-
VPN支持将两个VPC互连吗? 如果两个VPC位于同一区域内,不支持VPN互连,推荐使用VPC对等连接互连。 如果两个VPC位于不同区域,支持VPN互连,具体操作如下: 为这两个VPC分别创建VPN网关,并为两个VPN网关创建VPN连接。 将两个VPN连接的远端网关设置为对方VPN网关的网关IP。 将两个VPN连接的远端子网设置为对方VPC的网段。 两个VPN连接的预共享密钥和算法参数需保持一致。 父主题: 组网与使用场景
-
哪些设备可以与云进行VPN对接? VPN支持标准IPsec协议,用户可以通过以下两个方面确认用户侧数据中心的设备能否与云进行对接: 设备是否具备IPsec功能和授权:请查询设备的特性列表获取是否支持IPsec VPN。 关于组网结构,要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP(即NAT穿越,VPN设备在NAT网关后部署)也可以。 设备型号多为路由器、防火墙等,对接配置请参见管理员指南。 普通家庭宽带路由器、个人的移动终端设备、Windows主机自带的VPN服务(如L2TP)无法与云进行VPN对接。 与VPN服务做过对接测试厂商包括但不限于:华为(路由器、防火墙)、h3c(路由器、防火墙)、cisco(路由器、防火墙)、锐捷(路由器、防火墙)、中兴、深信服、fortinet、360、天融信、山石、网康、绿盟、DELL、合勤、Juniper等。 云服务厂商包括但不限于:阿里云,腾讯云,亚马逊(aws)。 软件厂商包括但不限于:Openswan/strongSwan、GreenBow等 。 IPsec协议属于IETF标准协议,宣称支持该协议的厂商均可与云进行对接,用户不需要关注具体的设备型号。 目前绝大多数企业级路由器和防火墙都支持该协议。 部分硬件厂商在特性规格列表中是宣称支持IPsec VPN的,但是需要专门购买软件License才能激活相关功能。 请用户侧数据中心管理员根据设备具体型号与厂商进行确认。 父主题: 热点问题
-
为什么需要NQA 随着运营商增值业务的开展,用户和运营商对QoS(Quality of Service)的相关要求越来越高,特别是在传统的IP网络承载语音和视频业务后,运营商与客户之间签订SLA(Service Level Agreement)成为普遍现象。 为了让用户看到承诺的带宽是否达到需求,运营商需要提供相关的时延、抖动、丢包率等相关的统计参数,以及时了解网络的性能状况。传统的网络性能分析方法(如Ping、Tracert等)已经不能满足用户对业务多样性和监测实时性的要求。NQA可以实现对网络运行状况的准确测试,输出统计信息。NQA可以监测网络上运行的多种协议的性能,使网络运营商能够实时采集到各种网络运行指标,例如:HTTP的总时延、TCP连接时延、DNS解析时延、文件传输速率、FTP连接时延、DNS解析错误率等。通过对这些指标进行控制,网络运营商可以为用户提供不同等级的网络服务。同时,NQA也是网络故障诊断和定位的有效工具。
-
静态路由与NQA联动 静态路由本身并没有检测机制,如果非本机直连链路发生了故障,静态路由不会自动从IP路由表中自动删除,需要网络管理员介入,这就无法保证及时进行链路切换,可能造成较长时间的业务中断。 使用静态路由模式创建VPN连接时,为了避免出现以上问题,需要使用NQA来检测静态路由所在的链路,确保VPN连接稳定性。使能NQA时需要确保对端网关设备支持ICMP功能,且对端接口地址已在对端网关上正确配置,否则可能导致流量不通。 静态路由模式的VPN连接的使能NQA探测失败会撤销路由,需要对端网关放通从VPN连接本端隧道接口地址到对端隧道接口地址的ICMP协议流量。 VPN连接的健康检查的NQA探测仅上报
CES ,失败无影响,需要对端网关放通从VPN网关公网IP到对端网关的公网IP的ICMP协议流量。
-
NQA工作原理 图1 NQA客户端对NQA服务器端进行测试 在NQA测试中,将发起NQA测试的源端称为NQA客户端,测试的目的端称为NQA服务器端。为使NQA客户端能够发起NQA测试,用户需要在NQA客户端中创建各类型的测试实例,构造符合相应协议的报文并打上时间戳,再发送至服务器端。 NQA服务器负责处理NQA客户端发来的测试报文,通过侦听指定IP地址和端口号的报文对客户端发起的测试进行响应。客户端根据发送和接收报文来计算各项性能指标,如连通性、时延、丢包率等。
-
NQA测试例处理机制 ICMP测试是通过发送ICMP报文来判断目的地的可达性、计算网络响应时间及丢包率。 源端向目的端发送构造的ICMP Echo Request报文。目的端收到报文后,直接回应ICMP Echo Reply报文给源端。 源端收到报文后,通过计算源端接收时间和源端发送时间之差,计算出源端到目的端的通信时间,从而清晰地反映出网络性能及网络畅通情况。 NQA探测周期为10s,探测频率为10s内发3个ping请求。
-
建立IPsec VPN连接需要账户名和密码吗? 常见的使用账户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP,IPsec VPN使用预共享密钥方式进行认证,密钥配置在VPN网关上,在VPN协商完成后即建立通道,VPN网关所保护的主机在进行通信时无需输入账户名和密码。 IPsec XAUTH技术是IPsec VPN的扩展技术,它在VPN协商过程中可以强制接入用户输入账户名和密码。 目前VPN不支持该扩展技术。 父主题: 账号权限
-
一个用户下支持多少个IPsec VPN? 每个用户缺省可创建50个VPN网关和100个对端网关;每个VPN网关缺省可创建100个连接组。其中,VPN网关不同EIP对接到对端网关的同一个公网IP占用1个VPN连接组配额;VPN网关不同EIP对接到对端网关的不同公网IP或多个对端网关的公网IP占用2个VPN连接组配额。 请在购买VPN网关前确认您可用的配额,如果选购信息超出可用配额可提交工单申请扩容。 父主题: 配额类
-
创建VPN网关和连接的缺省配额是多少? 每个用户缺省可创建50个VPN网关和100个对端网关;每个VPN网关缺省可创建100个连接组。其中,VPN网关不同EIP对接到对端网关的同一个公网IP占用1个VPN连接组配额;VPN网关不同EIP对接到对端网关的不同公网IP或多个对端网关的公网IP占用2个VPN连接组配额。 请在购买VPN网关前确认您可用的配额,如果选购信息超出可用配额可提交工单申请扩容。 父主题: 配额类
-
如何测试VPN速率情况? 假设测试环境VPN连接已经创建,在VPN连接两端VPC的本端子网下分别创建E
CS ,并使两个VPC之间的ECS相互能够ping通的情况下,测试VPN的速率情况。 当用户购买的VPN网关的带宽为200Mbit/s时,测试情况如下。 互为对端的ECS都使用Windows系统,测试速率可达180Mbit/s,使用iperf3和filezilla(是一款支持ftp的文件传输工具)测试均满足带宽要求。 基于TCP的FTP协议有拥塞控制机制,180Mbit/s为平均速率,且IPsec协议会增加新的IP头,因此10%左右的速率误差在网络领域是正常现象。 使用iperf3客户端测试结果截图如图1所示。 图1 200M带宽客户端iperf3测试结果 使用iperf3服务器端测试结果截图如图2所示。 图2 200M带宽服务端iperf3测试结果 互为对端的ECS都使用Centos7系统,测试速率可达180M,使用iperf3测试满足带宽要求。 服务器端ECS使用Centos7系统,客户端使用Windows系统,测试速率只有20M左右,使用iperf3和filezilla测试均不能满足带宽要求。 原因在于Windows和Linux对TCP的实现不一致,导致速率慢。所以对端ECS使用不同的系统时,无法满足带宽要求。 使用iperf3测试结果截图如图3所示。 图3 互为对端的ECS系统不同时iperf3测试结果 假设用户购买的VPN网关的带宽为1000Mbit/s。 部分区域默认仅支持300M带宽。如果需要更大带宽,您可以先申请300M带宽,然后提交工单进行带宽扩容。 用户购买的VPN网关为网关的整体吞吐能力,即该VPN网关下所有VPN连接的带宽之和。在大带宽场景下,由于主机的转发性能限制,需要使用多台主机构建多条流量才能充分利用网关的带宽。这种场景下对ECS的配置要求也很高,建议ECS的网卡支持2G以上的带宽。具体ECS的规格可参见ECS规格。 测试总结:综上测试结果,云网关能够满足带宽速率要求,但是建议两端主机使用相同的操作系统,并且网卡要达到配置要求。 父主题: 带宽与网速
-
VPN监控可以监控哪些内容? VPN网关 可以监控网关IP的带宽信息,包含入网流量、入网带宽、出网流量、出网带宽及出网带宽使用率。 查询VPN网关监控状态,请在VPN网关“网关IP”列中单击EIP后面的进行查看。 VPN连接 可以监控连接的状态信息,包括VPN连接状态、链路往返平均时延、链路往返最大时延、链路丢包率、隧道往返平均时延、隧道往返最大时延、隧道丢包率。 其中,链路往返平均时延、链路往返最大时延、链路丢包率、隧道往返平均时延、隧道往返最大时延、隧道丢包率需要单击VPN连接,在“基本信息”页签通过添加健康检查项进行添加;私网相关指标仅VPN连接使用静态路由模式,且开启NQA检测机制场景下支持配置。 查询VPN连接监控状态,请在VPN连接“监控”列中单击进行查看。 父主题: 监控类
-
如何防止VPN连接出现中断情况? VPN连接在正常的使用过程中会存在重协商情况,触发重协商的条件有IPsec SA的生命周期即将到期和VPN传输的流量超过20GB,重协商一般不造成连接中断。 大多数的连接中断都是因为两端的配置信息错误造成的,或公网异常导致重协商失败造成的。 常见的连接中断原因有: 两端的ACL不匹配。 SA生命周期不匹配。 用户侧数据中心未配置DPD。 VPN使用过程中修改了配置信息。 运营商网络抖动。 因此请在配置VPN时确保操作和配置,以进行连接状态保活: 两端的子网配置互为镜像。 SA生命周期信息一致。 用户侧数据中心网关开启DPD配置,探测次数不少于3次。 连接过程中修改参数两侧同步修改。 设置用户侧数据中心设备TCP MAX-MSS为1300。 确保用户侧数据中心出口有足够的带宽可被VPN使用。 确认VPN连接可被两端触发协商,开启用户侧数据中心设备的主动协商配置。 父主题: VPN连接保活
-
如何配置和修改云上VPN的感兴趣流? 感兴趣流由本端子网与对端子网full-mesh生成,例如本端子网有2个,分别为A与B,对端子网有3个,分别为C、D和E,生成感兴趣流时ACL的rule如下: rule 1 permit ip source A destination C
rule 2 permit ip source A destination D
rule 3 permit ip source A destination E
rule 4 permit ip source B destination C
rule 5 permit ip source B destination D
rule 6 permit ip source B destination E 在管理控制台界面修改本端子网和对端子网会自动更新感兴趣流信息,即修改了云上的ACL配置。 父主题: VPN感兴趣流
-
创建VPN网关时IP是如何分配的? VPN网关IP是一组提前规划好的地址组,提前预置了VPN的相关配置。 在用户创建VPN网关时,系统会随机分配一个IP地址和VPC进行绑定,且这个IP地址也只能绑定1个VPC。 因为VPN的网关IP存在预置数据,在创建VPN网关时也不能指定IP地址。删除VPN网关时会释放IP地址与VPC的绑定关系;重新创建VPN网关时系统会重新随机分配网关IP地址。 父主题: VPN子网设置
-
配置VPN连接的本端子网和对端子网时需要注意什么? 子网数量满足规格限制,数量超出规格限制请进行聚合汇总。 每个VPN网关配置的本地子网数量:50。 每个VPN连接支持配置的对端子网个数:50。 本端子网不可以包含对端子网,对端子网可以包含本端子网。 推荐配置的本端子网在VPC内有路由可达。 同一个VPN网关创建两条连接:若这两条连接的对端子网存在包含关系,在访问的目的网络处于交集网段部分时,按照创建连接的先后顺序匹配VPN连接,且与连接状态无关(策略模式不能按照掩码长度进行匹配)。 父主题: VPN子网设置
