全部產品
Search

搜尋本產品

    VPN Gateway:選擇繫結模式:VPN網關或轉寄路由器

    文件中心

    VPN Gateway:選擇繫結模式:VPN網關或轉寄路由器

    更新時間:Mar 12, 2026

    IPsec-VPN的兩種繫結模式——VPN網關和轉寄路由器,適用於不同規模和不同可用性要求的網路架構。

    快速判斷

    1. 需要串連幾個VPC?

      • 1個VPC → 選擇VPN網關

      • 多個VPC(同地區或跨地區) → 選擇轉寄路由器

    2. 是否需要ECMP負載平衡?

      • 不需要(主備容災即可) → VPN網關可以滿足

      • 需要(多鏈路同時承載流量) → 選擇轉寄路由器

    3. 頻寬需求是多少?

      • 1 Gbps及以下 → 兩種方式均可

      • 1~2 Gbps → 選擇轉寄路由器(單串連最大2 Gbps)

      • 超過2 Gbps → 選擇轉寄路由器 + 多條ECMP串連擴充頻寬

    4. 是否需要SSL-VPN?

      • 需要SSL-VPN遠程接入 → 選擇VPN網關(傳統型)

      • 不需要 → 根據以上條件判斷

    功能對比

    對比項

    VPN網關

    轉寄路由器

    適用情境

    雲下網路連接雲上單個VPC

    雲下網路連接雲上多個VPC

    支援的密碼編譯演算法

    • IKE/IPsec加密階段AES128、AES192、AES256、DES、3DES、AES128-GCM-16(僅增強型VPN網關)、AES256-GCM-16(僅增強型VPN網關)

    • IKE/IPsec認證:SHA1、MD5、SHA256、SHA384、SHA512

    • IKE/IPsec加密階段AES128、AES192、AES256、DES、3DES

    • IKE/IPsec認證:SHA1、MD5、SHA256、SHA384、SHA512

    隧道模式

    雙隧道(主備)

    部分存量的VPN網關執行個體下僅能建立單隧道模式的IPsec-VPN串連,推薦升級為雙隧道模式

    雙隧道(ECMP)

    部分存量的單隧道模式的IPsec串連本身不具備高可用性,推薦您在不影響網路連通性的情況下刪除重建立立IPsec串連,新建立的IPsec串連預設為雙隧道模式。

    高可用機制

    主備切換:流量預設走主隧道,故障自動切備

    ECMP負載分擔:兩條隧道同時傳輸,互為冗餘

    單個IPsec串連最大頻寬

    增強型:1 Gbps(每條串連獨佔)

    傳統型:所有串連共用,最大1 Gbps(部分地區最大500 Mbps)

    2 Gbps(每條隧道最大1 Gbps)

    存量單隧道模式最大1 Gbps

    頻寬擴充

    傳統型無法擴充;增強型可建立多個IPsec串連

    支援多串連ECMP,最多32條串連負載分擔

    pps(每秒資料包)

    12萬pps / VPN網關執行個體(所有串連共用)

    12萬pps / 每條隧道(雙隧道模式)

    存量單隧道模式12萬pps / 串連

    SSL-VPN

    傳統型支援

    不支援

    BGP動態路由條目

    增強型:200條;傳統型:50條

    每條隧道1000條,共2000條

    說明

    增強型VPN網關與傳統型VPN網關的區別:

    • 增強型:每個IPsec串連獨佔1 Gbps頻寬、不支援策略路由和國密演算法;

    • 傳統型:所有串連共用頻寬(最大1 Gbps)、支援策略路由和國密演算法。

    • 首次使用推薦使用增強型,兩者詳細對比見選擇VPN網關形態

    隧道模式選擇

    雙隧道模式(推薦)

    雙隧道是當前預設模式,建立新的IPsec串連時自動啟用。

    • 每個IPsec串連包含2條隧道,部署在不同可用性區域

    • 提供可用性區域層級的容災能力和鏈路冗餘

    • 綁定VPN網關時為主備模式;綁定轉寄路由器時為ECMP模式

    重要

    務必將兩條隧道都配置為可用狀態。只配置一條隧道將失去冗餘能力,且不承諾SLA

    單隧道模式(僅存量)

    單隧道模式是早期版本,新建立的IPsec串連不再支援單隧道模式

    • 僅存量VPN網關執行個體下可能存在單隧道IPsec串連

    • 不具備可用性區域層級容災能力

    • 強烈建議升級為雙隧道模式

    公網或私網類型選擇

    建立綁定轉寄路由器的IPsec串連時,可選擇網路類型:

    網路類型

    說明

    適用情境

    公網

    通過互連網建立IPsec隧道

    無專線串連、專線+VPN作主備

    私網

    基於已有專線的私網建立IPsec隧道,加密專線流量

    已有物理專線、合規要求加密傳輸

    路由方式選擇

    IPsec-VPN支援三種路由方式,決定了雲端如何將流量轉寄到本機資料中心:

    BGP動態路由(推薦)

    最靈活的方式。雲端和本地網關通過BGP協議自動學習和通告路由,網路變更時路由自動更新。

    優勢:

    • 路由自動學習和收斂,無需手動維護路由表

    • 網路拓撲變化時(如增刪子網)自動適配

    • 故障時自動切換路由,恢複速度更快

    • 適合中大型網路、多網站情境

    要求:

    • 本地網關裝置需支援BGP協議

    • 需要為隧道配置BGP ASN和BGP鄰居IP

    靜態目的路由(簡單情境)

    手動設定指向本地網段的靜態路由。配置簡單直接,適合網路拓撲穩定、子網數量少的情境。

    優勢:

    • 配置簡單,不依賴BGP協議

    • 適合小型網路、概念驗證(PoC)

    限制:

    • 本網變化時需手動更新路由

    • 增強型VPN網關最多50條,傳統型最多30條

    策略路由(精細控制,僅傳統型VPN網關)

    基於源/目的位址區段的路由策略,可以精細控制不同網段走不同的IPsec串連。

    優勢:

    • 可基於源地址和目的地址進行精細路由控制

    • 適合多串連情境下的流量分流

    限制:

    • 僅傳統型VPN網關支援,增強型不支援

    • 預設最多20條策略路由

    • 配置和維護複雜度較高

    路由方式對比

    對比項

    BGP動態路由

    靜態目的路由

    策略路由

    路由

    自動學習

    手動設定

    手動設定

    適用綁定方式

    VPN網關、轉寄路由器

    VPN網關、轉寄路由器

    僅傳統型VPN網關

    推薦程度

    優先推薦

    適合簡單情境

    僅特定需求,例如基於源地址和目的地址進行精細路由控制

    決策總結

    選擇VPN網關

    • 串連單個VPC

    • 需要SSL-VPN(用戶端到網站類型的VPN)遠程接入(選擇傳統型VPN網關)

    • 主備容災即可滿足可用性需求

    選擇轉寄路由器

    • 串連多個VPC(同地區或跨地區)

    • 需要ECMP高可用 + 負載平衡

    • 需要加密物理專線流量

    • 單串連頻寬需求超過1 Gbps

    • 大規模網路、多網站全互連

    • 需要大量BGP路由條目(最多2000條)