VPN 閘道執行個體是連通 VPC 與本機資料中心的雲上出入口。配置 IPsec 串連前,需先建立 VPN 閘道執行個體。
選擇VPN網關形態
VPN網關有增強型和傳統型2種形態。
當前增強型VPN網關正處於邀測階段,如需使用,請聯絡阿里雲工程師進行服務開通。
-
選擇建議
-
首次使用IPsec-VPN網關產品,建議選擇增強型。增強型VPN隨用隨付,且支援多演算法相容模式,配置更簡單。
-
針對正在使用傳統型VPN的使用者,如需更大的IPsec串連頻寬,建議改用增強型VPN網關,每個IPsec串連的頻寬預設獨佔1Gbps。
-
-
兩者詳細對比
對比項
增強型IPsec-VPN
傳統型VPN
頻寬
-
相比傳統型VPN,VPN網關執行個體不再具備頻寬規格屬性
-
每個IPsec串連預設支援1Gbps獨享頻寬
-
VPN網關執行個體具備頻寬規格屬性,最大支援1000Mbps
-
VPN網關執行個體下的所有IPsec串連複用網關執行個體頻寬
隧道IP
系統為每條IPsec隧道分配不同的雲上IP地址
VPN網關執行個體下的所有IPsec隧道複用相同的雲上IP地址
感興趣流網段數
10個
5個
多演算法相容
支援,可同時配置多種演算法
不支援
加密配置
-
密碼編譯演算法:相比傳統型VPN,新增支援AES128-GCM-16、AES256-GCM-16。
-
DH-Group:相比傳統型VPN,新增支援DH group15~DH group24(共計10種)。
-
密碼編譯演算法只支援AES-128、AES-192、AES-256、3DES、DES。
-
DH-Group只支援1/2/5/14。
SSL-VPN功能
不支援
支援
國密認證
不支援
支援
不支援
支援
計費
-
計費對象:IPsec串連
-
計費項目:串連費+流量費
-
計費對象:VPN網關
-
計費項目:執行個體費+流量費
示意圖
-
建立VPN網關
建立增強型VPN網關(控制台)
前往控制台VPN網關頁面,切換到增強型IPsec-VPN頁簽,單擊建立增強型IPsec-VPN後進行配置:
-
所屬地區:選擇要連通的雲上VPC所在的地區。
-
專用網路:選擇目標VPC。
-
虛擬交換器1和虛擬交換器2:需選擇關聯的 VPC 和部署於不同可用性區域的 2 個交換器,確保跨可用性區域的高可用。開啟 IPsec-VPN 後,系統會在 2 個交換器下各建立 1 個彈性網卡ENI,作為使用 IPsec 串連與 VPC 流量互連的介面。每個 ENI 會佔用交換器下的 1 個 IP地址。
建立傳統型VPN網關(控制台)
前往控制台VPN網關頁面,切換到傳統型VPN網關頁簽,單擊建立VPN網關後進行配置:
-
地區和可用性區域:選擇 VPC 所在的地區。
-
網關類型:選擇普通型,建立 IPsec 串連後將使用國際標準商用密碼演算法(普通演算法)。
-
網路類型:選擇公網,將分配公網 IP 以建立 IPsec 串連。如需建立私網 IPsec 串連,建議使用私網 IPsec 串連綁定轉寄路由器。
-
隧道:選擇雙隧道。
-
VPC和虛擬交換器:需選擇關聯的 VPC 和部署於不同可用性區域的 2 個交換器,確保跨可用性區域的高可用。開啟 IPsec-VPN 後,系統會在 2 個交換器下各建立 1 個彈性網卡ENI,作為使用 IPsec 串連與 VPC 流量互連的介面。每個 ENI 會佔用交換器下的 1 個 IP地址。建立 VPN 閘道後,不支援修改關聯的交換器。
-
頻寬峰值:不同地區下,VPN 閘道支援的最大頻寬規格不同。選擇 5Mbps 或 10 Mbps 的頻寬規格,將限制從本機資料中心去往 VPN 閘道方向的頻寬峰值為 10 Mbps。詳見配額與限制。
-
開啟IPsec-VPN,關閉SSL-VPN。
如果建立的 VPN 閘道未開啟 IPsec-VPN,可在目標 VPN 閘道的功能配置列單擊IPsec串連後的去開啟。
為已有的 VPN 閘道開啟 IPsec-VPN,需要為當前計費周期的剩餘時間補繳功能價差。
-
購買時間長度:
VPN網關的計費周期。預設值:按小時計費。
API
-
調用CreateEnhancedVpnGateway建立增強型VPN網關。
-
調用CreateVpnGateway建立傳統型VPN 閘道。
後續步驟
為實現雲上VPC和雲下IDC互連,VPN網關執行個體建立完成後還需要:
升級 VPN 閘道(僅傳統型)
傳統型VPN 閘道版本不斷演化迭代,最新版本的傳統型VPN 閘道支援更多的功能特性,最佳化了和第三方廠商裝置對接的相容性。如果 VPN 閘道非最新版本,可能會存在運行風險,強烈建議將其升級到最新版本,以體驗更多功能並獲得更穩定的網路能力。
此處的升級僅指將傳統型VPN網關的版本升級至最新。傳統型VPN網關不支援隨即轉移為增強型,只能重新建立。
-
升級判斷:可在 VPN 閘道詳情頁根據升級按鈕的狀態判斷 VPN 閘道是否為最新版本。新購 VPN 閘道預設為最新版本。
-
升級成本:
-
升級 VPN 閘道約需要 10 分鐘。
重要VPN 閘道升級期間無法提供服務,已有串連也會中斷。建議在網路維護視窗期間進行升級,以免影響業務運行。
-
升級 VPN 閘道的操作不會產生費用。
-
-
升級限制:
-
VPN 閘道不存在 IPsec 串連時,升級前後配置不變。
-
VPN 閘道存在 IPsec 串連時:
-
若 IPsec 串連配置了多個網段且 IKE 版本為 IKEv1,則需要將 IKE 版本修改為 IKEv2,或者將多個網段拆分為多個IPsec串連才能進行升級,否則會升級失敗。
-
若 VPN 閘道的策略路由表或目的路由表頁簽下存在舊版 VPN 暫不支援此功能的提示,或者 VPN 閘道在2019年03月21日之前建立且未進行過升級時:以上執行個體建立 IPsec 串連時預設僅需配置感興趣流而無需配置路由,但是為最新版本的 VPN 閘道建立 IPsec 串連時需要配置路由。因此,升級VPN網關後,需要為 VPN 閘道配置路由以確保 IPsec 串連正常工作。
-
其餘情境下,升級前後 IPsec 串連配置不變。
-
-
控制台
-
登入VPN網關管理主控台,在頂部功能表列,選擇 VPN 閘道所屬的地區。
-
單擊目標 VPN 閘道 ID 前往詳情頁,單擊升級。
刪除 VPN 閘道
刪除增強型VPN網關(控制台)
在目標VPN網關的操作列單擊刪除。
刪除前,需確保 VPN 閘道不存在 IPsec串連、SSL服務端和IPsec服務端。
刪除傳統型VPN網關(控制台)
API
-
增強型VPN:調用DeleteEnhancedVpnGateway刪除。
-
傳統型VPN:調用DeleteVpnGateway刪除。
配額與限制
增強型VPN網關
-
對於已建立的傳統型VPN網關,不支援隨即轉移成增強型IPsec-VPN形態,建議重新建立。
-
增強型VPN網關不支援處理解密後的IP分區報文。
-
在增強型VPN網關中新增路由時,當前已有的存量流量需30s時間老化,之後使用新的路由指導轉寄。對於修改和刪除路由,流量轉寄將會立即生效。
-
增強型VPN網關的單條隧道BGP接收路由條目超過2000時,會中斷當前隧道的路由學習功能。
-
其他配額類限制,詳見配額與限制。
傳統型VPN網關
-
不同 IPsec-VPN 隧道模式、頻寬規格的傳統型 VPN 閘道,本機資料中心與傳統型 VPN 閘道之間兩個方向的頻寬峰值不完全相同。
IPsec-VPN隧道模式
傳統型VPN網關頻寬規格值
出雲方向的頻寬峰值
入雲方向的頻寬峰值
雙隧道
> 10 Mbps
傳統型VPN網關的頻寬規格值。
傳統型VPN網關的頻寬規格值。
≤ 10 Mbps
傳統型VPN網關的頻寬規格值。
10 Mbps。
單隧道
> 100 Mbps
傳統型VPN網關的頻寬規格值。
傳統型VPN網關的頻寬規格值。
≤ 100 Mbps
傳統型VPN網關的頻寬規格值。
100 Mbps。
-
不同地區下,傳統型VPN網關支援的最大頻寬規格不同。
分類
地區
最大支援 1000 Mbps
華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、新加坡、日本(東京)、馬來西亞(吉隆坡)、印尼(雅加達)、泰國(曼穀)、韓國(首爾)、菲律賓(馬尼拉)、美國(矽谷)、美國(維吉尼亞)、德國(法蘭克福)、英國(倫敦)、墨西哥
最大支援 500 Mbps
阿聯酋(杜拜)、沙特(利雅得)
沙特(利雅得)地區由夥伴營運。
-
其他配額類限制,詳見配額與限制。