全部产品
Search

搜索本产品

    VPN网关:选择绑定模式:VPN网关或转发路由器

    文档中心

    VPN网关:选择绑定模式:VPN网关或转发路由器

    更新时间:Apr 13, 2026

    IPsec-VPN的两种绑定模式——VPN网关和转发路由器,适用于不同规模和不同可用性要求的网络架构。

    快速判断

    1. 需要连接几个VPC?

      • 1个VPC → 选择VPN网关

      • 多个VPC(同地域或跨地域) → 选择转发路由器

    2. 是否需要ECMP负载均衡?

      • 不需要(主备容灾即可) → VPN网关可以满足

      • 需要(多链路同时承载流量) → 选择转发路由器

    3. 单个IPsec连接的带宽需求是多少?

      • 1 Gbps及以下 → 两种方式均可

      • 1~2 Gbps → 选择转发路由器(单连接最大2 Gbps)

      • 超过2 Gbps → 选择转发路由器 + 多条连接ECMP扩展带宽

    4. 是否需要SSL-VPN?

      • 需要SSL-VPN远程接入 → 选择VPN网关(传统型)

      • 不需要 → 根据以上条件判断

    功能对比

    对比项

    VPN网关

    转发路由器

    适用场景

    云下网络连接云上单个VPC

    云下网络连接云上多个VPC

    支持的加密算法

    • IKE/IPsec加密阶段AES128、AES192、AES256、DES、3DES、AES128-GCM-16(仅增强型VPN网关)、AES256-GCM-16(仅增强型VPN网关)

    • IKE/IPsec认证:SHA1、MD5、SHA256、SHA384、SHA512

    • IKE/IPsec加密阶段AES128、AES192、AES256、DES、3DES

    • IKE/IPsec认证:SHA1、MD5、SHA256、SHA384、SHA512

    隧道模式

    双隧道(主备)

    部分存量的VPN网关实例下仅能创建单隧道模式的IPsec-VPN连接,推荐升级为双隧道模式

    双隧道(ECMP)

    部分存量的单隧道模式的IPsec连接本身不具备高可用性,推荐您在不影响网络连通性的情况下删除重新建立IPsec连接,新创建的IPsec连接默认为双隧道模式。

    高可用机制

    主备切换:流量默认走主隧道,故障自动切备

    ECMP负载分担:两条隧道同时传输,互为冗余

    单个IPsec连接最大带宽

    增强型:1 Gbps(每条连接独占)

    传统型:所有连接共享VPN网关带宽规格,最大规格1000Mbps(部分地域最大500 Mbps)

    2 Gbps(每条隧道最大1 Gbps)

    存量单隧道模式最大1 Gbps

    带宽扩展

    传统型无法扩展;增强型可创建多个IPsec连接

    支持多连接ECMP,最多32条隧道(16个IPsec连接)负载分担

    pps(每秒数据包)

    12万pps / VPN网关实例(所有连接共享)

    12万pps / 每条隧道(双隧道模式)

    存量单隧道模式12万pps / 连接

    SSL-VPN

    传统型支持

    不支持

    BGP动态路由条目

    增强型:默认200条

    传统型:默认50条

    每条隧道1000条,共2000条

    重要

    增强型与传统型VPN网关的区别:

    • 增强型:每个IPsec连接独占1 Gbps带宽、不支持国密算法;

    • 传统型:所有IPsec连接共享VPN网关的带宽规格、支持策略路由和国密算法。

    • 两者详细对比见增强型对比传统型

    隧道模式选择

    双隧道模式(推荐)

    双隧道是当前默认模式,创建新的IPsec连接时自动启用。

    • 每个IPsec连接包含2条隧道,部署在不同可用区

    • 提供可用区级别的容灾能力和链路冗余

    • 绑定VPN网关时为主备模式;绑定转发路由器时为ECMP模式

    重要

    务必将两条隧道都配置为可用状态。只配置一条隧道将失去冗余能力,且不承诺SLA

    单隧道模式(仅存量)

    单隧道模式是早期版本,新创建的IPsec连接不再支持单隧道模式

    • 仅存量VPN网关实例下可能存在单隧道IPsec连接

    • 不具备可用区级别容灾能力

    • 强烈建议升级为双隧道模式

    公网或私网类型选择

    创建绑定转发路由器的IPsec连接时,可选择网络类型:

    网络类型

    说明

    适用场景

    公网

    通过互联网建立IPsec隧道

    无专线连接、专线+VPN作主备

    私网

    基于已有专线的私网建立IPsec隧道,加密专线流量

    已有物理专线、合规要求加密传输

    路由方式选择

    IPsec-VPN支持三种路由方式,决定了云端如何将流量转发到本地数据中心:

    BGP动态路由(推荐)

    最灵活的方式。云端和本地网关通过BGP协议自动学习和通告路由,网络变更时路由自动更新。

    优势:

    • 路由自动学习和收敛,无需手动维护路由表

    • 网络拓扑变化时(如增删子网)自动适配

    • 故障时自动切换路由,恢复速度更快

    • 适合中大型网络、多站点场景

    要求:

    • 本地网关设备需支持BGP协议

    • 需要为隧道配置BGP ASN和BGP邻居IP

    静态目的路由(简单场景)

    手动配置指向本地网段的静态路由。配置简单直接,适合网络拓扑稳定、子网数量少的场景。

    优势:

    • 配置简单,不依赖BGP协议

    • 适合小型网络、概念验证(PoC)

    限制:

    • 本地网络变化时需手动更新路由

    • 增强型VPN网关最多50条,传统型最多30条

    策略路由(精细控制,仅传统型VPN网关)

    基于源/目的地址段的路由策略,可以精细控制不同网段走不同的IPsec连接。

    优势:

    • 可基于源地址和目的地址进行精细路由控制

    • 适合多连接场景下的流量分流

    限制:

    • 仅传统型VPN网关支持,增强型不支持

    • 默认最多20条策略路由

    • 配置和维护复杂度较高

    路由方式对比

    对比项

    BGP动态路由

    静态目的路由

    策略路由

    路由

    自动学习

    手动配置

    手动配置

    适用绑定方式

    VPN网关、转发路由器

    VPN网关、转发路由器

    仅传统型VPN网关

    推荐程度

    优先推荐

    适合简单场景

    仅特定需求,例如基于源地址和目的地址进行精细路由控制

    决策总结

    选择VPN网关

    • 连接单个VPC

    • 需要SSL-VPN(客户端到站点类型的VPN)远程接入(选择传统型VPN网关)

    • 主备容灾即可满足可用性需求

    选择转发路由器

    • 连接多个VPC(同地域或跨地域)

    • 需要ECMP高可用 + 负载均衡

    • 需要加密物理专线流量

    • 单连接带宽需求超过1 Gbps

    • 大规模网络、多站点全互通

    • 需要大量BGP路由条目(最多2000条)