|
网关在中国相关政策法规内提供服务,仅支持建立非跨境连接,不支持建立跨境连接。如果您需要通过 在您建立IPsec-VPN的过程中,如果本地数据中心、对端资源所属的地域符合以下任意一种情况即为非跨境连接。 在您建立SSL-VPN的过程中,如果客户端和对端资源所属的地域符合以下任意一种情况即为非跨境连接。 在您建立IPsec-VPN的过程中,如果本地数据中心、对端资源所属的地域符合以下任意一种情况即为跨境连接。 在您建立SSL-VPN的过程中,如果客户端和对端资源所属的地域符合以下任意一种情况即为跨境连接。 华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、华东1(杭州)、华东2(上海)、华东5(南京-本地地域)、华东6(福州-本地地域)、华中1(武汉-本地地域)、西南1(成都)、华东1金融云、华东2金融云、华南1金融云、华北2金融云(邀测)、华北2阿里政务云1 中国香港、新加坡、马来西亚(吉隆坡)、日本(东京)、印度尼西亚(雅加达)、菲律宾(马尼拉)、韩国(首尔)、泰国(曼谷)、德国(法兰克福)、英国(伦敦)、阿联酋(迪拜)、美国(硅谷)、美国(弗吉尼亚)、墨西哥 如果您希望通过VPN连接访问跨境资源,您可以搭配使用转发路由器产品,转发路由器提供低延迟、高速率的网络传输能力,支持在跨地域(包含跨境)的资源之间建立私网(内网)通信通道,帮助您实现不同地域的资源任意互通。 IPsec-VPN支持IKEv1和IKEv2协议,支持这两种协议的设备均可以和阿里云VPN网关互连。如何选择IKE版本,请参见配置IPsec-VPN连接时,如何选择IKE版本?。 关于本地站点如何通过IPsec-VPN连接至VPC,请参见建立VPC到本地数据中心的连接(双隧道模式)。 阿里云VPN网关支持标准的IKEv1和IKEv2协议。因此,只要支持这两种协议的设备都可以和阿里云VPN网关互连。例如华三、华为、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等。具体操作,请参见本地网关设备配置示例。 具体操作,请参见建立VPC到VPC的IPsec-VPN连接(双隧道模式)。 如果您在跨地域的VPC之间建立IPsec-VPN连接,IPsec-VPN连接的网络质量会受公网质量的影响,推荐您使用云企业网在跨地域VPC之间建立连接。具体操作,请参见跨账号VPC互通。 Android系统的手机、电脑等终端通过OpenVPN软件和阿里云建立VPN连接。 在为IPsec连接配置多个对端网段前,请先了解多网段配置建议。更多信息,请参见多网段场景配置建议。 每个VPN网关默认支持创建10个IPsec连接,您可以在阿里云控制台自助调整使用限制。具体操作,请参见管理IPsec-VPN配额。 在网络ACL的出方向和入方向分别配置规则允许以下网段及IP地址通过,以便VPN网关可以正常建立IPsec-VPN连接: 阿里云使用100.64.0.0/10网段对内提供服务,您需要允许此网段通过以便VPN网关可以正常运行。 在网络ACL的出方向和入方向分别配置规则允许以下网段及IP地址通过并放开SSL-VPN的端口,以便VPN网关可以正常建立SSL-VPN连接: 阿里云使用100.64.0.0/10网段对内提供服务,您需要允许此网段通过以便VPN网关可以正常运行。 如果您需要立即升级或降低VPN网关的SSL连接数规格,请参见修改SSL并发连接数。 如果您需要临时升级VPN网关的配置,例如临时升级VPN网关的带宽规格,临时开启VPN网关的IPsec-VPN功能等,请参见临时升配。 如果您需要在下月或者续费周期内升级或降低VPN网关的配置,例如降低VPN网关带宽规格,关闭VPN网关IPsec-VPN功能等,请参见续费变配。 2022年12月10日之后创建的VPN网关实例默认支持查看SSL客户端的连接信息。 如果SSL服务端关联的VPN网关实例是在2022年12月10日之前创建的,默认无法查看SSL客户端的连接信息,升级VPN网关实例后才支持查看。 在配置IPsec-VPN连接时,您需要根据IPsec连接对端网关设备的支持情况,以及是否需要多网段互通来选择IKE的版本。 IPsec连接使用IKEv1版本时默认不支持多网段互通,请参见多网段配置方案推荐进行配置。 相对于IKEv1版本,IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持,推荐使用IKEv2版本。 例如本地数据中心计划使用42.XX.XX.1这个地址与阿里云VPN网关建立IPsec-VPN连接,但是由于本地数据中心使用了SNAT功能,使用42.XX.XX.1地址发出的流量经过SNAT转换后会变成由47.XX.XX.21地址发出的流量 ,那么在阿里云VPN网关管理控制台创建用户网关实例时,用户网关实例的IP地址需填写为47.XX.XX.21,阿里云VPN网关才能与本地数据中心建立IPsec-VPN连接。 推荐本地数据中心使用IPsec协议默认端口号(500以及4500)与VPN网关之间建立IPsec-VPN连接,不建议转换端口号。 在阿里云侧如果公网VPN网关关联的VPC实例同时配置了NAT网关功能,则公网VPN网关实例的IP地址保持不变,不会经过NAT网关转换。 在IPsec连接绑定VPN网关实例的场景下,VPN网关实例最大的带宽规格为1000 Mbps(部分地域的最大带宽规格为500 Mbps)。如果您需要扩大IPsec-VPN连接的带宽,推荐您使用IPsec连接绑定转发路由器实例的方式将本地数据中心接入阿里云,通过转发路由器实现本地数据中心与VPC的网络互通。 在IPsec连接绑定转发路由器实例的场景下,单个IPsec-VPN连接最大的带宽规格为1000 Mbps。如果您需要扩大IPsec-VPN连接的带宽规格,您可以在转发路由器和本地数据中心之间建立多个IPsec-VPN连接,本地数据中心和阿里云之间同时通过多个IPsec-VPN连接传输流量,如下图所示。具体操作,请参见建立多条公网IPsec-VPN连接实现流量的负载分担建立多条私有IPsec-VPN连接实现私网流量的负载分担。 创建VPN网关实例时,您需要指定交换机,系统将在指定交换机所属的可用区下部署VPN网关。VPN网关实例创建完成后可以转发VPC实例所有可用区下ECS实例的流量。 您可能需要依据实际场景添加一些路由配置来实现VPN网关实例转发ECS实例的流量。例如一些可用区下的交换机关联的是VPC实例的自定义路由表,则您需要在VPC实例的自定义路由表下添加一条指向VPN网关实例的自定义路由。 您添加的路由的目标网段与VPC实例下的路由的目标网段相同,请排查VPC实例路由表下的路由配置,解决路由冲突问题。 您添加的路由与VPN网关实例下的路由冲突,请排查VPN网关实例策略路由表、目的路由表下的路由配置,解决路由冲突问题。 如果您添加的是目的路由,且目的路由的目标网段和下一跳与VPN网关实例下已有的目的路由的目标网段和下一跳相同,则会产生路由冲突。 如果您添加的是策略路由,且策略路由的源网段、目标网段、下一跳与VPN网关实例下已有的策略路由的源网段、目标网段、下一跳相同,则会产生路由冲突。 购买VPN网关产品后,VPN网关产品将为您提供购买的带宽规格能力。但VPN网关产品传输流量的过程中以下因素可能会影响您的带宽体验: 用户网关实例关联设备的功能、连接的容量、平均数据包大小、所用的协议(TCP与UDP)。 如果您购买了公网网络类型的VPN网关实例或使用公网网络类型的IPsec连接时,公网带宽能力、公网时延可能会影响您的带宽体验。 如果您需要测试VPN网关产品的带宽,推荐您使用iPerf3工具进行测试。使用FTP、SCP、CP等命令传输文件的速率由于受到磁盘读写速度的影响无法反映真实的带宽速率。如何使用iPerf3工具,请参见使用iPerf3测试物理专线的带宽。 使用VPN网关加密访问VPC内资源时,如果您的客户端或者本地数据中心需要使用公网地址进行访问,需满足以下条件: 如果您使用了IPsec-VPN,则需要将公网网段添加到IPsec连接的对端网段中。 如果您使用了SSL-VPN,则需要将公网网段添加到SSL服务端的客户端网段中。 将公网网段设置为VPC的用户网段,以确保VPC可以访问到该公网网段。关于用户网段的更多信息,请参见专有网络FAQ和专有网络FAQ。 在您使用策略路由、目的路由或BGP动态路由时,如果因为路由条目超限导致无法新增路由条目或IPsec连接无法学习到BGP路由条目,您可以通过以下两种方式解决问题: 支持提升策略路由条目、目的路由条目或BGP路由条目的配额。更多信息,请参见IPsec-VPN配额。 例如您已经配置了目标网段分别为10.10.1.0/24、10.10.2.0/24、10.10.3.0/24,下一跳指向相同IPsec连接(例如IPsec连接1)的三条目的路由,您可以新增一条目标网段为10.10.0.0/22,下一跳指向IPsec连接1的目的路由,然后再删除上述三条目的路由,以节省目的路由条目配额。 可开启VPC流日志,采集VPN的弹性网卡流量并对其进行分析。详情请查看通过ENI流日志查询分析VPN网关实例传输的流量。 VPN网关的公网地址类型为多线BGP。该类型通过接入多条运营商线路并自动选择最优路径,为用户提供快速稳定的访问体验。 (责任编辑:admin) |
