VPN網(wǎng)關(guān)常見問題
本文匯總了VPN網(wǎng)關(guān)產(chǎn)品常見問題。
常見問題快捷鏈接
產(chǎn)品咨詢
IPsec-VPN功能
SSL-VPN功能
是否可以通過VPN網(wǎng)關(guān)訪問互聯(lián)網(wǎng)?
不可以。
VPN網(wǎng)關(guān)僅提供私網(wǎng)接入VPC的功能,不提供訪問互聯(lián)網(wǎng)的功能。
本地站點通過IPsec-VPN接入VPC的前提條件是什么?
本地站點的網(wǎng)關(guān)設(shè)備必須支持IKEv1和IKEv2協(xié)議。
IPsec-VPN支持IKEv1和IKEv2協(xié)議,支持這兩種協(xié)議的設(shè)備均可以和阿里云VPN網(wǎng)關(guān)互連。如何選擇IKE版本,請參見配置IPsec-VPN連接時,如何選擇IKE版本?。
本地站點的網(wǎng)關(guān)設(shè)備必須配置靜態(tài)公網(wǎng)IP地址。
本地站點和VPC之間需要互通的網(wǎng)段沒有重疊。
關(guān)于本地站點如何通過IPsec-VPN連接至VPC,請參見建立VPC到本地數(shù)據(jù)中心的連接(雙隧道模式)。
哪些本地網(wǎng)關(guān)設(shè)備可以與阿里云VPN網(wǎng)關(guān)建立連接?
阿里云VPN網(wǎng)關(guān)支持標準的IKEv1和IKEv2協(xié)議。因此,只要支持這兩種協(xié)議的設(shè)備都可以和阿里云VPN網(wǎng)關(guān)互連。例如華三、華為、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等。具體操作,請參見本地網(wǎng)關(guān)配置。
跨地域VPC是否可以通過VPN網(wǎng)關(guān)互通?
可以。
具體操作,請參見建立VPC到VPC的IPsec-VPN連接(雙隧道模式)。
如果您在跨地域的VPC之間建立IPsec-VPN連接,IPsec-VPN連接的網(wǎng)絡質(zhì)量會受公網(wǎng)質(zhì)量的影響,推薦您使用云企業(yè)網(wǎng)在跨地域VPC之間建立連接。具體操作,請參見使用云企業(yè)網(wǎng)實現(xiàn)跨地域跨賬號VPC互通(企業(yè)版)。
VPC之間的互通流量是否經(jīng)過互聯(lián)網(wǎng)?
在使用VPN網(wǎng)關(guān)實現(xiàn)VPC與VPC互通的場景下:
如果兩個VPC位于相同的地域,則流量僅經(jīng)過阿里云網(wǎng)絡,不會經(jīng)過互聯(lián)網(wǎng)。
如果兩個VPC位于不同的地域,則流量會經(jīng)過互聯(lián)網(wǎng)。
IPsec服務端和SSL服務端的區(qū)別是什么?
對比項 | IPsec服務端 | SSL服務端 |
使用場景 | 提供端到站點的連接。 | 提供端到站點的連接。 |
客戶端模式 | 僅支持iOS系統(tǒng)的手機端建立和阿里云的VPN連接。 | 支持Android系統(tǒng)的手機、電腦等終端建立和阿里云的VPN連接。 |
客戶端連接模式 | iOS系統(tǒng)的手機端通過自帶的VPN應用和阿里云建立VPN連接。 | Android系統(tǒng)的手機、電腦等終端通過OpenVPN軟件和阿里云建立VPN連接。 |
加密方式 | IPsec協(xié)議 | SSL證書 |
是否支持在一個IPsec連接中配置多個對端網(wǎng)段?
支持。
在為IPsec連接配置多個對端網(wǎng)段前,請先了解多網(wǎng)段配置建議。更多信息,請參見多網(wǎng)段場景配置建議。
每個VPN網(wǎng)關(guān)可以建立多少個IPsec連接?
每個VPN網(wǎng)關(guān)默認支持創(chuàng)建10個IPsec連接,您可以在阿里云控制臺自助調(diào)整使用限制。具體操作,請參見管理VPN網(wǎng)關(guān)配額。
VPN網(wǎng)關(guān)中如何為網(wǎng)絡ACL配置規(guī)則?
VPN網(wǎng)關(guān)類型 | 配置規(guī)則 |
IPsec-VPN | 在網(wǎng)絡ACL的出方向和入方向分別配置規(guī)則允許以下網(wǎng)段及IP地址通過,以便VPN網(wǎng)關(guān)可以正常建立IPsec-VPN連接:
|
SSL-VPN | 在網(wǎng)絡ACL的出方向和入方向分別配置規(guī)則允許以下網(wǎng)段及IP地址通過并放開SSL-VPN的端口,以便VPN網(wǎng)關(guān)可以正常建立SSL-VPN連接:
|
是否可以升級或降低VPN網(wǎng)關(guān)的配置?
可以。
如果您需要立即升級或降低VPN網(wǎng)關(guān)的帶寬規(guī)格,請參見升配。
如果您需要立即升級或降低VPN網(wǎng)關(guān)的SSL連接數(shù)規(guī)格,請參見修改SSL并發(fā)連接數(shù)。
如果您需要開啟VPN網(wǎng)關(guān)的IPsec-VPN功能或SSL-VPN功能,請參見開啟IPsec-VPN和開啟SSL-VPN功能。
如果您需要臨時升級VPN網(wǎng)關(guān)的配置,例如臨時升級VPN網(wǎng)關(guān)的帶寬規(guī)格,臨時開啟VPN網(wǎng)關(guān)的IPsec-VPN功能等,請參見臨時升配。
如果您需要在下月或者續(xù)費周期內(nèi)升級或降低VPN網(wǎng)關(guān)的配置,例如降低VPN網(wǎng)關(guān)帶寬規(guī)格,關(guān)閉VPN網(wǎng)關(guān)IPsec-VPN功能等,請參見續(xù)費變配。
VPN網(wǎng)關(guān)支持查看SSL-VPN連接下客戶端的連接信息嗎?
支持。
具體操作,請參見查看SSL客戶端的連接信息。
2022年12月10日之后創(chuàng)建的VPN網(wǎng)關(guān)實例默認支持查看SSL客戶端的連接信息。
如果SSL服務端關(guān)聯(lián)的VPN網(wǎng)關(guān)實例是在2022年12月10日之前創(chuàng)建的,則您需要將VPN網(wǎng)關(guān)實例升級至最新版才能查看SSL客戶端的連接信息。具體操作,請參見升級VPN網(wǎng)關(guān)。
SSL-VPN發(fā)布前購買的VPN網(wǎng)關(guān)實例是否可以使用SSL-VPN功能?
不可以。
如需使用,請將VPN網(wǎng)關(guān)升級至最新版。具體操作,請參見升級VPN網(wǎng)關(guān)。
配置IPsec-VPN連接時,如何選擇IKE版本?
在配置IPsec-VPN連接時,您需要根據(jù)IPsec連接對端網(wǎng)關(guān)設(shè)備的支持情況,以及是否需要多網(wǎng)段互通來選擇IKE的版本。
多網(wǎng)段互通是指您在配置IPsec連接時,配置了多個本端網(wǎng)段或對端網(wǎng)段。
IPsec連接對端網(wǎng)關(guān)設(shè)備IKE版本的支持情況 | 是否需要多網(wǎng)段互通 | 配置方案說明 |
僅支持IKEv1版本 | 是 |
|
否 | IPsec連接及對端網(wǎng)關(guān)設(shè)備均使用IKEv1版本。 | |
僅支持IKEv2版本 | 是 |
|
否 | IPsec連接及對端網(wǎng)關(guān)設(shè)備均使用IKEv2版本。 | |
同時支持IKEv1和IKEv2版本 | 是 |
|
否 | IPsec連接及對端網(wǎng)關(guān)設(shè)備推薦使用IKEv2版本。 相對于IKEv1版本,IKEv2版本簡化了SA的協(xié)商過程并且對于多網(wǎng)段的場景提供了更好的支持,推薦使用IKEv2版本。 |
本地數(shù)據(jù)中心的IP地址經(jīng)過NAT功能轉(zhuǎn)換后,如何與阿里云VPN網(wǎng)關(guān)建立IPsec-VPN連接?
例如本地數(shù)據(jù)中心計劃使用42.XX.XX.1這個地址與阿里云VPN網(wǎng)關(guān)建立IPsec-VPN連接,但是由于本地數(shù)據(jù)中心使用了SNAT功能,使用42.XX.XX.1地址發(fā)出的流量經(jīng)過SNAT轉(zhuǎn)換后會變成由47.XX.XX.21地址發(fā)出的流量 ,那么在阿里云VPN網(wǎng)關(guān)管理控制臺創(chuàng)建用戶網(wǎng)關(guān)實例時,用戶網(wǎng)關(guān)實例的IP地址需填寫為47.XX.XX.21,阿里云VPN網(wǎng)關(guān)才能與本地數(shù)據(jù)中心建立IPsec-VPN連接。
推薦本地數(shù)據(jù)中心使用IPsec協(xié)議默認端口號(500以及4500)與VPN網(wǎng)關(guān)之間建立IPsec-VPN連接,不建議轉(zhuǎn)換端口號。
在阿里云側(cè)如果公網(wǎng)VPN網(wǎng)關(guān)關(guān)聯(lián)的VPC實例同時配置了NAT網(wǎng)關(guān)功能,則公網(wǎng)VPN網(wǎng)關(guān)實例的IP地址保持不變,不會經(jīng)過NAT網(wǎng)關(guān)轉(zhuǎn)換。
如何擴大IPsec-VPN連接的帶寬?
在IPsec連接綁定VPN網(wǎng)關(guān)實例的場景下,VPN網(wǎng)關(guān)實例最大的帶寬規(guī)格為1000 Mbps(部分地域的最大帶寬規(guī)格為500 Mbps)。如果您需要擴大IPsec-VPN連接的帶寬,推薦您使用IPsec連接綁定轉(zhuǎn)發(fā)路由器實例的方式將本地數(shù)據(jù)中心接入阿里云,通過轉(zhuǎn)發(fā)路由器實現(xiàn)本地數(shù)據(jù)中心與VPC的網(wǎng)絡互通。
在IPsec連接綁定轉(zhuǎn)發(fā)路由器實例的場景下,單個IPsec-VPN連接最大的帶寬規(guī)格為1000 Mbps。如果您需要擴大IPsec-VPN連接的帶寬規(guī)格,您可以在轉(zhuǎn)發(fā)路由器和本地數(shù)據(jù)中心之間建立多個IPsec-VPN連接,本地數(shù)據(jù)中心和阿里云之間同時通過多個IPsec-VPN連接傳輸流量,如下圖所示。具體操作,請參見建立多條公網(wǎng)IPsec-VPN連接實現(xiàn)流量的負載分擔和建立多條私有IPsec-VPN連接實現(xiàn)私網(wǎng)流量的負載分擔。
IPsec連接的網(wǎng)絡類型為公網(wǎng)的場景:
IPsec連接的網(wǎng)絡類型為私網(wǎng)的場景:
VPC實例其他可用區(qū)的ECS實例是否支持通過VPN網(wǎng)關(guān)實例轉(zhuǎn)發(fā)流量?
支持。
創(chuàng)建VPN網(wǎng)關(guān)實例時,您需要指定交換機,系統(tǒng)將在指定交換機所屬的可用區(qū)下部署VPN網(wǎng)關(guān)。VPN網(wǎng)關(guān)實例創(chuàng)建完成后可以轉(zhuǎn)發(fā)VPC實例所有可用區(qū)下ECS實例的流量。
您可能需要依據(jù)實際場景添加一些路由配置來實現(xiàn)VPN網(wǎng)關(guān)實例轉(zhuǎn)發(fā)ECS實例的流量。例如一些可用區(qū)下的交換機關(guān)聯(lián)的是VPC實例的自定義路由表,則您需要在VPC實例的自定義路由表下添加一條指向VPN網(wǎng)關(guān)實例的自定義路由。
在VPN網(wǎng)關(guān)實例下添加路由時系統(tǒng)提示路由重復等報錯時怎么辦?
在VPN網(wǎng)關(guān)實例下添加路由時系統(tǒng)報錯,通常是以下2個原因:
您添加的路由的目標網(wǎng)段與VPC實例下的路由的目標網(wǎng)段相同,請排查VPC實例路由表下的路由配置,解決路由沖突問題。
您添加的路由與VPN網(wǎng)關(guān)實例下的路由沖突,請排查VPN網(wǎng)關(guān)實例策略路由表、目的路由表下的路由配置,解決路由沖突問題。
如果您添加的是目的路由,且目的路由的目標網(wǎng)段和下一跳與VPN網(wǎng)關(guān)實例下已有的目的路由的目標網(wǎng)段和下一跳相同,則會產(chǎn)生路由沖突。
如果您添加的是策略路由,且策略路由的源網(wǎng)段、目標網(wǎng)段、下一跳與VPN網(wǎng)關(guān)實例下已有的策略路由的源網(wǎng)段、目標網(wǎng)段、下一跳相同,則會產(chǎn)生路由沖突。
為什么VPN連接的帶寬達不到購買的帶寬規(guī)格?
購買VPN網(wǎng)關(guān)產(chǎn)品后,VPN網(wǎng)關(guān)產(chǎn)品將為您提供購買的帶寬規(guī)格能力。但VPN網(wǎng)關(guān)產(chǎn)品傳輸流量的過程中以下因素可能會影響您的帶寬體驗:
用戶網(wǎng)關(guān)實例關(guān)聯(lián)設(shè)備的功能、連接的容量、平均數(shù)據(jù)包大小、所用的協(xié)議(TCP與UDP)。
用戶網(wǎng)關(guān)實例關(guān)聯(lián)設(shè)備與VPN網(wǎng)關(guān)之間的網(wǎng)絡延遲。
說明如果您購買了公網(wǎng)網(wǎng)絡類型的VPN網(wǎng)關(guān)實例或使用公網(wǎng)網(wǎng)絡類型的IPsec連接時,公網(wǎng)帶寬能力、公網(wǎng)時延可能會影響您的帶寬體驗。
如果您需要測試VPN網(wǎng)關(guān)產(chǎn)品的帶寬,推薦您使用iPerf3工具進行測試。使用FTP、SCP、CP等命令傳輸文件的速率由于受到磁盤讀寫速度的影響無法反映真實的帶寬速率。如何使用iPerf3工具,請參見使用iPerf3測試物理專線的帶寬。
如果您對傳輸質(zhì)量有要求,建議您使用云企業(yè)網(wǎng)產(chǎn)品。
VPC與公網(wǎng)地址互通的流量可以通過VPN網(wǎng)關(guān)加密嗎?
可以。
使用VPN網(wǎng)關(guān)加密訪問VPC內(nèi)資源時,如果您的客戶端或者本地數(shù)據(jù)中心需要使用公網(wǎng)地址進行訪問,需滿足以下條件:
將公網(wǎng)地址所屬網(wǎng)段添加到VPN網(wǎng)關(guān)中:
如果您使用了IPsec-VPN,則需要將公網(wǎng)網(wǎng)段添加到IPsec連接的對端網(wǎng)段中。
如果您使用了SSL-VPN,則需要將公網(wǎng)網(wǎng)段添加到SSL服務端的客戶端網(wǎng)段中。
將公網(wǎng)網(wǎng)段設(shè)置為VPC的用戶網(wǎng)段,以確保VPC可以訪問到該公網(wǎng)網(wǎng)段。關(guān)于用戶網(wǎng)段的更多信息,請參見什么是用戶網(wǎng)段?和如何配置用戶網(wǎng)段?。
路由條目超限怎么辦?
在您使用策略路由、目的路由或BGP動態(tài)路由時,如果因為路由條目超限導致無法新增路由條目或IPsec連接無法學習到BGP路由條目,您可以通過以下兩種方式解決問題:
提升路由條目配額。
支持提升策略路由條目、目的路由條目或BGP路由條目的配額。更多信息,請參見IPsec-VPN配額。
配置聚合路由。
在不影響您業(yè)務的前提下,將已經(jīng)配置的多條路由條目聚合為一條路由條目。
例如您已經(jīng)配置了目標網(wǎng)段分別為10.10.1.0/24、10.10.2.0/24、10.10.3.0/24,下一跳指向相同IPsec連接(例如IPsec連接1)的三條目的路由,您可以新增一條目標網(wǎng)段為10.10.0.0/22,下一跳指向IPsec連接1的目的路由,然后再刪除上述三條目的路由,以節(jié)省目的路由條目配額。