全部產品
Search

搜尋本產品

    VPN Gateway:什麼是IPsec-VPN

    文件中心

    VPN Gateway:什麼是IPsec-VPN

    更新時間:Nov 12, 2025

    通過使用IPsec-VPN建立加密隧道,可實現雲下網路(例如企業資料中心或企業辦公網路)和雲上VPC私網連通及安全互訪。

    阿里雲VPN網關產品在中國國家相關政策法規內提供服務,僅支援建立非跨境串連。如有跨境需求,請搭配使用轉寄路由器產品

    使用情境

    阿里雲IPsec-VPN用於實現網站到網站(Site-to-Site)類型的加密串連,提供2種形態:

    • 綁定VPN網關:適用於雲下網路連通雲上單個VPC情境。

    • 綁定轉寄路由器(TR):適用於雲下網路連通雲上多個VPC情境。

    產品組成

    綁定VPN網關

    組件名稱

    說明

    VPN 閘道執行個體

    連通雲下網路和雲上單個VPC時,VPN網關執行個體是實現互連的雲上出入口。它具備公網IP,用於和本地網關裝置進行通訊。

    使用者網關

    阿里雲側的一個邏輯對象,用於在記錄本地網關裝置的公網IP地址。在建立IPsec-VPN串連時需要使用。

    IPsec串連

    定義從VPN網關本地網關裝置的加密隧道。在此串連中配置兩端的密碼編譯演算法、認證演算法、預先共用金鑰(PSK)等參數。

    本地網關裝置

    本機資料中心中的一台物理裝置(通常為網關裝置)或應用程式。本地網關裝置需支援VPN功能,以便和雲上網關裝置協商建立IPsec-VPN串連。

    為方便描述,後續文檔將企業本機資料中心、企業辦公網路等需要和阿里雲建立IPsec-VPN串連的網路或網站統一以本機資料中心作為樣本。

    綁定轉寄路由器

    組件名稱

    說明

    轉寄路由器

    連通雲下網路和雲上多個VPC時,轉寄路由器是實現互連的雲上出入口。使用時需在轉寄路由器建立VPN串連,並綁定IPsec串連執行個體。

    使用者網關

    阿里雲側的一個邏輯對象,用於在記錄本地網關裝置的公網IP地址。在建立IPsec-VPN串連時需要使用。

    IPsec串連

    定義從轉寄路由器本地網關裝置的加密隧道。在此串連中配置兩端的密碼編譯演算法、認證演算法、預先共用金鑰(PSK)等參數。

    本地網關裝置

    本機資料中心中的一台物理裝置(通常為網關裝置)或應用程式。本地網關裝置需支援VPN功能,以便和雲上網關裝置協商建立IPsec-VPN串連。

    為方便描述,後續文檔將企業本機資料中心、企業辦公網路等需要和阿里雲建立IPsec-VPN串連的網路或網站統一以本機資料中心作為樣本。

    雙隧道模式

    一個IPsec串連下預設存在兩條加密隧道。在支援多可用性區域的地區,兩條隧道部署在不同的可用性區域,可以實現可用性區域層級的容災。對於僅支援一個可用性區域的地區(例如華中1(武漢-本地地區)),兩條隧道會被部署在同一個可用性區域,不支援可用性區域層級的容災,但依舊擁有鏈路冗餘能力。

    • 綁定VPN網關情境下,兩條加密隧道互為主備鏈路,預設情況下流量僅通過主隧道進行傳輸,在主隧道故障後,流量可以通過備隧道進行傳輸,詳見綁定VPN網關

    • 綁定轉寄路由器情境下,兩條隧道自動形成ECMP(等價多重路徑)鏈路,兩條隧道均傳輸串流量,在一條隧道故障後,該隧道下的流量可以切換至另一條隧道進行傳輸,詳見綁定轉寄路由器

    重要

    建立IPsec-VPN串連時,請配置兩條隧道使其均為可用狀態,如果您僅配置或僅使用了其中一條隧道,則無法體驗IPsec-VPN串連鏈路冗餘能力以及可用性區域層級的容災能力,同時VPN網關產品也不承諾SLA

    功能對比

    對比項

    綁定VPN網關

    綁定轉寄路由器

    適用情境

    連通雲下網路和雲上單個VPC

    雲下網路連通雲上多個VPC

    支援的密碼編譯演算法

    國際標準商用密碼演算法

    國際標準商用密碼演算法

    IPsec串連隧道模式

    雙隧道模式

    部分存量的VPN網關執行個體下僅能建立單隧道模式的IPsec-VPN串連,推薦升級為雙隧道模式

    雙隧道模式

    存量的單隧道模式的IPsec串連本身不具備高可用性,推薦您在不影響網路連通性的情況下刪除重建立立IPsec串連,新建立的IPsec串連預設為雙隧道模式。

    高可用機制

    主備隧道:流量預設走主隧道,主隧道故障時自動切換至備隧道。

    ECMP(等價多重路徑):兩條隧道負載分擔,互為冗餘。

    單個IPsec串連支援的頻寬規格

    最大支援為1000 Mbps。

    部分地區的VPN網關執行個體頻寬規格最大支援為500 Mbps,詳見VPN網關執行個體限制

    • 一個IPsec串連頻寬規格最大為2000 Mbps,包含2條隧道,每條隧道的頻寬規格最大為1000 Mbps。

    • 支援通過建立多條IPsec串連的方式,擴大雲上雲下之間的頻寬

    針對存量單隧道模式,一個IPsec串連頻寬規格最大為1000 Mbps。

    每秒支援傳輸的資料包數量

    一個VPN網關執行個體兩個方向每秒支援傳輸的資料包數量之和為12萬 pps(每個資料包為256位元組)

    如果一個VPN網關執行個體下存在多個IPsec串連,則多個IPsec串連兩個方向每秒支援傳輸的資料包數量之和不能超過12萬 pps(每個資料包為256位元組)。

    雙隧道模式下每個隧道兩個方向每秒支援傳輸的資料包數量之和為12萬 pps(每個資料包為256位元組)

    針對存量單隧道模式,一個IPsec串連兩個方向每秒支援傳輸的資料包數量之和為12萬 pps(每個資料包為256位元組)

    產品計費

    詳見IPsec-VPN計費說明

    快速入門