VPN 閘道執行個體是連通 VPC 與本機資料中心的雲上出入口。選擇綁定 VPN 閘道模式的IPsec-VPN時,需先建立 VPN 閘道執行個體。
若選擇綁定TR模式的IPsec串連,無需建立VPN網關執行個體,可直接建立IPsec串連(綁定TR)。
功能說明
VPN網關執行個體是部署在阿里雲側的網關裝置,是加密隧道的雲端端點。您必須先建立VPN網關,再基於VPN網關建立IPsec串連。
建立VPN網關執行個體時,需要關聯VPC並指定2個不同可用性區域的交換器,用於建立雙隧道IPsec-VPN串連,實現可用性區域層級的容災。
對於僅支援一個可用性區域的地區 ,不支援可用性區域層級的容災,建議您在該可用性區域下指定兩個不同的交換器執行個體以實現IPsec串連的高可用。
建立VPN網關執行個體後,系統會在指定的2個交換器下各建立1個彈性網卡(ENI),作為VPN網關與VPC流量互連的介面。每個ENI佔用交換器下的1個私網IP地址,請確保交換器下有足夠的可用IP地址。
建立VPN網關
VPN網關有增強型和傳統型2種形態,具體區別詳見增強型對比傳統型。
建立增強型VPN網關(控制台)
增強型VPN網關於2026年2月發布,目前處於邀測階段,如需使用請聯絡阿里雲工程師進行服務開通。支援的地區:馬來西亞(吉隆坡)、英國(倫敦)、西南1(成都)、美國(維吉尼亞)、美國(矽谷)、中國香港、新加坡。
前往控制台VPN網關頁面,切換到增強型IPsec-VPN頁簽,單擊建立增強型IPsec-VPN後進行配置:
所屬地區:選擇要連通的雲上VPC所在的地區。
專用網路:選擇目標VPC。
虛擬交換器1和虛擬交換器2:需選擇關聯的 VPC 和部署於不同可用性區域的 2 個交換器,確保跨可用性區域的高可用。開啟 IPsec-VPN 後,系統會在 2 個交換器下各建立 1 個彈性網卡ENI,作為使用 IPsec 串連與 VPC 流量互連的介面。每個 ENI 會佔用交換器下的 1 個 IP地址。
建立傳統型VPN網關(控制台)
前往控制台VPN網關頁面,在傳統型VPN網關頁簽下,單擊建立VPN網關後進行配置:
如果沒有傳統型VPN網關頁簽,則直接單擊建立VPN網關。
地區和可用性區域:選擇 VPC 所在的地區。
網關類型:選擇普通型,建立 IPsec 串連後將使用國際標準商用密碼演算法(普通演算法)。
網路類型:選擇公網,將分配公網 IP 以建立 IPsec 串連。如需建立私網 IPsec 串連,建議使用私網 IPsec 串連綁定轉寄路由器。
隧道:選擇雙隧道。
VPC和虛擬交換器:需選擇關聯的 VPC 和部署於不同可用性區域的 2 個交換器,確保跨可用性區域的高可用。開啟 IPsec-VPN 後,系統會在 2 個交換器下各建立 1 個彈性網卡ENI,作為使用 IPsec 串連與 VPC 流量互連的介面。每個 ENI 會佔用交換器下的 1 個 IP地址。建立 VPN 閘道後,不支援修改關聯的交換器。
頻寬峰值:不同地區下,VPN 閘道支援的最大頻寬規格不同。選擇 5Mbps 或 10 Mbps 的頻寬規格,將限制從本機資料中心去往 VPN 閘道方向的頻寬峰值為 10 Mbps。詳見配額與限制。
開啟IPsec-VPN,關閉SSL-VPN。
如果建立的 VPN 閘道未開啟 IPsec-VPN,可在目標 VPN 閘道的功能配置列單擊IPsec串連後的去開啟。
為已有的 VPN 閘道開啟 IPsec-VPN,需要為當前計費周期的剩餘時間補繳功能價差。
購買時間長度:
VPN網關的計費周期。預設值:按小時計費。
API
調用CreateEnhancedVpnGateway建立增強型VPN網關。
重要增強型VPN網關於2026年2月發布,目前處於邀測階段,如需使用請聯絡阿里雲工程師進行服務開通。支援的地區:馬來西亞(吉隆坡)、英國(倫敦)、西南1(成都)、美國(維吉尼亞)、美國(矽谷)、中國香港、新加坡。
調用CreateVpnGateway建立傳統型VPN 閘道。
後續步驟
為實現雲上VPC和雲下IDC互連,VPN網關執行個體建立完成後還需要:
升級 VPN 閘道(僅傳統型)
如果傳統型VPN網關非最新版本,強烈建議升級以獲得更好的功能和相容性。
此處僅指版本升級,不是遷移到增強型(增強型需重新建立)。
升級判斷:可在 VPN 閘道詳情頁根據升級按鈕的狀態判斷 VPN 閘道是否為最新版本。新購 VPN 閘道預設為最新版本。
升級成本:
升級 VPN 閘道約需要 10 分鐘。
重要VPN 閘道升級期間無法提供服務,已有串連也會中斷。建議在網路維護視窗期間進行升級,以免影響業務運行。
升級 VPN 閘道的操作不會產生費用。
升級限制:
VPN 閘道不存在 IPsec 串連時,升級前後配置不變。
VPN 閘道存在 IPsec 串連時:
IKEv1 + 多網段:需改為IKEv2或將多個網段拆分為多個串連。
2019年3月21日前建立且未升級過的網關:升級後需手動路由配置。
其餘情境下,升級前後 IPsec 串連配置不變。
控制台
登入VPN網關管理主控台,在頂部功能表列,選擇 VPN 閘道所屬的地區。
單擊目標 VPN 閘道 ID 前往詳情頁,單擊升級。
刪除 VPN 閘道
刪除增強型VPN網關(控制台)
在目標VPN網關的操作列單擊刪除。
刪除前,需確保 VPN 閘道不存在 IPsec串連、SSL服務端和IPsec服務端。
刪除傳統型VPN網關(控制台)
API
增強型VPN:調用DeleteEnhancedVpnGateway刪除。
傳統型VPN:調用DeleteVpnGateway刪除。
配額與限制
增強型VPN網關
對於已建立的傳統型VPN網關,不支援隨即轉移成增強型IPsec-VPN形態,建議重新建立。
增強型VPN網關不支援處理解密後的IP分區報文。
在增強型VPN網關中新增路由時,當前已有的存量流量需30s時間老化,之後使用新的路由指導轉寄。對於修改和刪除路由,流量轉寄將會立即生效。
增強型VPN網關的單條隧道BGP接收路由條目超過2000時,會中斷當前隧道的路由學習功能。
其他配額類限制,詳見配額與限制。
傳統型VPN網關
不同地區下,傳統型VPN網關支援的最大頻寬規格不同。
分類
地區
最大支援 1000 Mbps
華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、新加坡、日本(東京)、馬來西亞(吉隆坡)、印尼(雅加達)、泰國(曼穀)、韓國(首爾)、菲律賓(馬尼拉)、美國(矽谷)、美國(維吉尼亞)、德國(法蘭克福)、英國(倫敦)、墨西哥
最大支援 500 Mbps
阿聯酋(杜拜)、沙特(利雅得)
沙特(利雅得)地區由夥伴營運。
新購VPN網關執行個體的IPsec串連預設為雙隧道模式。存量VPN網關執行個體預設僅支援建立單隧道模式的IPsec-VPN串連,建議您儘快升級為雙隧道模式,以獲得更高的串連可用性。
不同 IPsec-VPN 隧道模式、頻寬規格的傳統型 VPN 閘道,本機資料中心與傳統型 VPN 閘道之間兩個方向的頻寬峰值不完全相同。
IPsec-VPN隧道模式
傳統型VPN網關頻寬規格值
出雲方向的頻寬峰值
入雲方向的頻寬峰值
雙隧道
> 10 Mbps
傳統型VPN網關的頻寬規格值。
傳統型VPN網關的頻寬規格值。
≤ 10 Mbps
傳統型VPN網關的頻寬規格值。
10 Mbps。
單隧道
> 100 Mbps
傳統型VPN網關的頻寬規格值。
傳統型VPN網關的頻寬規格值。
≤ 100 Mbps
傳統型VPN網關的頻寬規格值。
100 Mbps。
其他配額類限制,詳見配額與限制。