VPC的网络互通。
在IPsec连接绑定转发路由器实例的场景下,单个IPsec-VPN连接最大的带宽规格为1000 Mbps。如果您需要扩大IPsec-VPN连接的带宽规格,您可以在转发路由器和本地数据中心之间建立多个IPsec-VPN连接,本地数据中心和阿里云之间同时通过多个IPsec-VPN连接传输流量,如下图所示。具体操作,请参见建立多条公网IPsec-VPN连接实现流量的负载分担和建立多条私有IPsec-VPN连接实现私网流量的负载分担。
IPsec连接的网络类型为公网的场景:
IPsec连接的网络类型为私网的场景:
VPC实例其他可用区的ECS实例是否支持通过VPN网关实例转发流量?
支持。
创建VPN网关实例时,您需要指定交换机,系统将在指定交换机所属的可用区下部署VPN网关。VPN网关实例创建完成后可以转发VPC实例所有可用区下ECS实例的流量。
您可能需要依据实际场景添加一些路由配置来实现VPN网关实例转发ECS实例的流量。例如一些可用区下的交换机关联的是VPC实例的自定义路由表,则您需要在VPC实例的自定义路由表下添加一条指向VPN网关实例的自定义路由。
在VPN网关实例下添加路由时系统提示路由重复等报错时怎么办?
在VPN网关实例下添加路由时系统报错,通常是以下2个原因:
您添加的路由的目标网段与VPC实例下的路由的目标网段相同,请排查VPC实例路由表下的路由配置,解决路由冲突问题。
您添加的路由与VPN网关实例下的路由冲突,请排查VPN网关实例策略路由表、目的路由表下的路由配置,解决路由冲突问题。
如果您添加的是目的路由,且目的路由的目标网段和下一跳与VPN网关实例下已有的目的路由的目标网段和下一跳相同,则会产生路由冲突。
如果您添加的是策略路由,且策略路由的源网段、目标网段、下一跳与VPN网关实例下已有的策略路由的源网段、目标网段、下一跳相同,则会产生路由冲突。
为什么VPN连接的带宽达不到购买的带宽规格?
购买VPN网关产品后,VPN网关产品将为您提供购买的带宽规格能力。但VPN网关产品传输流量的过程中以下因素可能会影响您的带宽体验:
用户网关实例关联设备的功能、连接的容量、平均数据包大小、所用的协议(TCP与UDP)。
用户网关实例关联设备与VPN网关之间的网络延迟。
说明如果您购买了公网网络类型的VPN网关实例或使用公网网络类型的IPsec连接时,公网带宽能力、公网时延可能会影响您的带宽体验。
如果您需要测试VPN网关产品的带宽,推荐您使用iPerf3工具进行测试。使用FTP、SCP、CP等命令传输文件的速率由于受到磁盘读写速度的影响无法反映真实的带宽速率。如何使用iPerf3工具,请参见使用iPerf3测试物理专线的带宽。
如果您对传输质量有要求,建议您使用云企业网产品。
VPC与公网地址互通的流量可以通过VPN网关加密吗?
可以。
使用VPN网关加密访问VPC内资源时,如果您的客户端或者本地数据中心需要使用公网地址进行访问,需满足以下条件:
路由条目超限怎么办?
在您使用策略路由、目的路由或BGP动态路由时,如果因为路由条目超限导致无法新增路由条目或IPsec连接无法学习到BGP路由条目,您可以通过以下两种方式解决问题:
提升路由条目配额。
支持提升策略路由条目、目的路由条目或BGP路由条目的配额。更多信息,请参见IPsec-VPN配额。
配置聚合路由。
在不影响您业务的前提下,将已经配置的多条路由条目聚合为一条路由条目。
例如您已经配置了目标网段分别为10.10.1.0/24、10.10.2.0/24、10.10.3.0/24,下一跳指向相同IPsec连接(例如IPsec连接1)的三条目的路由,您可以新增一条目标网段为10.10.0.0/22,下一跳指向IPsec连接1的目的路由,然后再删除上述三条目的路由,以节省目的路由条目配额。