文档

VPN网关常见问题

更新时间:

本文汇总了VPN网关产品常见问题。

常见问题快捷链接

产品咨询

IPsec-VPN功能

SSL-VPN功能

什么是跨境连接和非跨境连接?

阿里云VPN网关在国家相关政策法规内提供服务,仅支持建立非跨境连接,不支持建立跨境连接。

跨境连接

  • 在您建立IPsec-VPN的过程中,如果本地数据中心和IPsec连接所属的地域符合以下任意一种情况即为跨境连接。

    • 本地数据中心位于中国内地地域,IPsec连接位于阿里云非中国内地地域。

    • 本地数据中心位于非中国内地地域,IPsec连接位于阿里云中国内地地域。

  • 在您建立SSL-VPN的过程中,如果客户端和SSL服务端所属的地域符合以下任意一种情况即为跨境连接。

    • 客户端位于中国内地地域,SSL服务端位于阿里云非中国内地地域。

    • 客户端位于非中国内地地域,SSL服务端位于阿里云中国内地地域。

如果您需要建立跨境连接,您可以使用云企业网产品。更多信息,请参见什么是云企业网

非跨境连接

  • 在您建立IPsec-VPN的过程中,如果本地数据中心和IPsec连接所属的地域符合以下任意一种情况即为非跨境连接。

    • 本地数据中心位于中国内地地域,IPsec连接位于阿里云中国内地地域。

    • 本地数据中心位于非中国内地地域,IPsec连接位于阿里云非中国内地地域。

  • 在您建立SSL-VPN的过程中,如果客户端和SSL服务端所属的地域符合以下任意一种情况即为非跨境连接。

    • 客户端位于中国内地地域,SSL服务端位于阿里云中国内地地域。

    • 客户端位于非中国内地地域,SSL服务端位于阿里云非中国内地地域。

阿里云VPN网关产品下包含的中国内地地域和非中国内地地域都有哪些?

地域分类

包含的地域

中国内地

华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、华东1(杭州)、华东2(上海)、华东5(南京-本地地域)、华东6(福州-本地地域)、华中1(武汉-本地地域)、西南1(成都)

非中国内地

中国香港、新加坡、马来西亚(吉隆坡)、日本(东京)、印度尼西亚(雅加达)、印度(孟买)、菲律宾(马尼拉)、韩国(首尔)、泰国(曼谷)、德国(法兰克福)、英国(伦敦)、澳大利亚(悉尼)、阿联酋(迪拜)、美国(硅谷)、美国(弗吉尼亚)

如何选择IPsec连接和SSL服务端的地域?

  • 如果IPsec连接需要绑定VPN网关实例,则IPsec连接所属的地域需和VPN网关实例所属的地域一致。

  • 如果IPsec连接需要绑定转发路由器实例,则建议您依据就近原则,为IPsec连接选择离本地数据中心最近的阿里云地域。

  • SSL服务端所属的地域需和VPN网关实例所属的地域一致。

是否可以通过VPN网关访问互联网?

不可以。

VPN网关仅提供私网接入VPC的功能,不提供访问互联网的功能。

本地站点通过IPsec-VPN接入VPC的前提条件是什么?

  • 本地站点的网关设备必须支持IKEv1和IKEv2协议。

    IPsec-VPN支持IKEv1和IKEv2协议,支持这两种协议的设备均可以和阿里云VPN网关互连。如何选择IKE版本,请参见配置IPsec-VPN连接时,如何选择IKE版本?

  • 本地站点的网关设备必须配置静态公网IP地址。

  • 本地站点和VPC之间需要互通的网段没有重叠。

关于本地站点如何通过IPsec-VPN连接至VPC,请参见建立VPC到本地数据中心的连接(单隧道模式)

哪些本地网关设备可以与阿里云VPN网关建立连接?

阿里云VPN网关支持标准的IKEv1和IKEv2协议。因此,只要支持这两种协议的设备都可以和阿里云VPN网关互连。例如华三、华为、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等。具体操作,请参见本地网关配置

VPN网关是否支持经典网络?

不支持。

VPN网关仅支持专有网络VPC(Virtual Private Cloud),如果您想在经典网络中使用VPN网关,需要在VPC中开启ClassicLink功能。具体操作,请参见在经典网络中使用IPsec-VPN在经典网络中使用SSL-VPN

跨地域VPC是否可以通过VPN网关互通?

可以。

具体操作,请参见建立VPC到VPC的连接

说明

如果您在跨地域的VPC之间建立IPsec-VPN连接,IPsec-VPN连接的网络质量会受公网质量的影响,推荐您使用云企业网在跨地域VPC之间建立连接。具体操作,请参见使用云企业网实现跨地域跨账号VPC互通(企业版)

VPC之间的互通流量是否经过互联网?

在使用VPN网关实现VPC与VPC互通的场景下:

  • 如果两个VPC位于相同的地域,则流量仅经过阿里云网络,不会经过互联网。

  • 如果两个VPC位于不同的地域,则流量会经过互联网。

IPsec服务端和SSL服务端的区别是什么?

对比项IPsec服务端SSL服务端
使用场景提供端到站点的连接。提供端到站点的连接。
客户端模式仅支持iOS系统的手机端建立和阿里云的VPN连接。支持Android系统的手机、电脑等终端建立和阿里云的VPN连接。
客户端连接模式iOS系统的手机端通过自带的VPN应用和阿里云建立VPN连接。Android系统的手机、电脑等终端通过OpenVPN软件和阿里云建立VPN连接。
加密方式IPsec协议SSL证书

是否支持在一个IPsec连接中配置多个对端网段?

支持。

在为IPsec连接配置多个对端网段前,请先了解多网段配置建议。更多信息,请参见多网段场景配置建议

每个VPN网关可以建立多少个IPsec连接?

每个VPN网关默认支持创建10个IPsec连接,您可以在阿里云控制台自助调整使用限制。具体操作,请参见管理VPN网关配额

VPN网关中如何为网络ACL配置规则?

VPN网关类型

配置规则

IPsec-VPN

在网络ACL的出方向和入方向分别配置规则允许以下网段及IP地址通过,以便VPN网关可以正常建立IPsec-VPN连接:

  • 100.64.0.0/10

    说明

    阿里云使用100.64.0.0/10网段对内提供服务,您需要允许此网段通过以便VPN网关可以正常运行。

  • 用户网关IP地址

  • VPN网关IP地址

SSL-VPN

在网络ACL的出方向和入方向分别配置规则允许以下网段及IP地址通过并放开SSL-VPN的端口,以便VPN网关可以正常建立SSL-VPN连接:

  • 100.64.0.0/10

    说明

    阿里云使用100.64.0.0/10网段对内提供服务,您需要允许此网段通过以便VPN网关可以正常运行。

  • 客户端公网IP地址

  • VPN网关IP地址

  • 放开SSL-VPN使用的端口

    例如,1194端口

是否可以升级或降低VPN网关的配置?

可以。

  • 如果您需要立即升级或降低VPN网关的带宽规格,请参见升配

  • 如果您需要立即升级或降低VPN网关的SSL连接数规格,请参见修改SSL并发连接数

  • 如果您需要开启VPN网关的IPsec-VPN功能或SSL-VPN功能,请参见开启IPsec-VPN和SSL-VPN

  • 如果您需要临时升级VPN网关的配置,例如临时升级VPN网关的带宽规格,临时开启VPN网关的SSL-VPN功能等,请参见临时升配

  • 如果您需要在下月或者续费周期内升级或降低VPN网关的配置,例如降低VPN网关带宽规格,关闭VPN网关SSL-VPN功能等,请参见续费变配

VPN网关支持查看SSL-VPN连接下客户端的连接信息吗?

支持。

具体操作,请参见查看SSL客户端的连接信息

说明
  • 2022年12月10日之后创建的VPN网关实例默认支持查看SSL客户端的连接信息。

  • 如果SSL服务端关联的VPN网关实例是在2022年12月10日之前创建的,则您需要将VPN网关实例升级至最新版才能查看SSL客户端的连接信息。具体操作,请参见升级VPN网关

SSL-VPN发布前购买的VPN网关实例是否可以使用SSL-VPN功能?

不可以。

如需使用,请将VPN网关升级至最新版。具体操作,请参见升级VPN网关

配置IPsec-VPN连接时,如何选择IKE版本?

在配置IPsec-VPN连接时,您需要根据IPsec连接对端网关设备的支持情况,以及是否需要多网段互通来选择IKE的版本。

说明

多网段互通是指您在配置IPsec连接时,配置了多个本端网段对端网段

IPsec连接对端网关设备IKE版本的支持情况

是否需要多网段互通

配置方案说明

仅支持IKEv1版本

  • IPsec连接及对端网关设备均使用IKEv1版本。

  • IPsec连接使用IKEv1版本时默认不支持多网段互通,请参见多网段配置方案推荐进行配置。

IPsec连接及对端网关设备均使用IKEv1版本。

仅支持IKEv2版本

  • IPsec连接及对端网关设备均使用IKEv2版本。

  • IPsec连接使用IKEv2版本时支持多网段互通

IPsec连接及对端网关设备均使用IKEv2版本。

同时支持IKEv1和IKEv2版本

  • IPsec连接及对端网关设备均使用IKEv2版本。

  • IPsec连接使用IKEv2版本时支持多网段互通

IPsec连接及对端网关设备推荐使用IKEv2版本。

相对于IKEv1版本,IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持,推荐使用IKEv2版本。

本地数据中心的IP地址经过NAT功能转换后,如何与阿里云VPN网关建立IPsec-VPN连接?

例如本地数据中心计划使用42.XX.XX.1这个地址与阿里云VPN网关建立IPsec-VPN连接,但是由于本地数据中心使用了SNAT功能,使用42.XX.XX.1地址发出的流量经过SNAT转换后会变成由47.XX.XX.21地址发出的流量 ,那么在阿里云VPN网关管理控制台创建用户网关实例时,用户网关实例的IP地址需填写为47.XX.XX.21,阿里云VPN网关才能与本地数据中心建立IPsec-VPN连接。

推荐本地数据中心使用IPsec协议默认端口号(500以及4500)与VPN网关之间建立IPsec-VPN连接,不建议转换端口号。

在阿里云侧如果公网VPN网关关联的VPC实例同时配置了NAT网关功能,则公网VPN网关实例的IP地址保持不变,不会经过NAT网关转换。

如何扩大IPsec-VPN连接的带宽?

IPsec连接绑定VPN网关实例场景

在IPsec连接绑定VPN网关实例的场景下,VPN网关实例最大的带宽规格为1000 Mbps(部分地域的最大带宽规格为200 Mbps)。如果您需要扩大IPsec-VPN连接的带宽,可以通过部署多个VPN网关实例实现,本地数据中心和VPN网关之间通过多个IPsec-VPN连接(多个IPsec-VPN连接关联不同的VPN网关实例 )传输流量,如下图所示。具体操作,请参见基于多个VPN网关建立高可用的IPsec-VPN连接(负载分担)IPsec连接高可用-多VPN网关

IPsec连接绑定转发路由器实例场景

在IPsec连接绑定转发路由器实例的场景下,IPsec-VPN连接最大的带宽规格为1 Gbps。如果您需要扩大IPsec-VPN连接的带宽规格,您可以在转发路由器和本地数据中心之间建立多个IPsec-VPN连接,本地数据中心和阿里云之间同时通过多个IPsec-VPN连接传输流量,如下图所示。具体操作,请参见建立多条公网IPsec-VPN连接实现流量的负载分担建立多条私有IPsec-VPN连接实现私网流量的负载分担

  • IPsec连接的网络类型为公网的场景:

    IPsec连接绑定TR最佳实践-公网-场景图

  • IPsec连接的网络类型为私网的场景:

    IPsec连接绑定TR最佳实践-私网-场景图

VPC实例其他可用区的ECS实例是否支持通过VPN网关实例转发流量

支持。

创建VPN网关实例时,您需要指定交换机,系统将在指定交换机所属的可用区下部署VPN网关。VPN网关实例创建完成后可以转发VPC实例所有可用区下ECS实例的流量。

您可能需要依据实际场景添加一些路由配置来实现VPN网关实例转发ECS实例的流量。例如一些可用区下的交换机关联的是VPC实例的自定义路由表,则您需要在VPC实例的自定义路由表下添加一条指向VPN网关实例的自定义路由。

在VPN网关实例下添加路由时系统提示路由重复等报错时怎么办?

在VPN网关实例下添加路由时系统报错,通常是以下2个原因:

  • 您添加的路由的目标网段与VPC实例下的路由的目标网段相同,请排查VPC实例路由表下的路由配置,解决路由冲突问题。

  • 您添加的路由与VPN网关实例下的路由冲突,请排查VPN网关实例策略路由表、目的路由表下的路由配置,解决路由冲突问题。

    • 如果您添加的是目的路由,且目的路由的目标网段和下一跳与VPN网关实例下已有的目的路由的目标网段和下一跳相同,则会产生路由冲突。

    • 如果您添加的是策略路由,且策略路由的源网段、目标网段、下一跳与VPN网关实例下已有的策略路由的源网段、目标网段、下一跳相同,则会产生路由冲突。

为什么VPN连接的带宽达不到购买的带宽规格?

购买VPN网关产品后,VPN网关产品将为您提供购买的带宽规格能力。但VPN网关产品传输流量的过程中以下因素可能会影响您的带宽体验:

  • 用户网关实例关联设备的功能、连接的容量、平均数据包大小、所用的协议(TCP与UDP)。

  • 用户网关实例关联设备与VPN网关之间的网络延迟。

    说明

    如果您购买了公网网络类型的VPN网关实例或使用公网网络类型的IPsec连接时,公网带宽能力、公网时延可能会影响您的带宽体验。

如果您需要测试VPN网关产品的带宽,推荐您使用iPerf3工具进行测试。使用FTP、SCP、CP等命令传输文件的速率由于受到磁盘读写速度的影响无法反映真实的带宽速率。如何使用iPerf3工具,请参见使用iPerf3测试物理专线的带宽

如果您对传输质量有要求,建议您使用云企业网产品。

VPC与公网地址互通的流量可以通过VPN网关加密吗?

可以。

使用VPN网关加密访问VPC内资源时,如果您的客户端或者本地数据中心需要使用公网地址进行访问,需满足以下条件:

  1. 将公网地址所属网段添加到VPN网关中:

    • 如果您使用了IPsec-VPN,则需要将公网网段添加到IPsec连接的对端网段中。

    • 如果您使用了SSL-VPN,则需要将公网网段添加到SSL服务端的客户端网段中。

  2. 将公网网段设置为VPC的用户网段,以确保VPC可以访问到该公网网段。关于用户网段的更多信息,请参见什么是用户网段?如何配置用户网段?

路由条目超限怎么办?

在您使用策略路由、目的路由或BGP动态路由时,如果因为路由条目超限导致无法新增路由条目或IPsec连接无法学习到BGP路由条目,您可以通过以下两种方式解决问题:

  • 提升路由条目配额。

    支持提升策略路由条目、目的路由条目或BGP路由条目的配额。更多信息,请参见配额

  • 配置聚合路由。

    在不影响您业务的前提下,将已经配置的多条路由条目聚合为一条路由条目。

    例如您已经配置了目标网段分别为10.10.1.0/24、10.10.2.0/24、10.10.3.0/24,下一跳指向相同IPsec连接(例如IPsec连接1)的三条目的路由,您可以新增一条目标网段为10.10.0.0/22,下一跳指向IPsec连接1的目的路由,然后再删除上述三条目的路由,以节省目的路由条目配额。

  • 本页导读 (1)