VPN 閘道執行個體是連通 VPC 與本機資料中心的雲上出入口。配置 IPsec 串連前,需先建立 VPN 閘道執行個體。
選擇VPN網關形態
VPN網關有增強型和傳統型2種形態。
當前增強型VPN網關正處於邀測階段,如需使用,請聯絡阿里雲工程師進行服務開通。
選擇建議
首次使用IPsec-VPN網關產品,建議選擇增強型。增強型VPN隨用隨付,且支援多演算法相容模式,配置更簡單。
針對正在使用傳統型VPN的使用者,如需更大的IPsec串連頻寬,建議改用增強型VPN網關,每個IPsec串連的頻寬預設獨佔1Gbps。
兩者詳細對比
對比項
增強型IPsec-VPN
傳統型VPN
頻寬
相比傳統型VPN,VPN網關執行個體不再具備頻寬規格屬性
每個IPsec串連預設支援1Gbps獨享頻寬
VPN網關執行個體具備頻寬規格屬性,最大支援1000Mbps
VPN網關執行個體下的所有IPsec串連複用網關執行個體頻寬
隧道IP
系統為每條IPsec隧道分配不同的雲上IP地址
VPN網關執行個體下的所有IPsec隧道複用相同的雲上IP地址
感興趣流網段數
10個
5個
多演算法相容
支援,可同時配置多種演算法
不支援
加密配置
密碼編譯演算法:相比傳統型VPN,新增支援AES128-GCM-16、AES256-GCM-16。
DH-Group:相比傳統型VPN,新增支援DH group15~DH group24(共計10種)。
密碼編譯演算法只支援AES-128、AES-192、AES-256、3DES、DES。
DH-Group只支援1/2/5/14。
SSL-VPN功能
不支援
支援
國密認證
不支援
支援
不支援
支援
計費
計費對象:IPsec串連
計費項目:串連費+流量費
計費對象:VPN網關
計費項目:執行個體費+流量費
示意圖
建立VPN網關
建立增強型VPN網關(控制台)
前往控制台VPN網關頁面,切換到增強型IPsec-VPN頁簽,單擊建立增強型IPsec-VPN後進行配置:
所屬地區:選擇要連通的雲上VPC所在的地區。
專用網路:選擇目標VPC。
虛擬交換器1和虛擬交換器2:需選擇關聯的 VPC 和部署於不同可用性區域的 2 個交換器,確保跨可用性區域的高可用。開啟 IPsec-VPN 後,系統會在 2 個交換器下各建立 1 個彈性網卡ENI,作為使用 IPsec 串連與 VPC 流量互連的介面。每個 ENI 會佔用交換器下的 1 個 IP地址。
建立傳統型VPN網關(控制台)
前往控制台VPN網關頁面,切換到傳統型VPN網關頁簽,單擊建立VPN網關後進行配置:
地區和可用性區域:選擇 VPC 所在的地區。
網關類型:選擇普通型,建立 IPsec 串連後將使用國際標準商用密碼演算法(普通演算法)。
網路類型:選擇公網,將分配公網 IP 以建立 IPsec 串連。如需建立私網 IPsec 串連,建議使用私網 IPsec 串連綁定轉寄路由器。
隧道:選擇雙隧道。
VPC和虛擬交換器:需選擇關聯的 VPC 和部署於不同可用性區域的 2 個交換器,確保跨可用性區域的高可用。開啟 IPsec-VPN 後,系統會在 2 個交換器下各建立 1 個彈性網卡ENI,作為使用 IPsec 串連與 VPC 流量互連的介面。每個 ENI 會佔用交換器下的 1 個 IP地址。建立 VPN 閘道後,不支援修改關聯的交換器。
頻寬峰值:不同地區下,VPN 閘道支援的最大頻寬規格不同。選擇 5Mbps 或 10 Mbps 的頻寬規格,將限制從本機資料中心去往 VPN 閘道方向的頻寬峰值為 10 Mbps。詳見配額與限制。
開啟IPsec-VPN,關閉SSL-VPN。
如果建立的 VPN 閘道未開啟 IPsec-VPN,可在目標 VPN 閘道的功能配置列單擊IPsec串連後的去開啟。
為已有的 VPN 閘道開啟 IPsec-VPN,需要為當前計費周期的剩餘時間補繳功能價差。
購買時間長度:
VPN網關的計費周期。預設值:按小時計費。
API
調用CreateEnhancedVpnGateway建立增強型VPN網關。
調用CreateVpnGateway建立傳統型VPN 閘道。
後續步驟
為實現雲上VPC和雲下IDC互連,VPN網關執行個體建立完成後還需要:
升級 VPN 閘道(僅傳統型)
傳統型VPN 閘道版本不斷演化迭代,最新版本的傳統型VPN 閘道支援更多的功能特性,最佳化了和第三方廠商裝置對接的相容性。如果 VPN 閘道非最新版本,可能會存在運行風險,強烈建議將其升級到最新版本,以體驗更多功能並獲得更穩定的網路能力。
此處的升級僅指將傳統型VPN網關的版本升級至最新。傳統型VPN網關不支援隨即轉移為增強型,只能重新建立。
升級判斷:可在 VPN 閘道詳情頁根據升級按鈕的狀態判斷 VPN 閘道是否為最新版本。新購 VPN 閘道預設為最新版本。
升級成本:
升級 VPN 閘道約需要 10 分鐘。
重要VPN 閘道升級期間無法提供服務,已有串連也會中斷。建議在網路維護視窗期間進行升級,以免影響業務運行。
升級 VPN 閘道的操作不會產生費用。
升級限制:
VPN 閘道不存在 IPsec 串連時,升級前後配置不變。
VPN 閘道存在 IPsec 串連時:
若 IPsec 串連配置了多個網段且 IKE 版本為 IKEv1,則需要將 IKE 版本修改為 IKEv2,或者將多個網段拆分為多個IPsec串連才能進行升級,否則會升級失敗。
若 VPN 閘道的策略路由表或目的路由表頁簽下存在舊版 VPN 暫不支援此功能的提示,或者 VPN 閘道在2019年03月21日之前建立且未進行過升級時:以上執行個體建立 IPsec 串連時預設僅需配置感興趣流而無需配置路由,但是為最新版本的 VPN 閘道建立 IPsec 串連時需要配置路由。因此,升級VPN網關後,需要為 VPN 閘道配置路由以確保 IPsec 串連正常工作。
其餘情境下,升級前後 IPsec 串連配置不變。
控制台
登入VPN網關管理主控台,在頂部功能表列,選擇 VPN 閘道所屬的地區。
單擊目標 VPN 閘道 ID 前往詳情頁,單擊升級。
刪除 VPN 閘道
刪除增強型VPN網關(控制台)
在目標VPN網關的操作列單擊刪除。
刪除前,需確保 VPN 閘道不存在 IPsec串連、SSL服務端和IPsec服務端。
刪除傳統型VPN網關(控制台)
API
增強型VPN:調用DeleteEnhancedVpnGateway刪除。
傳統型VPN:調用DeleteVpnGateway刪除。
配額與限制
增強型VPN網關
對於已建立的傳統型VPN網關,不支援隨即轉移成增強型IPsec-VPN形態,建議重新建立。
增強型VPN網關不支援處理解密後的IP分區報文。
在增強型VPN網關中新增路由時,當前已有的存量流量需30s時間老化,之後使用新的路由指導轉寄。對於修改和刪除路由,流量轉寄將會立即生效。
增強型VPN網關的單條隧道BGP接收路由條目超過2000時,會中斷當前隧道的路由學習功能。
其他配額類限制,詳見使用限制。
傳統型VPN網關
不同 IPsec-VPN 隧道模式、頻寬規格的傳統型 VPN 閘道,本機資料中心與傳統型 VPN 閘道之間兩個方向的頻寬峰值不完全相同。
IPsec-VPN隧道模式
傳統型VPN網關頻寬規格值
出雲方向的頻寬峰值
入雲方向的頻寬峰值
雙隧道
> 10 Mbps
傳統型VPN網關的頻寬規格值。
傳統型VPN網關的頻寬規格值。
≤ 10 Mbps
傳統型VPN網關的頻寬規格值。
10 Mbps。
單隧道
> 100 Mbps
傳統型VPN網關的頻寬規格值。
傳統型VPN網關的頻寬規格值。
≤ 100 Mbps
傳統型VPN網關的頻寬規格值。
100 Mbps。
不同地區下,傳統型VPN網關支援的最大頻寬規格不同。
分類
地區
最大支援 1000 Mbps
華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、新加坡、日本(東京)、馬來西亞(吉隆坡)、印尼(雅加達)、泰國(曼穀)、韓國(首爾)、菲律賓(馬尼拉)、美國(矽谷)、美國(維吉尼亞)、德國(法蘭克福)、英國(倫敦)、墨西哥
最大支援 500 Mbps
阿聯酋(杜拜)、沙特(利雅得)
沙特(利雅得)地區由夥伴營運。
其他配額類限制,詳見使用限制。