本文为您介绍VPN网关的常见问题及解答。
- 什么是跨境连接和非跨境连接?
- 是否可以通过VPN网关访问互联网?
- 本地站点通过IPsec-VPN接入VPC的前提条件是什么?
- 哪些本地网关设备可以与阿里云VPN网关建立连接?
- VPN网关是否支持经典网络?
- 跨地域VPC是否可以通过VPN网关互通?
- VPC之间的互通流量是否经过互联网?
- IPsec服务端和SSL服务端的区别是什么?
- 是否支持在一个IPsec连接中配置多个对端网段?
- 每个VPN网关可以建立多少个IPsec连接?
- VPN网关中如何为网络ACL配置规则?
- VPN网关支持查看SSL-VPN连接下客户端的连接信息吗?
- SSL-VPN发布前购买的VPN网关实例是否可以使用SSL-VPN功能?
什么是跨境连接和非跨境连接?
阿里云VPN网关在国家相关政策法规内提供服务,仅支持建立非跨境连接,不支持建立跨境连接。跨境连接
- 在您建立IPsec-VPN的过程中,如果本地数据中心和IPsec连接所属的地域符合以下任意一种情况即为跨境连接。
- 本地数据中心位于中国境内(不包含中国香港),IPsec连接位于非中国内地的地域。
- 本地数据中心位于中国香港或者非中国境内,IPsec连接位于中国内地的地域。
- 在您建立SSL-VPN的过程中,如果客户端和SSL服务端所属的地域符合以下任意一种情况即为跨境连接。
- 客户端位于中国境内(不包含中国香港),SSL服务端位于非中国内地的地域。
- 客户端位于中国香港或者非中国境内,SSL服务端位于中国内地的地域。
如果您需要建立跨境连接,您可以使用云企业网产品。更多信息,请参见什么是云企业网。
非跨境连接
- 在您建立IPsec-VPN的过程中,如果本地数据中心和IPsec连接所属的地域符合以下任意一种情况即为非跨境连接。
- 本地数据中心位于中国境内(不包含中国香港),IPsec连接位于中国内地的地域。
- 本地数据中心位于中国香港或者非中国境内,IPsec连接位于非中国内地的地域。
- 在您建立SSL-VPN的过程中,如果客户端和SSL服务端所属的地域符合以下任意一种情况即为非跨境连接。
- 客户端位于中国境内(不包含中国香港),SSL服务端位于中国内地的地域。
- 客户端位于中国香港或者非中国境内,SSL服务端位于非中国内地的地域。
如何选择IPsec连接和SSL服务端的地域?
- 如果IPsec连接需要绑定VPN网关实例,则IPsec连接所属的地域需和VPN网关实例所属的地域一致。
- 如果IPsec连接需要绑定转发路由器实例,则建议您依据就近原则,为IPsec连接选择离本地数据中心最近的地域。
- SSL服务端所属的地域需和VPN网关实例所属的地域一致。
中国内地和非中国内地包含的地域都有哪些?
中国内地和非中国内地包含的地域详情如下表所示:
| 地域分类 | 包含的地域 |
|---|---|
| 中国内地 | 华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、华东1(杭州)、华东2(上海)、华东5(南京-本地地域)、华东6(福州-本地地域)、西南1(成都) |
| 非中国内地 | 中国香港、新加坡、马来西亚(吉隆坡)、日本(东京)、印度尼西亚(雅加达)、印度(孟买)、菲律宾(马尼拉)、韩国(首尔)、泰国(曼谷)、德国(法兰克福)、英国(伦敦)、澳大利亚(悉尼)、阿联酋(迪拜)、美国(硅谷)、美国(弗吉尼亚) |
是否可以通过VPN网关访问互联网?
不可以。
VPN网关仅提供私网接入VPC的功能,不提供访问互联网的功能。
本地站点通过IPsec-VPN接入VPC的前提条件是什么?
- 本地站点的网关设备必须支持IKEv1和IKEv2协议。
IPsec-VPN支持IKEv1和IKEv2协议。支持这两种协议的设备均可以和阿里云VPN网关互连。
- 本地站点的网关设备必须配置静态公网IP地址。
- 本地站点和VPC之间需要互通的网段没有重叠。
关于本地站点如何通过IPsec-VPN连接至VPC,请参见建立VPC到本地数据中心的连接。
哪些本地网关设备可以与阿里云VPN网关建立连接?
阿里云VPN网关支持标准的IKEv1和IKEv2协议。因此,只要支持这两种协议的设备都可以和阿里云VPN网关互连。例如华三、华为、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等。具体操作,请参见本地网关配置。
VPN网关是否支持经典网络?
不支持。
VPN网关仅支持专有网络VPC(Virtual Private Cloud),如果您想在经典网络中使用VPN网关,需要在VPC中开启ClassicLink功能。具体操作,请参见在经典网络中使用IPsec-VPN和在经典网络中使用SSL-VPN。
跨地域VPC是否可以通过VPN网关互通?
可以。
VPC之间的互通流量是否经过互联网?
在使用VPN网关实现VPC与VPC互通的场景下:- 如果两个VPC位于相同的地域,则流量仅经过阿里云网络,不会经过互联网。
- 如果两个VPC位于不同的地域,则流量会经过互联网。
IPsec服务端和SSL服务端的区别是什么?
| 对比项 | IPsec服务端 | SSL服务端 |
|---|---|---|
| 使用场景 | 提供端到站点的连接。 | 提供端到站点的连接。 |
| 客户端模式 | 仅支持iOS系统的手机端建立和阿里云的VPN连接。 | 支持Android系统的手机、电脑等终端建立和阿里云的VPN连接。 |
| 客户端连接模式 | iOS系统的手机端通过自带的VPN应用和阿里云建立VPN连接。 | Android系统的手机、电脑等终端通过OpenVPN软件和阿里云建立VPN连接。 |
| 加密方式 | IPsec协议 | SSL证书 |
是否支持在一个IPsec连接中配置多个对端网段?
支持。
在为IPsec连接配置多个对端网段前,请先了解多网段配置建议。更多信息,请参见多网段场景配置建议。
每个VPN网关可以建立多少个IPsec连接?
每个VPN网关默认支持创建10个IPsec连接,您可以在阿里云控制台自助调整使用限制。具体操作,请参见管理VPN网关配额。
VPN网关中如何为网络ACL配置规则?
| VPN网关类型 | 配置规则 |
|---|---|
| IPsec-VPN | 在网络ACL的出方向和入方向分别配置规则允许以下网段及IP地址通过,以便VPN网关可以正常建立IPsec-VPN连接:
|
| SSL-VPN | 在网络ACL的出方向和入方向分别配置规则允许以下网段及IP地址通过并放开SSL-VPN的端口,以便VPN网关可以正常建立SSL-VPN连接:
|
VPN网关支持查看SSL-VPN连接下客户端的连接信息吗?
支持。
2022年12月10日之后创建的VPN网关实例默认支持查看SSL客户端的连接信息。
如果SSL服务端关联的VPN网关实例是在2022年12月10日之前创建的,则您需要将VPN网关实例升级至最新版才能查看SSL客户端的连接信息。具体操作,请参见升级VPN网关。
SSL-VPN发布前购买的VPN网关实例是否可以使用SSL-VPN功能?
不可以。
如需使用,请将VPN网关升级至最新版。具体操作,请参见升级VPN网关。