本文匯總了VPN網關產品常見問題。
常見問題快捷連結
產品諮詢
IPsec-VPN功能
SSL-VPN功能
是否可以通過VPN網關訪問互連網?
不可以。
VPN網關僅提供私網接入VPC的功能,不提供訪問互連網的功能。
本地網站通過IPsec-VPN接入VPC的前提條件是什嗎?
本地網站的網關裝置必須支援IKEv1和IKEv2協議。
IPsec-VPN支援IKEv1和IKEv2協議,支援這兩種協議的裝置均可以和阿里雲VPN網關互連。如何選擇IKE版本,請參見配置IPsec-VPN串連時,如何選擇IKE版本?。
本地網站的網關裝置必須配置靜態公網IP地址。
本地網站和VPC之間需要互連的網段沒有重疊。
關於本地網站如何通過IPsec-VPN串連至VPC,請參見建立VPC到本機資料中心的串連(雙隧道模式)。
哪些本地網關裝置可以與阿里雲VPN網關建立串連?
阿里雲VPN網關支援標準的IKEv1和IKEv2協議。因此,只要支援這兩種協議的裝置都可以和阿里雲VPN網關互連。例如華三、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等。具體操作,請參見本地網關裝置配置樣本。
跨地區VPC是否可以通過VPN網關互連?
可以。
具體操作,請參見建立VPC到VPC的IPsec-VPN串連(雙隧道模式)。
如果您在跨地區的VPC之間建立IPsec-VPN串連,IPsec-VPN串連的網路品質會受公網品質的影響,推薦您使用雲企業網在跨地區VPC之間建立串連。具體操作,請參見使用雲企業網實現跨地區跨帳號VPC互連(企業版)。
VPC之間的互連流量是否經過互連網?
在使用VPN網關實現VPC與VPC互連的情境下:
如果兩個VPC位於相同的地區,則流量僅經過阿里雲網路,不會經過互連網。
如果兩個VPC位於不同的地區,則流量會經過互連網。
IPsec服務端和SSL服務端的區別是什嗎?
對比項 | IPsec服務端 | SSL服務端 |
使用情境 | 提供端到網站的串連。 | 提供端到網站的串連。 |
用戶端模式 | 僅支援iOS系統的手機端建立和阿里雲的VPN串連。 | 支援Android系統的手機、電腦等終端建立和阿里雲的VPN串連。 |
用戶端串連模式 | iOS系統的手機端通過內建的VPN應用和阿里雲建立VPN串連。 | Android系統的手機、電腦等終端通過OpenVPN軟體和阿里雲建立VPN串連。 |
加密方式 | IPsec協議 | SSL認證 |
是否支援在一個IPsec串連中配置多個對端網段?
支援。
在為IPsec串連配置多個對端網段前,請先瞭解多網段配置建議。更多資訊,請參見多網段情境配置建議。
每個VPN網關可以建立多少個IPsec串連?
每個VPN網關預設支援建立10個IPsec串連,您可以在阿里雲控制台自助調整使用限制。具體操作,請參見管理VPN網關配額。
VPN網關中如何為網路ACL配置規則?
VPN網關類型 | 配置規則 |
IPsec-VPN | 在網路ACL的出方向和入方向分別配置規則允許以下網段及IP地址通過,以便VPN網關可以正常建立IPsec-VPN串連:
|
SSL-VPN | 在網路ACL的出方向和入方向分別配置規則允許以下網段及IP地址通過並放開SSL-VPN的連接埠,以便VPN網關可以正常建立SSL-VPN串連:
|
是否可以升級或降低VPN網關的配置?
可以。
如果您需要升級或降低VPN網關的頻寬規格,請參見升配。
如果您需要升級或降低VPN網關的SSL串連數規格,請參見修改SSL並發串連數。
如果您需要開啟VPN網關的IPsec-VPN功能或SSL-VPN功能,請參見開啟IPsec-VPN和開啟SSL-VPN功能。
VPN網關支援查看SSL-VPN串連下用戶端的串連資訊嗎?
支援。
具體操作,請參見查看SSL用戶端的串連資訊。
2022年12月10日之後建立的VPN網關執行個體預設支援查看SSL用戶端的串連資訊。
如果SSL服務端關聯的VPN網關執行個體是在2022年12月10日之前建立的,則您需要將VPN網關執行個體升級至最新版才能查看SSL用戶端的串連資訊。具體操作,請參見升級VPN網關。
SSL-VPN發布前購買的VPN網關執行個體是否可以使用SSL-VPN功能?
不可以。
如需使用,請將VPN網關升級至最新版。具體操作,請參見升級VPN網關。
配置IPsec-VPN串連時,如何選擇IKE版本?
在配置IPsec-VPN串連時,您需要根據IPsec串連對端網關裝置的支援情況,以及是否需要多網段互連來選擇IKE的版本。
多網段互連是指您在配置IPsec串連時,配置了多個本端網段或對端網段。
IPsec串連對端網關裝置IKE版本的支援情況 | 是否需要多網段互連 | 配置方案說明 |
僅支援IKEv1版本 | 是 |
|
否 | IPsec串連及對端網關裝置均使用IKEv1版本。 | |
僅支援IKEv2版本 | 是 |
|
否 | IPsec串連及對端網關裝置均使用IKEv2版本。 | |
同時支援IKEv1和IKEv2版本 | 是 |
|
否 | IPsec串連及對端網關裝置推薦使用IKEv2版本。 相對於IKEv1版本,IKEv2版本簡化了SA的協商過程並且對於多網段的情境提供了更好的支援,推薦使用IKEv2版本。 |
本機資料中心的IP地址經過NAT功能轉換後,如何與阿里雲VPN網關建立IPsec-VPN串連?
例如本機資料中心計劃使用42.XX.XX.1這個地址與阿里雲VPN網關建立IPsec-VPN串連,但是由於本機資料中心使用了SNAT功能,使用42.XX.XX.1地址發出的流量經過SNAT轉換後會變成由47.XX.XX.21地址發出的流量 ,那麼在阿里雲VPN網關管理主控台建立使用者網關執行個體時,使用者網關執行個體的IP地址需填寫為47.XX.XX.21,阿里雲VPN網關才能與本機資料中心建立IPsec-VPN串連。
推薦本機資料中心使用IPsec協議預設連接埠號碼(500以及4500)與VPN網關之間建立IPsec-VPN串連,不建議轉換連接埠號碼。
在阿里雲側如果公網VPN網關關聯的VPC執行個體同時配置了NAT Gateway功能,則公網VPN網關執行個體的IP地址保持不變,不會經過NAT Gateway轉換。
如何擴大IPsec-VPN串連的頻寬?
在IPsec串連綁定VPN網關執行個體的情境下,VPN網關執行個體最大的頻寬規格為1000 Mbps(部分地區的最大頻寬規格為500 Mbps)。如果您需要擴大IPsec-VPN串連的頻寬,推薦您使用IPsec串連綁定轉寄路由器執行個體的方式將本機資料中心接入阿里雲,通過轉寄路由器實現本機資料中心與VPC的網路互連。
在IPsec串連綁定轉寄路由器執行個體的情境下,單個IPsec-VPN串連最大的頻寬規格為1000 Mbps。如果您需要擴大IPsec-VPN串連的頻寬規格,您可以在轉寄路由器和本機資料中心之間建立多個IPsec-VPN串連,本機資料中心和阿里雲之間同時通過多個IPsec-VPN串連傳輸串流量,如下圖所示。具體操作,請參見建立多條公網IPsec-VPN串連實現流量的負載分擔和建立多條私人IPsec-VPN串連實現私網流量的負載分擔。
IPsec串連的網路類型為公網的情境:
IPsec串連的網路類型為私網的情境:
VPC執行個體其他可用性區域的ECS執行個體是否支援通過VPN網關執行個體轉寄流量?
支援。
建立VPN網關執行個體時,您需要指定交換器,系統將在指定交換器所屬的可用性區域下部署VPN網關。VPN網關執行個體建立完成後可以轉寄VPC執行個體所有可用性區域下ECS執行個體的流量。
您可能需要依據實際情境添加一些路由配置來實現VPN網關執行個體轉寄ECS執行個體的流量。例如一些可用性區域下的交換器關聯的是VPC執行個體的自訂路由表,則您需要在VPC執行個體的自訂路由表下添加一條指向VPN網關執行個體的自訂路由。
在VPN網關執行個體下添加路由時系統提示路由重複等報錯時怎麼辦?
在VPN網關執行個體下添加路由時系統報錯,通常是以下2個原因:
您添加的路由的目標網段與VPC執行個體下的路由的目標網段相同,請排查VPC執行個體路由表下的路由配置,解決路由衝突問題。
您添加的路由與VPN網關執行個體下的路由衝突,請排查VPN網關執行個體策略路由表、目的路由表下的路由配置,解決路由衝突問題。
如果您添加的是目的路由,且目的路由的目標網段和下一跳與VPN網關執行個體下已有的目的路由的目標網段和下一跳相同,則會產生路由衝突。
如果您添加的是策略路由,且策略路由的源網段、目標網段、下一跳與VPN網關執行個體下已有的策略路由的源網段、目標網段、下一跳相同,則會產生路由衝突。
為什麼VPN串連的頻寬達不到購買的頻寬規格?
購買VPN網關產品後,VPN網關產品將為您提供購買的頻寬規格能力。但VPN網關產品傳輸串流量的過程中以下因素可能會影響您的頻寬體驗:
使用者網關執行個體關聯裝置的功能、串連的容量、平均資料包大小、所用的協議(TCP與UDP)。
使用者網關執行個體關聯裝置與VPN網關之間的網路延遲。
說明如果您購買了公網網路類型的VPN網關執行個體或使用公網網路類型的IPsec串連時,公網頻寬能力、公網時延可能會影響您的頻寬體驗。
如果您需要測試VPN網關產品的頻寬,推薦您使用iPerf3工具進行測試。使用FTP、SCP、CP等命令傳輸檔案的速率由於受到磁碟讀寫速度的影響無法反映真實的頻寬速率。如何使用iPerf3工具,請參見使用iPerf3測試物理專線的頻寬。
如果您對傳輸品質有要求,建議您使用雲企業網產品。
VPC與公網地址互連的流量可以通過VPN網關加密嗎?
可以。
使用VPN網關加密訪問VPC內資源時,如果您的用戶端或者本機資料中心需要使用公網地址進行訪問,需滿足以下條件:
將公網地址所屬網段添加到VPN網關中:
如果您使用了IPsec-VPN,則需要將公網網段添加到IPsec串連的對端網段中。
如果您使用了SSL-VPN,則需要將公網網段添加到SSL服務端的客戶端網段中。
將公網網段設定為VPC的使用者網段,以確保VPC可以訪問到該公網網段。關於使用者網段的更多資訊,請參見什麼是使用者網段?和如何配置使用者網段?。
路由條目超限怎麼辦?
在您使用原則路由、目的路由或BGP動態路由時,如果因為路由條目超限導致無法新增路由條目或IPsec串連無法學習到BGP路由條目,您可以通過以下兩種方式解決問題:
提升路由條目配額。
支援提升策略路由條目、目的路由條目或BGP路由條目的配額。更多資訊,請參見IPsec-VPN配額。
配置彙總路由。
在不影響您業務的前提下,將已經配置的多條路由條目彙總為一條路由條目。
例如您已經配置了目標網段分別為10.10.1.0/24、10.10.2.0/24、10.10.3.0/24,下一跳指向相同IPsec串連(例如IPsec串連1)的三條目的路由,您可以新增一條目標網段為10.10.0.0/22,下一跳指向IPsec串連1的目的路由,然後再刪除上述三條目的路由,以節省目的路由條目配額。