全部产品
Search

搜索本产品

    VPN网关:增强型对比传统型VPN网关

    文档中心

    VPN网关:增强型对比传统型VPN网关

    更新时间:Mar 26, 2026
    重要

    增强型VPN网关于2026年2月发布,目前处于邀测阶段,如需使用请联系阿里云工程师进行服务开通。

    VPN网关有增强型和传统型两种形态,在带宽、公网IP、加密算法、计费等方面均有差异。

    快速选择

    这些情况下选择增强型:

    • 首次使用时建议选择增强型,配置更简单(支持多算法兼容),且邀测阶段免IPsec连接费。

    • 已在使用传统型的用户,但需更高的单连接带宽

    • 需要多算法兼容,且支持AES128-GCM-16、AES256-GCM-16算法,或DH15~24分组。

    • 需要更多的感兴趣流网段(最多支持10个)。

    这些情况下选择传统型:

    • 需要SSL-VPN(Client-to-Site,客户端到站点形式的VPN)。

    详细对比

    对比项

    增强型VPN网关

    传统型VPN网关

    带宽

    VPN网关实例不具备带宽规格属性

    每个IPsec连接默认独占1 Gbps带宽,各连接之间互不影响。

    VPN网关实例具备带宽规格属性,最大支持1000 Mbps规格(部分地域最大500 Mbps)。

    VPN网关实例下的所有IPsec连接共享网关实例的带宽。

    云上公网IP

    每条隧道拥有独占的云上公网IP,不与其他隧道共享。

    VPN网关实例下的所有IPsec隧道复用网关实例的公网IP地址

    私网IP占用

    与增强型一致

    在VPN网关关联的2个交换机中各占用1个私网IP地址(用于创建弹性网卡ENI),共占用2个私网IP。

    感兴趣流网段数

    10个

    5个

    多算法兼容

    支持,可同时配置多种加密算法,降低与第三方设备对接的配置复杂度。

    不支持,需要与对端设备精确匹配单一算法组合。

    加密算法

    加密:相比传统型VPN,新增支持AES128-GCM-16、AES256-GCM-16。

    DH-Group:相比传统型VPN,新增支持15~24(总计共14种)

    加密:AES-128、AES-192、AES-256、3DES、DES

    DH-Group:仅1/2/5/14

    SSL-VPN

    不支持

    支持

    策略路由

    不支持

    支持,最多20条

    BGP路由条目

    200条

    50条(可申请提升至200条)

    计费

    计费对象:IPsec连接

    计费项:IPsec连接费+CDT公网流量费

    计费对象:VPN网关

    计费项:VPN网关实例费+公网流量费

    组网示意图

    增强型VPN网关:

    image

    传统型VPN网关:

    image

    带宽

    增强型:每个连接独占带宽

    增强型VPN网关不具备带宽规格属性。每个IPsec连接默认独占1 Gbps带宽,各连接之间互不影响。

    例如:增强型VPN网关下创建了2个IPsec连接,则每个连接各自独占1 Gbps带宽。连接1的流量不会影响连接2的可用带宽。

    针对隧道带宽:每条隧道的带宽都为1Gbps。虽然1个IPsec连接包含2条隧道,但2条隧道是主备关系,正常情况下仅主隧道承载流量,所以单个IPsec连接的实际可用带宽为1 Gbps。

    传统型:所有连接共享网关带宽

    传统型VPN网关具备带宽规格属性(如200 Mbps、500 Mbps、1000 Mbps等),该网关下所有IPsec连接共享网关的带宽。

    例如:传统型VPN网关的带宽规格为200 Mbps,网关下创建了2个IPsec连接,每个连接包含2条隧道(双隧道模式,主备)。2个连接共享200 Mbps带宽,连接1的大流量传输可能影响连接2的可用带宽。

    公网IP和私网IP

    增强型:独占公网IP

    • 系统为每条IPsec隧道分配不同的公网IP地址。

    • 每个IPsec连接包含2条隧道(双隧道模式),因此每个连接有2个独立公网IP

    • 本地网关设备需要分别配置到这2个公网IP的IPsec隧道。

    • 优势:隧道之间互不干扰,故障隔离性更好。单条隧道的公网IP变更不影响其他隧道。

    传统型:共享公网IP

    • VPN网关实例下的所有IPsec连接复用VPN网关实例的公网IP地址

    • 无论创建多少个IPsec连接,所有隧道都通过VPN网关的公网IP通信。

    • 注意:如果该公网IP出现问题,将影响VPN网关下的所有IPsec连接。

    私网IP

    针对私网IP占用,增强型和传统型VPN网关行为一致,创建时都需要关联VPC和2个交换机(部署在不同可用区)。系统会在2个交换机下各创建1个弹性网卡(ENI),作为VPN网关与VPC流量互通的接口。

    • 每个ENI占用交换机下的1个私网IP地址

    • 创建VPN网关后共占用2个私网IP地址(2个交换机各1个)。

    • 请确保交换机下有足够的可用IP地址。

    如何操作

    入门增强型

    详见增强型VPN网关快速入门

    入门传统型

    详见传统型VPN网关快速入门

    从传统型迁移到增强型

    警告

    迁移过程中可能会造成网络中断,请提前做好评估及应对措施。

    对于已创建的传统型VPN网关,不支持直接升级为增强型,需要重新创建。

    建议的迁移步骤:

    1. 创建增强型VPN网关,关联相同的VPC。

    2. 在增强型VPN网关下创建新的IPsec连接,记录新的云上公网IP。

    3. 在本地网关设备上配置指向新的云上公网IP的IPsec隧道。

    4. 验证新连接正常后,删除传统型VPN网关下的旧IPsec连接。

    5. 删除传统型VPN网关。