VPN网关：VPN 网关实例

工作原理

VPN 网关作为 VPC 与本地数据中心的中转网关，流量处理流程如下：

• VPC 访问本地 IDC：

  1. 接收数据包：数据包按照 VPC 路由条目发送至 VPN 网关。

  2. 加密并封装：VPN 网关按照 IPsec 协议执行封装，封装后的数据包以 VPN 网关的公网 IP 为源地址、本地 IDC 的公网 IP 为目的地址。

  3. 本地 IDC 处理：本地 IDC 的网关设备接收数据包后，将解密并还原数据包，即源地址为VPC 网段内的私网 IP、目的地址为本地 IDC 网段内的私网 IP。再按照 IDC 的路由，转发至目标实例。

• 本地 IDC 访问 VPC：

  1. 监听并接收加密流量：VPN 网关使用公网 IP作为连接端点，持续监听来自本地 IDC 的 IPsec 连接请求和加密数据。

  2. 解密并还原数据包：VPN 网关按照 IPsec 协议执行解封装，还原出原始可被 VPC 识别的数据包。

  3. 路由并转发：按照还原数据包的目的地址，转发至目标实例。

创建 VPN 网关

新购 VPN 网关仅支持创建双隧道模式的 IPsec-VPN 连接。针对已创建的支持单隧道模式的 VPN 网关，建议升级IPsec-VPN连接为双隧道模式。

升级 VPN 网关

VPN 网关版本不断演进迭代，最新版本的 VPN 网关支持更多的功能特性，优化了和第三方厂商设备对接的兼容性。如果 VPN 网关非最新版本，可能会存在运行风险，强烈建议将其升级到最新版本，以体验更多功能并获得更稳定的网络能力。

• 升级判断：可在 VPN 网关详情页根据升级按钮的状态判断 VPN 网关是否为最新版本。新购 VPN 网关默认为最新版本。

• 升级成本：

  • 升级 VPN 网关约需要 10 分钟。

    重要

    VPN 网关升级期间无法提供服务，已有连接也会中断。建议在网络维护窗口期间进行升级，以免影响业务运行。

  • 升级 VPN 网关的操作不会产生费用。

• 升级限制：

  • VPN 网关不存在 IPsec 连接时，升级前后配置不变。

  • VPN 网关存在 IPsec 连接时：

    • 若 IPsec 连接配置了多个网段且 IKE 版本为 IKEv1，则需要将 IKE 版本修改为 IKEv2，或者将多个网段拆分为多个IPsec连接才能进行升级，否则会升级失败。

    • 若 VPN 网关的策略路由表或目的路由表页签下存在旧版 VPN 暂不支持此功能的提示，或者 VPN 网关在2019年03月21日之前创建且未进行过升级时：以上实例创建 IPsec 连接时默认仅需配置感兴趣流而无需配置路由，但是为最新版本的 VPN 网关创建 IPsec 连接时需要配置路由。因此，升级VPN网关后，需要为 VPN 网关配置路由以确保 IPsec 连接正常工作。

    • 其余场景下，升级前后 IPsec 连接配置不变。

删除 VPN 网关

配额与限制

• 不同 IPsec-VPN 隧道模式、带宽规格的 VPN 网关，本地数据中心与 VPN 网关之间两个方向的带宽峰值不完全相同。

  IPsec-VPN隧道模式	VPN网关带宽规格值	出云方向的带宽峰值	入云方向的带宽峰值
  双隧道	> 10 Mbps	VPN网关的带宽规格值。	VPN网关的带宽规格值。
  	≤ 10 Mbps	VPN网关的带宽规格值。	10 Mbps。
  单隧道	> 100 Mbps	VPN网关的带宽规格值。	VPN网关的带宽规格值。
  	≤ 100 Mbps	VPN网关的带宽规格值。	100 Mbps。

• 不同地域下，VPN 网关支持的最大带宽规格不同。

  分类	地域
  最大支持 1000 Mbps	华东1（杭州）、华东2（上海）、华北1（青岛）、华北2（北京）、华北3（张家口）、华北5（呼和浩特）、华北6（乌兰察布）、华南1（深圳）、华南2（河源）、华南3（广州）、西南1（成都）、中国香港、新加坡、日本（东京）、马来西亚（吉隆坡）、印度尼西亚（雅加达）、泰国（曼谷）、韩国（首尔）、菲律宾（马尼拉）、美国（硅谷）、美国（弗吉尼亚）、德国（法兰克福）、英国（伦敦）、墨西哥
  最大支持 500 Mbps	华东5（南京-本地地域）、阿联酋（迪拜）、沙特（利雅得） 沙特（利雅得）地域由合作伙伴运营。

计费说明

• 实例费用：VPN 网关收取实例费和流量费。

• 配置变更：为已有的 VPN 网关开启 IPsec-VPN，需要为当前计费周期的剩余时间补缴功能差价。

• 版本升级：升级 VPN 网关的操作本身不产生任何费用。