全部產品
Search

搜尋本產品

    VPN Gateway:iPhone/iPad通過SSL-VPN串連VPC

    文件中心

    VPN Gateway:iPhone/iPad通過SSL-VPN串連VPC

    更新時間:Jan 08, 2026

    可通過SSL-VPN打通iPhone/iPad與雲上VPC內網,實現互連網環境下的安全訪問。

    其他類型的用戶端,請查看用戶端通過SSL-VPN遠程加密訪問VPC

    情境樣本

    目標:建立SSL-VPN網關,使用iPhone/iPad內建的VPN應用,通過內網IP安全訪問VPC內的ECS執行個體。

    image

    資源規劃如下:

    • VPC

      • 名稱:vpc-demo

      • 地區:華東1(杭州)

      • 網段:10.0.0.0/16

      • 交換器:建立2個,名稱分別為vsw1vsw2

        • vsw1位於可用性區域J,網段:10.0.0.0/24

        • vsw2位於可用性區域K,網段:10.0.1.0/24

      • ECS:地址為10.0.0.1,作業系統為Alibaba Cloud Linux 3.2104 LTS 64位

    • iPhone/iPad所在的本地網段:172.16.0.0/16

    重要

    • 本情境需VPC所在地區支援IPsec服務端功能,當前僅這些地區支援:,華東1(杭州)、華東2(上海)、華東5(南京-本地地區)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、日本(東京)、韓國(首爾)、新加坡、馬來西亞(吉隆坡)、印尼(雅加達)、菲律賓(馬尼拉)、泰國(曼穀)、德國(法蘭克福)、英國(倫敦)、美國(維吉尼亞)、美國(矽谷)、阿聯酋(杜拜)、墨西哥沙特(利雅得)- 夥伴營運

    • 如果您的業務VPC所在的地區不支援IPsec服務端,您將無法使用本文描述的方法(基於iPhone/iPad內建VPN功能)進行串連,請考慮:

      • 方法一:先在支援的地區建立VPC並建立VPN網關,再將此VPC和業務VPC連通,具體步驟參考用戶端訪問跨VPC資源

      • 方法二:將業務遷移到支援地區的VPC。

    步驟一:建立VPN網關

    VPN 閘道是 SSL-VPN 串連在雲上的出入口。

    • 如果您計劃使用存量的VPN網關實現本文情境,需確保VPN網關:

      1. 不能存在IPsec串連。如果您的存量VPN網關上已配置了IPsec串連,則需建立一台新的VPN網關。

      2. 開啟SSL-VPN功能

      3. 升級至最新版本

    • 如果您未建立過VPN網關,下面是建立步驟:

      1. 登入VPN網關管理主控台。在VPN網關頁面,單擊建立VPN網關

        image

      2. VPN網關頁面,按照如下資訊進行配置,其他配置項保持預設,然後單擊立即購買並完成支付。

        執行個體名稱:VPN網關1。

        地區:華東1(杭州)。

        網關類型:普通型。

        專用網路:選擇用戶端要串連的VPC。

        虛擬交換器1: 交換器1。

        虛擬交換器2: 交換器2。

        頻寬峰值:10Mbps。

        流量:VPN網關預設按使用流量計費。更多資訊,請參見SSL-VPN計費說明

        IPsec-VPN:關閉。

        SSL-VPN:開啟。

        SSL串連數:5。

        購買時間長度:VPN網關預設按小時計費。

        服務關聯角色:單擊建立服務關聯角色。(若本配置項顯示為已建立,則表示您的帳號下已建立了該角色)

      3. 回到VPN網關管理主控台頁面,您可以看到已建立的VPN網關。

        image

        剛建立好的VPN網關的狀態是準備中,約1~5分鐘會變成正常狀態。正常狀態就表明VPN網關已完成初始化,可以正常使用。

    步驟二:建立IPsec服務端

    IPsec服務端用於定義用戶端的串連策略,包括認證方式、可訪問的雲上網路範圍以及用戶端位址集區。

    1. 前往IPsec服務端頁面,在頂部功能表列切換至華東1(杭州)地區後,單擊建立IPsec服務端

      image

    2. 建立IPsec服務端頁面,進行配置:

      • 名稱:輸入server-demo

      • VPN網關:選擇剛剛建立的VPN網關。

      • 本端網段:輸入10.0.0.0/16

        此網段是您希望iPhone/iPad訪問的雲上網路範圍,通常是您的VPC網段。

      • 客戶端網段:指 VPN 閘道用於向iPhone/iPad分配 IP 的位址集區,不能與本端網段或用戶端已經使用的網段(例如)重疊。建議使用不易衝突的 RFC 1918 私人網段(例如 10.222.222.0/24)。

      • 預先共用金鑰:用於IPsec服務端與手機用戶端之間的身份認證,預設隨機產生。您也可以手動指定密鑰,但必須確保密碼具有高強度,例如包含大小寫字母、數字和特殊符號且長度至少為16位。嚴禁使用弱密鑰。請妥善保管此密鑰,並定期更換。

      • 立即生效:選擇

        是:配置完成後立即進行協商。否:當有流量進入時進行協商。

      其他選項保持預設。關於這些選項的詳細說明,請查看建立和管理IPsec服務端

      image

    3. 建立成功後,在IPsec服務端頁面記下IP地址,以供後續在iPhone/iPad配置時使用。

      image

    步驟三:配置iPhone/iPad

    此步驟將在iPhone/iPad上添加一個IKEv2 VPN配置,以串連到已建立的IPsec服務端。

    以下內容以iOS系統的iPhone為例:

    1. 進入設定 > 通用 > VPN與裝置管理 > VPN,然後點擊添加VPN配置

      • 類型:保持預設的IKEv2

      • 描述:輸入demo

      • 伺服器:輸入在步驟二最後記下的IPsec服務端IP地址

      • 遠程ID:同上,再次輸入在步驟二最後記下的IPsec服務端IP地址

      • 本地ID:不填。

      • 使用者評鑑:選擇

      • 使用認證:關閉。

      • 密鑰:輸入在建立IPsec服務端時設定的預先共用金鑰,可在剛剛建立的IPsec服務端操作列單擊編輯按鈕擷取。

      • 代理:關閉。

      配置完畢後,單擊右上方的完成

    2. VPN頁面,先選中目標VPN配置,再開啟狀態開關。待VPN狀態顯示已串連表示VPN串連成功。

      image

    步驟四:訪問測試

    1. 登入ECS,安裝Nginx服務:

      # 在ECS上執行(以Alibaba Cloud Linux 3 為例:)
yum install -y nginx
systemctl start nginx.service

    2. 在ECS執行個體關聯的安全性群組中添加入方向規則,允許客戶端網段10.222.222.0/24)訪問ECS的TCP/80連接埠的流量。

    3. 在iPhone/iPad上開啟Safari瀏覽器,輸入ECS執行個體的內網IP地址10.0.0.1。如果能看到 Nginx 歡迎頁面,則證明已成功訪問到ECS執行個體。

      image