阿里云VPN网关完全配置指南：从零搭建安全混合云连接

1. VPN网关产品定位与核心概念

阿里云VPN网关（VPN Gateway）是一款基于互联网的加密网络连接服务，通过IPsec或SSL协议在企业数据中心、办公网络、远程终端与阿里云专有网络（VPC）之间建立安全可靠的加密隧道。VPN网关支持IPsec-VPN和SSL-VPN两种连接模式，分别适用于站点到站点（Site-to-Site）和客户端到站点（Client-to-Site）的接入场景。

IPsec-VPN基于IPsec协议族，在IP层对数据进行加密封装，适合企业分支、本地数据中心与云上VPC的持久化互联。SSL-VPN基于SSL/TLS协议，在应用层建立安全通道，终端用户只需安装轻量客户端软件即可随时随地接入云上内网。两种模式可以共存于同一个VPN网关实例，企业可根据实际业务需求灵活选择或组合使用。

VPN网关的核心组件包括：VPN网关实例（云上加密隧道的端点）、用户网关（记录本地网关设备的公网IP和ASN信息）、IPsec连接（定义加密隧道参数）、SSL服务端（定义客户端可访问的云上网络范围）以及SSL客户端证书（用于客户端身份认证）。理解这些组件之间的协作关系，是正确配置VPN网关的前提。

需要先登录阿里云控制台，点击：阿里云控制台

2. IPsec-VPN配置全流程

2.1 创建VPN网关实例

IPsec-VPN配置的第一步是创建VPN网关实例。登录VPN网关管理控制台，在顶部导航栏选择与目标VPC相同的地域。单击“创建VPN网关”，进入购买配置页面。

关键配置参数包括：实例名称（建议按业务语义命名，如vpn-prod-shanghai）、地域（需与VPC所在地域一致）、网关类型（普通型或增强型，增强型目前处于邀测阶段）、网络类型（公网）、隧道模式（单隧道或双隧道，推荐双隧道以实现可用区级容灾）、专有网络（选择待关联的VPC）、虚拟交换机（需指定两个位于不同可用区的交换机，系统会在每个交换机下创建一个弹性网卡ENI作为VPN网关与VPC流量互通的接口）、带宽峰值（可选规格包括10 Mbps、100 Mbps、200 Mbps、500 Mbps、1000 Mbps）、IPsec-VPN（开启）、SSL-VPN（根据需求开启）。配置完成后单击“立即购买”并完成支付。

VPN网关实例创建后，状态先为“准备中”，约1至5分钟后变为“正常”，此时实例方可使用。创建完成后不支持修改关联的交换机实例，请在创建时慎重选择。

2.2 创建用户网关

用户网关是阿里云侧的逻辑对象，用于注册本地数据中心网关设备的公网IP地址和自治系统号（ASN）。前往VPN网关控制台的“用户网关”页面，选择与VPN网关实例相同的地域，单击“创建用户网关”。

配置项包括：名称（建议包含地域或用途标识）、IP地址（本地网关设备的静态公网IP，如后续建立私网类型IPsec连接则填写私网IP）、自治系统号（如计划启用BGP动态路由则需填写，取值1~4294967295，不能与阿里云ASN 45104相同）。配置完成后单击“确定”。用户网关创建后不支持直接修改IP地址或ASN，如需变更需删除重建。

2.3 创建IPsec连接

IPsec连接定义了从VPN网关到用户网关的加密隧道参数。在VPN网关控制台左侧导航栏选择“IPsec连接”，单击“绑定VPN网关”。

基本配置包括：IPsec连接名称（建议规范命名，如ipsec-shanghai-idc）、VPN网关（选择已创建的VPN网关实例）、用户网关（选择已创建的用户网关）。加密配置是IPsec连接的核心，包含IKE配置（IKE版本、协商模式、加密算法、认证算法、DH分组、生命周期）和IPsec配置（加密算法、认证算法、封装模式、生命周期、PFS）。预共享密钥（PSK）需在两端配置一致，是隧道建立的关键凭证。

路由配置方面，可选择“目的路由”或“BGP动态路由”。目的路由方式需手动指定本端网段（VPC网段）和对端网段（本地数据中心网段），系统将自动为匹配这些网段的流量建立加密隧道。BGP动态路由方式则通过BGP协议自动交换路由信息，适合网络拓扑复杂或需要动态感知路由变化的场景。配置完成后单击“确定”，IPsec连接进入“协商中”状态，待本地网关设备完成对应配置后隧道即建立成功。

2.4 本地网关设备配置（strongSwan示例）

云上IPsec连接创建完成后，需要在本地网关设备上进行对应的IPsec配置。以下以开源strongSwan软件为例，演示如何在Linux服务器上配置IPsec-VPN连接。

安装strongSwan：

yum install -y strongswan
# 或
apt-get install -y strongswan

编辑IPsec配置文件 /etc/strongswan/ipsec.conf：

config setup
    charondebug=\"all\"
    uniqueids=yes

conn aliyun-vpn
    auto=start
    type=tunnel
    keyexchange=ikev2
    authby=secret
    left=%defaultroute
    leftid=XX.XX.3.3
    leftsubnet=172.16.0.0/16
    right=XX.XX.1.1
    rightid=XX.XX.1.1
    rightsubnet=10.0.0.0/16
    ike=aes256-sha256-modp2048
    esp=aes256-sha256
    ikelifetime=86400s
    lifetime=3600s
    dpddelay=10s
    dpdtimeout=30s
    dpdaction=restart

配置预共享密钥 /etc/strongswan/ipsec.secrets：

XX.XX.3.3 XX.XX.1.1 : PSK \"your_pre_shared_key\"

启动strongSwan服务：

systemctl start strongswan
systemctl enable strongswan

验证IPsec连接状态：

ipsec statusall

若状态显示“ESTABLISHED”，则隧道建立成功。不同品牌型号的网关设备（如Cisco ASA、华为防火墙、山石网科等）配置语法各异，但核心参数（IKE版本、加密算法、认证算法、DH组、预共享密钥、本端/对端网段）需与云上IPsec连接配置严格一致。

3. SSL-VPN配置全流程

3.1 创建VPN网关实例（开启SSL-VPN）

SSL-VPN同样需要先创建VPN网关实例，与IPsec-VPN的区别在于需开启SSL-VPN功能并设置SSL连接数。在创建VPN网关时，勾选“SSL-VPN”并填写SSL连接数（如5个并发连接）。其他配置参数与IPsec-VPN场景一致。

3.2 创建SSL服务端

SSL服务端定义了客户端可访问的云上网络范围以及客户端的IP地址池。前往“SSL服务端”页面，单击“创建SSL服务端”。

配置项包括：名称（如ssl-server-shanghai）、VPN网关（选择已创建的VPN网关实例）、本端网段（客户端需要访问的云上网络，通常为VPC网段，如10.0.0.0/16）、客户端网段（为客户端分配的虚拟IP地址池，需与VPC网段及客户端本地网段不冲突，如172.16.10.0/24）、协议（UDP或TCP，推荐UDP以获得更好的传输效率）、端口（默认1194）、加密算法（推荐AES-256）。配置完成后单击“确定”。

3.3 创建SSL客户端证书

SSL客户端证书用于对客户端进行身份认证和数据加密。前往“SSL客户端”页面，单击“创建SSL客户端”。配置项包括：名称（如client-zhangsan）、SSL服务端（选择已创建的SSL服务端）。创建完成后，在操作列单击“下载证书”即可获取客户端配置文件。

3.4 多平台客户端配置

SSL客户端证书下载后，需在终端设备上安装并导入证书。

Windows客户端配置： 下载并安装OpenVPN GUI客户端，将证书压缩包中的.ovpn配置文件导入OpenVPN，右键点击系统托盘中的OpenVPN图标选择“连接”，输入凭据后即可建立SSL-VPN连接。

macOS客户端配置： 下载安装Tunnelblick或OpenVPN Connect，双击.ovpn配置文件导入，点击“连接”即可。

Linux客户端配置： 安装OpenVPN：

yum install -y openvpn
# 或
apt-get install -y openvpn

将.ovpn配置文件放置于 /etc/openvpn/ 目录下，执行：

openvpn --config /etc/openvpn/client.ovpn

Android/iOS客户端配置： 在应用商店下载OpenVPN Connect App，通过文件管理器或邮件导入.ovpn配置文件，点击连接即可。

SSL-VPN连接建立后，客户端将获得一个虚拟IP地址（来自SSL服务端配置的客户端网段），可通过该IP与VPC内的ECS实例等资源进行内网通信。

4. VPN网关路由配置

4.1 目的路由配置

VPN网关实例需要配置去往本地数据中心的路由，并将路由发布至VPC路由表，才能实现本地数据中心与VPC的双向通信。登录VPN网关管理控制台，单击目标VPN网关实例ID进入详情页，切换到“目的路由表”页签，单击“添加路由条目”。配置项包括：目标网段（本地数据中心的网段，如172.16.0.0/16）、下一跳（选择对应的IPsec连接）。添加完成后，单击“发布”将路由发布至VPC路由表。

4.2 策略路由配置

策略路由基于源IP地址、目的IP地址、协议类型等条件组合来匹配流量，可实现更精细的流量调度。在VPN网关实例详情页切换到“策略路由表”页签，单击“添加路由条目”。配置项包括：源网段、目标网段、下一跳、优先级等。策略路由适用于多分支互连或需要按业务类型分流VPN流量的复杂场景。

4.3 BGP动态路由配置

BGP动态路由适用于网络拓扑频繁变化或需要自动感知路由更新的场景。启用BGP需在用户网关中配置ASN，并在IPsec连接中开启BGP功能。VPN网关支持从BGP对端接收最多50条路由，如需更多可通过工单申请提升至200条。BGP配置完成后，可在VPN网关的BGP路由表中查看从对端学习到的路由。

5. 监控与运维

5.1 云监控与阈值告警

VPN网关已接入阿里云基础云监控服务，可对VPN网关实例的流量、连接数、隧道状态等指标进行实时监控。登录VPN网关管理控制台，单击目标VPN网关实例ID，在“监控”页签查看各项监控指标。

推荐为关键指标创建阈值报警规则：在云监控控制台选择“VPN网关”产品，配置报警规则。建议监控的指标包括：公网入方向流量、公网出方向流量、IPsec连接状态、SSL连接数等。当指标超过设定阈值时，系统将通过短信、邮件等方式发送报警通知。

5.2 实例诊断与故障排查

VPN网关控制台提供实例诊断功能，可一键诊断IPsec-VPN连接协商问题、路由配置问题、实例状态问题等。在VPN网关页面，找到目标实例，在“诊断”列单击“实例诊断”，系统将自动执行诊断并返回结果。

针对IPsec-VPN连接常见问题，可参考错误码对照表进行自主排查。常见问题包括：预共享密钥不一致、IKE协议版本不一致、加密算法或认证算法不匹配、防火墙未放行UDP 500/4500端口等。SSL-VPN常见问题包括：客户端证书未正确安装、防火墙未放行UDP 1194端口、客户端网段与VPC网段冲突等。

6. 计费与选型建议

6.1 计费方式

VPN网关目前支持按量付费（后付费）和包年包月（预付费）两种计费方式。按量付费的计费周期为1小时，账单周期也为1小时。费用构成主要包括：VPN网关实例费（按带宽规格计费）和公网流量费（仅对出云方向流量计费，CDT产品每月提供220GB免费流量额度，其中中国内地地域20GB，其他地域200GB）。

带宽规格与价格：VPN网关提供10 Mbps、100 Mbps、200 Mbps、500 Mbps、1000 Mbps五种带宽规格。不同规格下IPsec-VPN实例费和SSL-VPN实例费相同。建议根据实际业务流量和并发连接数选择合适的带宽规格，避免资源浪费或带宽不足。

6.2 选型建议

IPsec-VPN选型：若只需连接单个VPC，选择“绑定VPN网关”模式；若需连接多个VPC或构建复杂网络拓扑，建议选择“绑定转发路由器（TR）”模式。增强型VPN网关提供更高的性能和更丰富的功能，目前处于邀测阶段，有需求的用户可联系阿里云工程师开通。

SSL-VPN选型：根据并发连接数选择SSL连接数规格，单个VPN网关实例的SSL连接数上限取决于带宽规格。若需为大量移动办公人员提供接入，建议选择较高带宽规格和连接数配置。

高可用设计：在支持多可用区的地域，务必选择双隧道模式并指定两个不同可用区的交换机，实现VPN网关层面的跨可用区容灾。同时可结合物理专线构建主备链路，当专线故障时自动切换至VPN备链路，提升业务连续性。

7. 常见问题与解答

问：IPsec-VPN连接建立后，VPC内的ECS无法ping通本地数据中心服务器，可能是什么原因？
答：首先检查VPN网关是否配置了去往本地数据中心网段的目的路由，并将路由发布至VPC路由表。其次检查本地网关设备是否配置了去往VPC网段的路由，下一跳指向IPsec隧道接口。最后检查安全组和网络ACL规则是否放行了ICMP流量。

问：SSL-VPN客户端连接成功，但无法访问VPC内的ECS实例，如何排查？
答：确认SSL服务端的“本端网段”是否包含ECS所在的VPC网段。检查ECS实例的安全组入方向规则是否放行了来自SSL客户端网段的流量。确认客户端获取的虚拟IP地址与VPC网段不冲突。

问：VPN网关实例创建后能否修改带宽规格？
答：可以。在VPN网关控制台找到目标实例，在操作列选择“升配”或“降配”，按页面提示完成变更即可。带宽规格变更通常不影响已有连接。

问：IPsec-VPN支持哪些加密算法和认证算法？
答：IPsec-VPN支持IKEv1和IKEv2协议，加密算法包括AES-128、AES-192、AES-256、3DES等，认证算法包括SHA-1、SHA-256、SHA-384、SHA-512等，DH分组支持Group 1、2、5、14、24等。推荐使用AES-256加密算法配合SHA-256认证算法和DH Group 14，以兼顾安全性和性能。

问：VPN网关支持跨境连接吗？
答：阿里云VPN网关遵守中国大陆相关政策法规，仅支持非跨境连接。如需访问跨境资源，建议使用全球加速（GA）等其他服务。

问：如何查看IPsec-VPN连接的协商日志？
答：VPN网关产品针对IPsec-VPN连接提供日志记录功能，您可以通过日志信息了解连接的建立过程，并排查连接建立过程中遇到的问题。在VPN网关控制台的IPsec连接详情页面可查看相关日志。