VPN网关(VPN Gateway)
功能:
- 基于IPsec协议,在公共互联网上建立加密通道,连接本地数据中心(IDC)与阿里云VPC(专有网络)。
- 支持站点到站点VPN(Site-to-Site VPN)和移动端远程接入(SSL-VPN)。
- 提供高可用性(双隧道)、按量付费或包年包月计费模式。
典型场景:
- 企业分支机构通过VPN访问阿里云资源。
- 混合云架构中,本地IDC与云上VPC的安全互通。
配置步骤:
- 创建VPN网关:
- 登录阿里云VPC控制台,选择VPN网关 > 创建VPN网关,选择地域、VPC、带宽等参数。
- 配置用户网关:
添加本地IDC的网关设备公网IP。
- 创建IPsec连接:
定义加密算法(如IKEv2)、预共享密钥(PSK)、本地与云端的子网路由。
- 下载配置文件:
将配置应用到本地防火墙或路由器(如Cisco、华为设备)。
SSL-VPN(远程接入VPN)
功能:
- 允许单个用户通过SSL协议远程访问VPC内资源(如ECS、RDS)。
- 无需配置公网IP,适合移动办公或临时访问场景。
配置步骤:
- 在VPN网关中启用SSL-VPN功能,配置客户端网段。
- 下载SSL客户端证书(如OpenVPN配置)。
- 用户使用客户端软件(如OpenVPN)连接。
智能接入网关(SAG)
适用场景:
- 企业分支通过硬件CPE设备或软件客户端(SAG App)快速接入阿里云,支持VPN+SD-WAN能力。
- 提供更稳定的网络质量(基于阿里云全球骨干网)。
与其他服务结合
- 云企业网(CEN):跨地域VPC互通时,VPN网关可与CEN配合,实现更复杂的网络拓扑。
- NAT网关:解决VPN与公网访问的地址冲突问题。
注意事项
- 网络规划:确保本地子网与VPC子网无重叠(如本地用
168.0.0/24,VPC用0.0.0/16)。 - 高可用:建议为VPN网关配置两条隧道(主备链路),并启用健康检查。
- 安全组:检查VPC内ECS的安全组规则,允许来自VPN网段的流量。
- 监控:通过云监控查看VPN隧道状态、流量指标。
常见问题
- 连接失败:检查PSK、IKE版本、本地防火墙UDP 500/4500端口是否开放。
- 限速:VPN带宽受限于网关规格(如10M、100M),如需更高带宽可考虑专线(如Express Connect)。
如需详细操作,可参考阿里云VPN网关文档,若需要具体配置示例(如对接特定厂商设备),可进一步说明场景!
