1. VPN网关产品定位与核心概念
阿里云VPN网关(VPN Gateway)是一款基于互联网的加密网络连接服务,通过IPsec或SSL协议在企业数据中心、办公网络、远程终端与阿里云专有网络(VPC)之间建立安全可靠的加密隧道。VPN网关支持IPsec-VPN和SSL-VPN两种连接模式,分别适用于站点到站点(Site-to-Site)和客户端到站点(Client-to-Site)的接入场景。
IPsec-VPN基于IPsec协议族,在IP层对数据进行加密封装,适合企业分支、本地数据中心与云上VPC的持久化互联。SSL-VPN基于SSL/TLS协议,在应用层建立安全通道,终端用户只需安装轻量客户端软件即可随时随地接入云上内网。两种模式可以共存于同一个VPN网关实例,企业可根据实际业务需求灵活选择或组合使用。
VPN网关的核心组件包括:VPN网关实例(云上加密隧道的端点)、用户网关(记录本地网关设备的公网IP和ASN信息)、IPsec连接(定义加密隧道参数)、SSL服务端(定义客户端可访问的云上网络范围)以及SSL客户端证书(用于客户端身份认证)。理解这些组件之间的协作关系,是正确配置VPN网关的前提。
需要先登录阿里云控制台,点击:阿里云控制台
2. IPsec-VPN配置全流程
2.1 创建VPN网关实例
IPsec-VPN配置的第一步是创建VPN网关实例。登录VPN网关管理控制台,在顶部导航栏选择与目标VPC相同的地域。单击“创建VPN网关”,进入购买配置页面。
关键配置参数包括:实例名称(建议按业务语义命名,如vpn-prod-shanghai)、地域(需与VPC所在地域一致)、网关类型(普通型或增强型,增强型目前处于邀测阶段)、网络类型(公网)、隧道模式(单隧道或双隧道,推荐双隧道以实现可用区级容灾)、专有网络(选择待关联的VPC)、虚拟交换机(需指定两个位于不同可用区的交换机,系统会在每个交换机下创建一个弹性网卡ENI作为VPN网关与VPC流量互通的接口)、带宽峰值(可选规格包括10 Mbps、100 Mbps、200 Mbps、500 Mbps、1000 Mbps)、IPsec-VPN(开启)、SSL-VPN(根据需求开启)。配置完成后单击“立即购买”并完成支付。
VPN网关实例创建后,状态先为“准备中”,约1至5分钟后变为“正常”,此时实例方可使用。创建完成后不支持修改关联的交换机实例,请在创建时慎重选择。
2.2 创建用户网关
用户网关是阿里云侧的逻辑对象,用于注册本地数据中心网关设备的公网IP地址和自治系统号(ASN)。前往VPN网关控制台的“用户网关”页面,选择与VPN网关实例相同的地域,单击“创建用户网关”。
配置项包括:名称(建议包含地域或用途标识)、IP地址(本地网关设备的静态公网IP,如后续建立私网类型IPsec连接则填写私网IP)、自治系统号(如计划启用BGP动态路由则需填写,取值1~4294967295,不能与阿里云ASN 45104相同)。配置完成后单击“确定”。用户网关创建后不支持直接修改IP地址或ASN,如需变更需删除重建。
2.3 创建IPsec连接
IPsec连接定义了从VPN网关到用户网关的加密隧道参数。在VPN网关控制台左侧导航栏选择“IPsec连接”,单击“绑定VPN网关”。
基本配置包括:IPsec连接名称(建议规范命名,如ipsec-shanghai-idc)、VPN网关(选择已创建的VPN网关实例)、用户网关(选择已创建的用户网关)。加密配置是IPsec连接的核心,包含IKE配置(IKE版本、协商模式、加密算法、认证算法、DH分组、生命周期)和IPsec配置(加密算法、认证算法、封装模式、生命周期、PFS)。预共享密钥(PSK)需在两端配置一致,是隧道建立的关键凭证。
路由配置方面,可选择“目的路由”或“BGP动态路由”。目的路由方式需手动指定本端网段(VPC网段)和对端网段(本地数据中心网段),系统将自动为匹配这些网段的流量建立加密隧道。BGP动态路由方式则通过BGP协议自动交换路由信息,适合网络拓扑复杂或需要动态感知路由变化的场景。配置完成后单击“确定”,IPsec连接进入“协商中”状态,待本地网关设备完成对应配置后隧道即建立成功。
2.4 本地网关设备配置(strongSwan示例)
云上IPsec连接创建完成后,需要在本地网关设备上进行对应的IPsec配置。以下以开源strongSwan软件为例,演示如何在Linux服务器上配置IPsec-VPN连接。
安装strongSwan:
yum install -y strongswan # 或 apt-get install -y strongswan
编辑IPsec配置文件 /etc/strongswan/ipsec.conf:
config setup charondebug=\"all\" uniqueids=yes conn aliyun-vpn auto=start type=tunnel keyexchange=ikev2 authby=secret left=%defaultroute leftid=XX.XX.3.3 leftsubnet=172.16.0.0/16 right=XX.XX.1.1 rightid=XX.XX.1.1 rightsubnet=10.0.0.0/16 ike=aes256-sha256-modp2048 esp=aes256-sha256 ikelifetime=86400s lifetime=3600s dpddelay=10s dpdtimeout=30s dpdaction=restart
配置预共享密钥 /etc/strongswan/ipsec.secrets:
XX.XX.3.3 XX.XX.1.1 : PSK \"your_pre_shared_key\"
启动strongSwan服务:
systemctl start strongswan systemctl enable strongswan
验证IPsec连接状态:
ipsec statusall
若状态显示“ESTABLISHED”,则隧道建立成功。不同品牌型号的网关设备(如Cisco ASA、华为防火墙、山石网科等)配置语法各异,但核心参数(IKE版本、加密算法、认证算法、DH组、预共享密钥、本端/对端网段)需与云上IPsec连接配置严格一致。
3. SSL-VPN配置全流程
3.1 创建VPN网关实例(开启SSL-VPN)
SSL-VPN同样需要先创建VPN网关实例,与IPsec-VPN的区别在于需开启SSL-VPN功能并设置SSL连接数。在创建VPN网关时,勾选“SSL-VPN”并填写SSL连接数(如5个并发连接)。其他配置参数与IPsec-VPN场景一致。
3.2 创建SSL服务端
SSL服务端定义了客户端可访问的云上网络范围以及客户端的IP地址池。前往“SSL服务端”页面,单击“创建SSL服务端”。
配置项包括:名称(如ssl-server-shanghai)、VPN网关(选择已创建的VPN网关实例)、本端网段(客户端需要访问的云上网络,通常为VPC网段,如10.0.0.0/16)、客户端网段(为客户端分配的虚拟IP地址池,需与VPC网段及客户端本地网段不冲突,如172.16.10.0/24)、协议(UDP或TCP,推荐UDP以获得更好的传输效率)、端口(默认1194)、加密算法(推荐AES-256)。配置完成后单击“确定”。
3.3 创建SSL客户端证书
SSL客户端证书用于对客户端进行身份认证和数据加密。前往“SSL客户端”页面,单击“创建SSL客户端”。配置项包括:名称(如client-zhangsan)、SSL服务端(选择已创建的SSL服务端)。创建完成后,在操作列单击“下载证书”即可获取客户端配置文件。
3.4 多平台客户端配置
SSL客户端证书下载后,需在终端设备上安装并导入证书。
Windows客户端配置: 下载并安装OpenVPN GUI客户端,将证书压缩包中的.ovpn配置文件导入OpenVPN,右键点击系统托盘中的OpenVPN图标选择“连接”,输入凭据后即可建立SSL-VPN连接。
macOS客户端配置: 下载安装Tunnelblick或OpenVPN Connect,双击.ovpn配置文件导入,点击“连接”即可。
Linux客户端配置: 安装OpenVPN:
yum install -y openvpn # 或 apt-get install -y openvpn
将.ovpn配置文件放置于 /etc/openvpn/ 目录下,执行:
openvpn --config /etc/openvpn/client.ovpn
Android/iOS客户端配置: 在应用商店下载OpenVPN Connect App,通过文件管理器或邮件导入.ovpn配置文件,点击连接即可。
SSL-VPN连接建立后,客户端将获得一个虚拟IP地址(来自SSL服务端配置的客户端网段),可通过该IP与VPC内的ECS实例等资源进行内网通信。
4. VPN网关路由配置
4.1 目的路由配置
VPN网关实例需要配置去往本地数据中心的路由,并将路由发布至VPC路由表,才能实现本地数据中心与VPC的双向通信。登录VPN网关管理控制台,单击目标VPN网关实例ID进入详情页,切换到“目的路由表”页签,单击“添加路由条目”。配置项包括:目标网段(本地数据中心的网段,如172.16.0.0/16)、下一跳(选择对应的IPsec连接)。添加完成后,单击“发布”将路由发布至VPC路由表。
4.2 策略路由配置
策略路由基于源IP地址、目的IP地址、协议类型等条件组合来匹配流量,可实现更精细的流量调度。在VPN网关实例详情页切换到“策略路由表”页签,单击“添加路由条目”。配置项包括:源网段、目标网段、下一跳、优先级等。策略路由适用于多分支互连或需要按业务类型分流VPN流量的复杂场景。
4.3 BGP动态路由配置
BGP动态路由适用于网络拓扑频繁变化或需要自动感知路由更新的场景。启用BGP需在用户网关中配置ASN,并在IPsec连接中开启BGP功能。VPN网关支持从BGP对端接收最多50条路由,如需更多可通过工单申请提升至200条。BGP配置完成后,可在VPN网关的BGP路由表中查看从对端学习到的路由。
5. 监控与运维
5.1 云监控与阈值告警
VPN网关已接入阿里云基础云监控服务,可对VPN网关实例的流量、连接数、隧道状态等指标进行实时监控。登录VPN网关管理控制台,单击目标VPN网关实例ID,在“监控”页签查看各项监控指标。
推荐为关键指标创建阈值报警规则:在云监控控制台选择“VPN网关”产品,配置报警规则。建议监控的指标包括:公网入方向流量、公网出方向流量、IPsec连接状态、SSL连接数等。当指标超过设定阈值时,系统将通过短信、邮件等方式发送报警通知。
5.2 实例诊断与故障排查
VPN网关控制台提供实例诊断功能,可一键诊断IPsec-VPN连接协商问题、路由配置问题、实例状态问题等。在VPN网关页面,找到目标实例,在“诊断”列单击“实例诊断”,系统将自动执行诊断并返回结果。
针对IPsec-VPN连接常见问题,可参考错误码对照表进行自主排查。常见问题包括:预共享密钥不一致、IKE协议版本不一致、加密算法或认证算法不匹配、防火墙未放行UDP 500/4500端口等。SSL-VPN常见问题包括:客户端证书未正确安装、防火墙未放行UDP 1194端口、客户端网段与VPC网段冲突等。
6. 计费与选型建议
6.1 计费方式
VPN网关目前支持按量付费(后付费)和包年包月(预付费)两种计费方式。按量付费的计费周期为1小时,账单周期也为1小时。费用构成主要包括:VPN网关实例费(按带宽规格计费)和公网流量费(仅对出云方向流量计费,CDT产品每月提供220GB免费流量额度,其中中国内地地域20GB,其他地域200GB)。
带宽规格与价格:VPN网关提供10 Mbps、100 Mbps、200 Mbps、500 Mbps、1000 Mbps五种带宽规格。不同规格下IPsec-VPN实例费和SSL-VPN实例费相同。建议根据实际业务流量和并发连接数选择合适的带宽规格,避免资源浪费或带宽不足。
6.2 选型建议
IPsec-VPN选型:若只需连接单个VPC,选择“绑定VPN网关”模式;若需连接多个VPC或构建复杂网络拓扑,建议选择“绑定转发路由器(TR)”模式。增强型VPN网关提供更高的性能和更丰富的功能,目前处于邀测阶段,有需求的用户可联系阿里云工程师开通。
SSL-VPN选型:根据并发连接数选择SSL连接数规格,单个VPN网关实例的SSL连接数上限取决于带宽规格。若需为大量移动办公人员提供接入,建议选择较高带宽规格和连接数配置。
高可用设计:在支持多可用区的地域,务必选择双隧道模式并指定两个不同可用区的交换机,实现VPN网关层面的跨可用区容灾。同时可结合物理专线构建主备链路,当专线故障时自动切换至VPN备链路,提升业务连续性。
7. 常见问题与解答
问:IPsec-VPN连接建立后,VPC内的ECS无法ping通本地数据中心服务器,可能是什么原因?
答:首先检查VPN网关是否配置了去往本地数据中心网段的目的路由,并将路由发布至VPC路由表。其次检查本地网关设备是否配置了去往VPC网段的路由,下一跳指向IPsec隧道接口。最后检查安全组和网络ACL规则是否放行了ICMP流量。
问:SSL-VPN客户端连接成功,但无法访问VPC内的ECS实例,如何排查?
答:确认SSL服务端的“本端网段”是否包含ECS所在的VPC网段。检查ECS实例的安全组入方向规则是否放行了来自SSL客户端网段的流量。确认客户端获取的虚拟IP地址与VPC网段不冲突。
问:VPN网关实例创建后能否修改带宽规格?
答:可以。在VPN网关控制台找到目标实例,在操作列选择“升配”或“降配”,按页面提示完成变更即可。带宽规格变更通常不影响已有连接。
问:IPsec-VPN支持哪些加密算法和认证算法?
答:IPsec-VPN支持IKEv1和IKEv2协议,加密算法包括AES-128、AES-192、AES-256、3DES等,认证算法包括SHA-1、SHA-256、SHA-384、SHA-512等,DH分组支持Group 1、2、5、14、24等。推荐使用AES-256加密算法配合SHA-256认证算法和DH Group 14,以兼顾安全性和性能。
问:VPN网关支持跨境连接吗?
答:阿里云VPN网关遵守中国大陆相关政策法规,仅支持非跨境连接。如需访问跨境资源,建议使用全球加速(GA)等其他服务。
问:如何查看IPsec-VPN连接的协商日志?
答:VPN网关产品针对IPsec-VPN连接提供日志记录功能,您可以通过日志信息了解连接的建立过程,并排查连接建立过程中遇到的问题。在VPN网关控制台的IPsec连接详情页面可查看相关日志。
