哪些設備可以與天翼云進行VPN對接？

天翼云的VPN連接支持標準IPsec協議，用戶可以通過以下兩個方面確認用戶側數據中心的設備能否與天翼云進行對接：

• 設備是否具備IPsec功能和授權：請查詢設備的特性列表獲取是否支持IPsec VPN。
• 關于組網結構，要求用戶側數據中心有固定的公網IP或者經過NAT映射后的固定公網IP（即NAT穿越，VPN設備在NAT網關后部署）也可以。

                    
說明
                    
普通家庭寬帶路由器、個人的移動終端設備、Windows主機自帶的VPN服務（如L2TP）無法與天翼云的VPN連接進行對接。
與天翼云VPN連接服務做過對接測試廠商包括但不限于：華為（路由器、防火墻）、H3C（路由器、防火墻）、CISCO（路由器、防火墻）、銳捷（路由器、防火墻）、中興、深信服、Fortinet、360、天融信、山石、網康、綠盟、DELL、合勤、Juniper等。
云服務廠商包括但不限于：華為云、阿里云，騰訊云，亞馬遜云。
軟件廠商包括但不限于：Openswan/strongSwan、GreenBow等 。
IPsec協議屬于IETF標準協議，宣稱支持該協議的廠商均可與天翼云進行對接，用戶不需要關注具體的設備型號。目前絕大多數企業級路由器和防火墻都支持該協議。
部分硬件廠商在特性規格列表中是宣稱支持IPsec VPN的，但是需要專門購買軟件License才能激活相關功能。請用戶側數據中心管理員根據設備具體型號與廠商進行確認。


                    
                  
                  

是否可以將應用部署在云端，數據庫放在本地IDC，然后通過VPN實現互聯？

VPN連通的是兩個子網，即云上VPC網絡與用戶數據中心網絡。

VPN成功建立后，兩個子網間可以運行任何類型的業務流量，此時應用服務器訪問數據庫業務在邏輯上和訪問同一局域網的其它主機是相同的，因此該方案可行的。

這種場景是IPsec VPN的典型場景，請用戶放心使用。

同時VPN連通以后，并不限定業務的發起方是云上還是用戶側數據中心，即用戶可以從云上向用戶側數據中心發起業務，也可以反向。

                    
注意
                    
用戶在打通VPN以后，需要關注網絡延遲和丟包情況，避免影響業務正常運行。
建議用戶先運行ping，獲取網絡的丟包和時延情況。

                    
                  
                  

建立IPsec VPN連接需要帳戶名和密碼嗎？

常見的使用帳戶名和密碼進行認證的VPN有SSL VPN，PPTP或L2TP。

天翼云的IPsec VPN使用預共享密鑰方式進行認證，密鑰是配置在VPN網關上的，在VPN協商完成后即建立通道，VPN網關所保護的主機在進行通信時無需輸入帳戶名和密碼。

                    
說明
                    
IPsec XAUTH技術是IPsec VPN的擴展技術，它在VPN協商過程中可以強制接入用戶輸入帳戶名和密碼。目前天翼云VPN不支持該擴展技術。
                    
                  
                  

IPsec VPN和SSL VPN在使用場景和連接方式上有什么區別？

使用場景

• IPsec VPN連通的是兩個局域網，如分支機構與總部（或天翼云VPC）之間、本地IDC與云端VPC的子網，即IPsec VPN是網對網的連接。
• SSL VPN連通的是一個客戶端到一個局域網絡，如出差員工的便攜機訪問公司內網，即SSL VPN是點對網的連接。

連接方式

IPsec VPN要求兩端有固定的網關設備，如防火墻或路由器，管理員需要分別配置兩端網關完成IPsec VPN協商。

SSL VPN需要在主機上安裝指定的Client軟件，通過用戶名/密碼撥號連接至SSL設備。

IPsec VPN是否會自動建立連接？

IPsec VPN在完成兩側配置后，并不會自行建立連接，需要兩側主機間的數據流來觸發隧道的建立。如果云上與用戶側數據中心沒有交互數據流，VPN的連接狀態會一直處于Down狀態。所謂的數據流，可以是真實的業務訪問數據，也可以是主機間Ping測數據。

觸發隧道建立的方式有兩種，一種是通過建立連接間的網關設備自動觸發協商，另一種是通過云上云下主機間的交互流量觸發。

天翼云不支持通過云端VPN網關自動觸發協商。推薦您在首次建立連接時，分別驗證兩側的交互數據流均可觸發連接建立。即用戶側數據中心主機ping云上主機可觸發連接建立，然后斷開連接，確認云上主機Ping用戶側數據中心主機亦可觸發連接建立。

                    
說明
                    
Ping包的源地址、目的地址需要處于VPN保護的范圍內。
在建立連接之前，兩端的網關地址應該是可以Ping通的，但是Ping網關IP并不觸發VPN連接的建立。
                    
                  
                  

VPN網關刪除后公網地址是否可以保留？

VPN網關刪除后不保留網關IP。

通過管理控制臺界面刪除VPN網關后， VPN網關相關聯的資源，如公網IP，配置信息即被釋放，不會保留。

                    
注意
                    
刪除最后一個連接會同步刪除網關，用戶如果需要保留公網IP，請確保不要刪除最后一個VPN連接。
                    
                  
                  

VPC、VPN網關、VPN連接之間有什么關系？

• VPC，即云上私有專用網絡，同一節點中可以創建多個VPC，且VPC之間相互隔離。一個VPC內可以劃分多個子網網段。
• VPN網關，基于VPC創建，是VPN連接的接入點。天翼云中一個VPC僅能購買一個VPN網關，每個網關可以創建多個VPN連接。
• VPN連接，基于VPN網關創建，用于連通VPC子網和用戶數據中心（或其它節點的VPC）子網，即每個VPN連接連通了一個用戶側數據中心的網關。

                    
說明
                    
VPN連接的數量與VPN連接的本端子網和遠端子網的數量無關，僅與用戶VPC需要連通的用戶數據中心（或其它Region的VPC）的數量有關，已創建的VPN連接的數量即VPN連接列表中展示的數量（一個條目即一個VPN連接），也可以在VPN網關中查看當前網關已創建的VPN連接數量。
                    
                  
                  

如何理解VPN連接中的遠端網關和遠端子網？

遠端網關和遠端子網是個相對的概念，在建立VPN連接時，從天翼云的角度出發，天翼云VPC網絡就是本地子網，創建的VPN網關就是本地網關，與之對接的用戶側網絡就是遠端子網， 用戶側的網關就是遠端網關。

遠端網關IP就是用戶側網關的公網IP，遠端子網指需要和天翼云VPC子網互聯的子網。

連接云下的多臺服務器需要購買幾個連接？

天翼云的VPN連接屬于IPSec VPN，它是用于打通云上VPC和用戶側數據中心子網的VPN，所以購買VPN連接的個數與服務器的數量無關，而與這些服務器所在的數據中心數量有關。

大部分情況下一個用戶側數據中心會有一個公網出口網關，所有服務器（或用戶主機）都通過該網關連接至Internet，因此對于這種情況配置一個VPN連接即可，通過該連接即可打通天翼云VPC與用戶網絡之間的流量。

VPN支持將兩個VPC互連嗎？

• 如果兩個VPC位于同一節點內，不支持VPN互連，推薦使用VPC對等連接互連。
• 如果兩個VPC位于不同節點，支持VPN互連。

在多出口的網絡中，能否使用兩個出口分別與同一VPC建立VPN連接做冗余配置？

不可以。

云端創建VPN時，本端子網為VPC內部子網，遠端子網為客戶用戶側數據中心子網，兩條連接使用相同的本端子網和遠端子網是無法進行創建的。

為什么VPN創建成功后狀態顯示未連接？

VPN對接成功后兩端的服務器或者云主機之間需要進行通信，VPN的狀態才會刷新為正常。

• IKE v1版本：如果VPN連接經歷了一段無流量的空閑時間，則需要重新協商。協商時間取決于IPsec Policy策略中的“生命周期（秒）”取值。“生命周期（秒）”取值一般為3600（1小時），會在第54分鐘時重新發起協商。如果協商成功，則保持連接狀態至下一輪協商。如果協商失敗，則在1小時內將狀態設置為未連接，需要VPN兩端重新進行通信才能恢復為連接狀態。可以使用網絡監控工具（例如：IP SLA）生成保持連接的Ping信號來避免這種情況發生。
• IKE v2版本：如果VPN連接經歷了一段無流量的空閑時間，VPN保持連接狀態。

EIP能作為VPN連接服務的VPN網關IP嗎？

不可以。

VPN配置完成了，為什么連接一直處于未連接狀態？

首先需要確認兩端的預共享密鑰和協商信息一致，云上與用戶側數據中心的本端子網/遠端子網、本端網關/遠端網關互為鏡像。

其次確認用戶側數據中心設備的路由、NAT和安全策略配置無誤，最后通過兩端的子網互PING對端子網主機。

                    
說明
                    
因為VPN是基于數據流觸發的，在配置完成后需要從任一端子網主機ping對端子網主機，ping之前請關閉主機防火墻，云上安全組開啟入方向ICMP。
ping網關IP無法觸發VPN協商，需要ping網關保護的子網中的主機。
                    
                  
                  

配置VPN連接的本端子網和遠端子網時需要注意什么？

• 子網數量滿足規格限制，數量超出規格限制請進行聚合匯總。
• 本端子網不可以包含遠端子網，遠端子網可以包含本端子網。
• 推薦配置的本端子網在VPC內有路由可達。
• 同一個VPN網關創建兩條連接：若這兩條連接的遠端子網存在包含關系，在訪問的目的網絡處于交集網段部分時，按照創建連接的先后順序匹配VPN連接，且與連接狀態無關（策略模式不能按照掩碼長度進行匹配）。

VPN本端子網和遠端子網的數量有限制嗎，為什么我選擇網段更新本地子網提示報錯？

• 本端子網限制數量為5個，VPN本端子網和遠端子網數量乘積最大支持到225。
• VPC會根據VPN連接的遠端子網、云專線的遠端子網、VPC對等連接子網、云連接的子網下發VPC子網路由，每個子網網段對應一條子網路由。
• VPC子網路由條目數不得大于200，即同一個VPC中所有VPN連接的遠端子網數、云專線的遠端子網數、VPC對等連接子網數、云連接的子網數以及自定義路由條目數的總和不得大于200。

創建VPN連接時添加遠端子網，提示系統異常，如何處理？

檢查VPC內是否存在對等連接、云專線的子網路由使用了該子網，導致VPN下發子網路由沖突，確認后將其配置的子網路由刪除后重新創建即可。

VPN接入VPC的網絡地址如何規劃？

• 云上VPC地址段和客戶云下的地址段不能沖突，且不允許存在包含關系。
• 為避免和云服務地址沖突，用戶側網絡應盡量避免使用127.0.0.0/8、169.254.0.0/16、224.0.0.0/3、100.64.0.0/10的網段。

創建VPN網關時IP是如何分配的？

天翼云的VPN網關IP是一組提前規劃好的地址組，提前預制了VPN的相關配置。

在用戶創建VPN網關時，系統會隨機分配一個IP地址和VPC進行綁定，且這個IP地址也只能綁定1個VPC。

因為VPN的網關IP存在預置數據，所以VPN網關IP和EIP不能轉換，在創建VPN網關時也不能指定IP地址。

刪除VPN網關時會釋放IP地址與VPC的綁定關系；重新創建VPN網關時系統會重新隨機分配網關IP地址。