本文为您介绍VPN网关的常见问题及解答。
- VPN网关是否支持经典网络?
- 本地站点通过IPsec-VPN接入VPC的前提条件是什么?
- 跨地域VPC是否可以通过VPN网关互通?
- 哪些本地网关设备可以与阿里云VPN网关建立连接?
- 每个VPN网关可以建立多少个IPsec连接?
- 是否可以通过VPN网关访问互联网?
- VPC间互通流量是否经过互联网?
- 是否支持在一个IPsec连接中配置多个对端网段?
- 是否可以降低VPN网关配置?
- SSL-VPN发布前购买的VPN网关实例是否可以使用SSL-VPN功能?
- 如何充分利用VPN网关的带宽?
- VPN网关中如何为网络ACL配置规则?
- 使用IPsec-VPN连接AWS VPN网关时,为什么会产生流量不通的现象?
VPN网关是否支持经典网络?
不支持。
VPN网关仅支持专有网络VPC(Virtual Private Cloud),如果您想在经典网络中使用VPN网关,需要在VPC中开启ClassicLink功能。具体操作,请参见在经典网络中使用IPsec-VPN。
本地站点通过IPsec-VPN接入VPC的前提条件是什么?
- 本地站点的网关设备必须支持IKEv1和IKEv2协议。
IPsec-VPN支持IKEv1和IKEv2协议。只要支持这两种协议的设备均可以和阿里云VPN网关互连。
- 本地站点的网关设备必须配置静态公网IP地址。
- 本地站点和VPC之间需要互通的网段没有重叠。
关于本地站点如何通过IPsec-VPN连接至VPC,请参见建立VPC到本地数据中心的连接。
跨地域VPC是否可以通过VPN网关互通?
可以。具体操作,请参见建立VPC到VPC的连接。
哪些本地网关设备可以与阿里云VPN网关建立连接?
阿里云VPN网关支持标准的IKEv1和IKEv2协议。因此,只要支持这两种协议的设备都可以和阿里云VPN网关互连。例如华三、华为、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等。具体操作,请参见本地网关配置。
每个VPN网关可以建立多少个IPsec连接?
每个VPN网关默认支持创建10个IPsec连接。如需创建更多IPsec连接,请提升配额。具体操作,请参见管理配额。
是否可以通过VPN网关访问互联网?
不可以。
VPN网关仅提供私网接入VPC的功能,不提供访问互联网的功能。
VPC间互通流量是否经过互联网?
不经过。
通过VPN网关实现跨地域VPC间互连,流量只经过阿里云网络,不经过互联网。
是否支持在一个IPsec连接中配置多个对端网段?
支持。
如果一个IPsec连接配置多个对端网段,建议IKE版本选择IKEv2。
是否可以降低VPN网关配置?
可以。
如需降低VPN网关配置,请提交工单。
SSL-VPN发布前购买的VPN网关实例是否可以使用SSL-VPN功能?
不可以。
如需使用,请提交工单。
如何充分利用VPN网关的带宽?
一条IPsec连接支持的最大带宽值为200 Mbps,如果您的VPN网关的带宽峰值大于200 Mbps,您可以通过创建多条IPsec连接充分利用VPN网关带宽。
- IPsec连接1
本端网段:10.0.0.0/10,对端网段:192.168.0.0/24
- IPsec连接2
本端网段:10.64.0.0/10,对端网段:192.168.0.0/24
- IPsec连接3
本端网段:10.128.0.0/10,对端网段:192.168.0.0/24
- IPsec连接4
本端网段:10.192.0.0/10,对端网段:192.168.0.0/24
其他参数配置,请参见建立VPC到本地数据中心的连接。
VPN网关中如何为网络ACL配置规则?
- 如果您在VPN网关所在的子网中使用了网络ACL,需要在网络ACL的出方向和入方向分别配置规则允许100.104.0.0/16网段通过。
- 如果您在SSL-VPN所在的子网中使用了网络ACL,网络ACL需配置规则放开1194端口。
使用IPsec-VPN连接AWS VPN网关时,为什么会产生流量不通的现象?
- 现象原因
AWS VPN网关单个加密通道不支持协商多个SA(Security Association),当您将阿里云侧IPSec连接的路由模式配置为感兴趣流模式并为IPsec连接设置多个本端网段或对端网段时,AWS侧因存在限制而无法发送报文。
- 规避方法
为您提供以下两种规避方法:
- 当您将阿里云侧IPSec连接的路由模式配置为感兴趣流模式时,IPsec连接的本端网段和对端网段均只设置一个网段。
- 修改阿里云侧IPsec连接的路由模式为目的路由模式。