全部產品
Search

搜尋本產品

    VPN Gateway:增強型對比傳統型VPN網關

    文件中心

    VPN Gateway:增強型對比傳統型VPN網關

    更新時間:Apr 29, 2026
    重要

    • 增強型VPN網關於2026年2月發布,目前處於邀測階段,如需使用請聯絡阿里雲工程師進行服務開通。

    • 支援的地區:馬來西亞(吉隆坡)、英國(倫敦)、西南1(成都)、美國(維吉尼亞)、美國(矽谷)、中國香港、新加坡

    VPN網關有增強型和傳統型兩種形態,在頻寬、公網IP、密碼編譯演算法、計費等方面均有差異。

    快速選擇

    這些情況下選擇增強型:

    • 首次使用時建議選擇增強型,配置更簡單(支援多演算法相容),且邀測階段免IPsec串連費。

    • 已在使用傳統型的使用者,但需更高的單串連頻寬

    • 需要多演算法相容,且支援AES128-GCM-16、AES256-GCM-16演算法,或DH15~24分組。

    • 需要更多的感興趣流網段(最多支援10個)。

    這些情況下選擇傳統型:

    • 需要SSL-VPN(Client-to-Site,用戶端到網站形式的VPN)。

    詳細對比

    對比項

    增強型VPN網關

    傳統型VPN網關

    頻寬

    VPN網關執行個體不具備頻寬規格屬性

    每個IPsec串連預設獨佔1 Gbps頻寬,各串連之間互不影響。

    VPN網關執行個體具備頻寬規格屬性,最大支援1000 Mbps規格(部分地區最大500 Mbps)。

    VPN網關執行個體下的所有IPsec串連共用網關執行個體的頻寬。

    雲上公網IP

    每條隧道擁有獨佔的雲上公網IP,不與其他隧道共用。

    VPN網關執行個體下的所有IPsec隧道複用網關執行個體的公網IP地址

    私網IP佔用

    與傳統型一致

    在VPN網關關聯的2個交換器中各佔用1個私網IP地址(用於建立彈性網卡ENI),共佔用2個私網IP。

    感興趣流網段數

    10個

    5個

    多演算法相容

    支援,可同時配置多種密碼編譯演算法,降低與第三方裝置對接的配置複雜度。

    不支援,需要與對端裝置精確匹配單一演算法組合。

    密碼編譯演算法

    加密:相比傳統型VPN,新增支援AES128-GCM-16、AES256-GCM-16。

    DH-Group:相比傳統型VPN,新增支援15~24(總計共14種)

    加密:AES-128、AES-192、AES-256、3DES、DES

    DH-Group:僅1/2/5/14

    SSL-VPN

    不支援

    支援

    策略路由

    不支援

    支援,最多20條

    BGP路由條目

    200條

    50條(可申請提升至200條)

    計費

    計費對象:IPsec串連

    計費項目:IPsec串連費+CDT公網流量費

    計費對象:VPN網關

    計費項目:VPN網關執行個體費+公網流量費

    組網示意圖

    增強型VPN網關:

    傳統型VPN網關:

    頻寬

    增強型:每個串連獨佔頻寬

    增強型VPN網關不具備頻寬規格屬性。每個IPsec串連預設獨佔1 Gbps頻寬,各串連之間互不影響。

    例如:增強型VPN網關下建立了2個IPsec串連,則每個串連各自獨佔1 Gbps頻寬。串連1的流量不會影響串連2的可用頻寬。

    針對隧道頻寬:每條隧道的頻寬都為1Gbps。雖然1個IPsec串連包含2條隧道,但2條隧道是主備關係,正常情況下僅主隧道承載流量,所以單個IPsec串連的實際可用頻寬為1 Gbps。

    傳統型:所有串連共用網關頻寬

    傳統型VPN網關具備頻寬規格屬性(如200 Mbps、500 Mbps、1000 Mbps等),該網關下所有IPsec串連共用網關的頻寬。

    例如:傳統型VPN網關的頻寬規格為200 Mbps,網關下建立了2個IPsec串連,每個串連包含2條隧道(雙隧道模式,主備)。2個串連共用200 Mbps頻寬,串連1的大流量傳輸可能影響串連2的可用頻寬。

    公網IP和私網IP

    增強型:獨佔公網IP

    • 系統為每條IPsec隧道分配不同的公網IP地址。

    • 每個IPsec串連包含2條隧道(雙隧道模式),因此每個串連有2個獨立公網IP

    • 本地網關裝置需要分別配置到這2個公網IP的IPsec隧道。

    • 優勢:隧道之間互不干擾,故障隔離性更好。單條隧道的公網IP變更不影響其他隧道。

    傳統型:共用公網IP

    • VPN網關執行個體下的所有IPsec串連複用VPN網關執行個體的公網IP地址

    • 無論建立多少個IPsec串連,所有隧道都通過VPN網關的公網IP通訊。

    • 注意:如果該公網IP出現問題,將影響VPN網關下的所有IPsec串連。

    私網IP

    針對私網IP佔用,增強型和傳統型VPN網關行為一致,建立時都需要關聯VPC和2個交換器(部署在不同可用性區域)。系統會在2個交換器下各建立1個彈性網卡(ENI),作為VPN網關與VPC流量互連的介面。

    • 每個ENI佔用交換器下的1個私網IP地址

    • 建立VPN網關後共佔用2個私網IP地址(2個交換器各1個)。

    • 請確保交換器下有足夠的可用IP地址。

    如何操作

    入門增強型

    詳見增強型VPN網關快速入門

    入門傳統型

    詳見傳統型VPN網關快速入門

    從傳統型遷移到增強型

    警告

    遷移過程中可能會造成網路中斷,請提前做好評估及應對措施。

    對於已建立的傳統型VPN網關,不支援直接升級為增強型,需要重新建立。

    建議的遷移步驟:

    1. 建立增強型VPN網關,關聯相同的VPC。

    2. 在增強型VPN網關下建立新的IPsec串連,記錄新的雲上公網IP。

    3. 在本地網關裝置上配置指向新的雲上公網IP的IPsec隧道。

    4. 驗證新串連正常後,刪除傳統型VPN網關下的舊IPsec串連。

    5. 刪除傳統型VPN網關。