华为云用户手册

VPN网关带宽计费方式在选择按带宽计费和按流量计费时有什么差别？ VPN网关带宽的计费方式是针对VPN网关的。 如果选择按需付费方式（即后付费），可以选择按带宽或按流量计费 : 按带宽计费，计费的周期为1小时，费用也会因带宽大小存在差异。 按流量计费，统计1小时内产生的流量费用，调整带宽大小不产生计费差异，只按产生的出VPC流量进行计费。 如果选择包年/包月付费方式，则仅支持按带宽，不支持按流量；同时包年/包月付费方式相按需付费享受更多折扣优惠。 父主题： 计费类

哪些设备可以与华为云进行VPN对接？ VPN支持标准IPsec协议，用户可以通过以下两个方面确认用户侧数据中心的设备能否与云进行对接： 设备是否具备IPsec功能和授权：请查询设备的特性列表获取是否支持IPsec VPN。 关于组网结构，要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP（即NAT穿越，VPN设备在NAT网关后部署）也可以。 设备型号多为路由器、防火墙等，对接配置请参见管理员指南。 普通家庭宽带路由器、个人的移动终端设备、Windows主机自带的VPN服务（如L2TP）无法与云进行VPN对接。 与VPN服务做过对接测试厂商包括： 设备厂商：华为（防火墙/AR）、山石（防火墙），CheckPoint（防火墙）。 云服务厂商包括：阿里云，腾讯云，亚马逊（aws），微软（Microsoft Azure）。 软件厂商包括：strongSwan。 IPsec协议属于IETF标准协议，宣称支持该协议的厂商均可与云进行对接，用户不需要关注具体的设备型号。 目前绝大多数企业级路由器和防火墙都支持该协议。 部分硬件厂商在特性规格列表中是宣称支持IPsec VPN的，但是需要专门购买软件License才能激活相关功能。 请用户侧数据中心管理员根据设备具体型号与厂商进行确认。 父主题： VPN协商与对接

VPC、VPN网关、VPN连接之间有什么关系？ VPC，即云上私有专用网络，同一Region中可以创建多个VPC，且VPC之间相互隔离。一个VPC内可以划分多个子网网段。 VPN网关，基于VPC创建，是VPN连接的接入点。一个VPC下支持购买多个VPN网关，每个网关可以创建多个VPN连接。 VPN连接，基于VPN网关创建，用于连通VPC子网和用户数据中心（或其它Region的VPC）子网，即每个VPN连接连通了一个用户侧数据中心的网关。 VPN连接的数量与VPN连接的本端子网和远端子网的数量无关，仅与用户VPC需要连通的用户数据中心（或其它Region的VPC）的数量有关，已创建的VPN连接的数量即VPN连接列表中展示的数量（一个条目即一个VPN连接），也可以在VPN网关中查看当前网关已创建的VPN连接数量。 父主题： 产品咨询

哪些设备可以与华为云进行VPN对接？ VPN支持标准IPsec协议，用户可以通过以下两个方面确认用户侧数据中心的设备能否与云进行对接： 设备是否具备IPsec功能和授权：请查询设备的特性列表获取是否支持IPsec VPN。 关于组网结构，要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP（即NAT穿越，VPN设备在NAT网关后部署）也可以。 设备型号多为路由器、防火墙等，对接配置请参见管理员指南。 普通家庭宽带路由器、个人的移动终端设备、Windows主机自带的VPN服务（如L2TP）无法与云进行VPN对接。 与VPN服务做过对接测试厂商包括： 设备厂商：华为（防火墙/AR）、山石（防火墙），CheckPoint（防火墙）。 云服务厂商包括：阿里云，腾讯云，亚马逊（aws），微软（Microsoft Azure）。 软件厂商包括：strongSwan。 IPsec协议属于IETF标准协议，宣称支持该协议的厂商均可与云进行对接，用户不需要关注具体的设备型号。 目前绝大多数企业级路由器和防火墙都支持该协议。 部分硬件厂商在特性规格列表中是宣称支持IPsec VPN的，但是需要专门购买软件License才能激活相关功能。 请用户侧数据中心管理员根据设备具体型号与厂商进行确认。 父主题： 产品咨询

IKEv1和IKEv2的区别 协商过程不同。 IKEv1协商安全联盟主要分为两个阶段，其协议相对复杂、带宽占用较多。IKEv1阶段1的目的是建立IKE SA，它支持两种协商模式：主模式和野蛮模式。主模式用6条ISAKMP消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA，通过快速交换模式（3条ISAKMP消息）完成协商。 IKEv2简化了安全联盟的协商过程。IKEv2正常情况使用2次交换共4条消息就可以完成一个IKE SA和一对IPsec SA，如果要求建立的IPsec SA大于一对时，每一对SA只需额外增加1次交换，也就是2条消息就可以完成。 IKEv1协商，主模式需要6+3，共9个报文；野蛮模式需要3+3，共6个报文。IKEv2协商，只需要2+2，共4个报文。 认证方法不同。 数字信封认证（hss-de）仅IKEv1支持（需要安装加密卡），IKEv2不支持。 IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能，必须借助L2TP来分配私网地址。 IKE SA的完整性算法支持情况不同。IKE SA的完整性算法仅IKEv2支持，IKEv1不支持。 DPD中超时重传实现不同。 retry-interval参数仅IKEv1支持。表示发送DPD报文后，如果超过此时间间隔未收到正确的应答报文，DPD记录失败事件1次。当失败事件达到5次时，删除IKE SA和相应的IPsec SA。直到隧道中有流量时，两端重新协商建立IKE SA。 对于IKEv2方式的IPsec SA，超时重传时间间隔从1到64以指数增长的方式增加。在8次尝试后还未收到对端发过来的报文，则认为对端已经下线，删除IKE SA和相应的IPsec SA。 IKE SA与IPsec SA超时时间手工调整功能支持不同。 IKEv2的IKE SA软超时为硬超时的9/10±一个随机数，所以IKEv2一般不存在两端同时发起重协商的情况，故IKEv2不需要配置软超时时间。

IKEv2相比IKEv1的优点 简化了安全联盟的协商过程，提高了协商效率。 修复了多处公认的密码学方面的安全漏洞，提高了安全性能。 加入对EAP（Extensible Authentication Protocol）身份认证方式的支持，提高了认证方式的灵活性和可扩展性。 EAP是一种支持多种认证方法的认证协议，可扩展性是其最大的优点，即如果想加入新的认证方式，可以像组件一样加入，而不用变动原来的认证体系。当前EAP认证已经广泛应用于拨号接入网络中。 IKEv2使用基于ESP设计的加密载荷，v2加密载荷将加密和数据完整性保护关联起来，即加密和完整性校验放在相同的载荷中。AES-GCM同时具备保密性、完整性和可认证性的加密形式与v2的配合比较好。

IKEv1存在的安全风险 IKEv1 支持的密码算法已超过10年未做更新，并不支持诸如AES-GCM、ChaCha20-Poly1305等推荐的强密码算法。IKEv1使用ISALMP头的E比特位来指定该头后跟随的是加密载荷，但是这些加密载荷的数据完整性校验值放在单独的hash载荷中。这种加密和完整性校验的分离阻碍了v1使用认证加密（AES-GCM），从而限制了只能使用初期定义的AES算法。 协议本身也无法防止报文放大攻击（属于DOS攻击）初始报文交换，IKEv1容易被半连接攻击，响应方响应初始化报文后维护发起-响应的关系，维护了大量的关系会消耗大量的系统资源。 针对连接的DOS攻击，IKEv2协议上有针对性的解决方案。 IKEv1野蛮模式安全性低：野蛮模式开始信息报文不加密，存在用户配置信息泄漏的风险，当前也存在针对野蛮攻击，如：中间人攻击。

IKEv1与IKEv2的协议介绍 IKEv1协议是一个混合型协议，其自身的复杂性不可避免地带来一些安全及性能上的缺陷，已经成为目前实现的IPsec系统的瓶颈。 IKEv2协议保留了IKEv1的基本功能，并针对IKEv1研究过程中发现的问题进行修正，同时兼顾简洁性、高效性、安全性和健壮性的需要，整合了IKEv1的相关文档，由RFC4306单个文档替代。通过核心功能和默认密码算法的最小化规定，新协议极大地提高了不同IPsec VPN系统的互操作性。

IKEv2相比IKEv1的优点 简化了安全联盟的协商过程，提高了协商效率。 修复了多处公认的密码学方面的安全漏洞，提高了安全性能。 加入对EAP（Extensible Authentication Protocol）身份认证方式的支持，提高了认证方式的灵活性和可扩展性。 EAP是一种支持多种认证方法的认证协议，可扩展性是其最大的优点，即如果想加入新的认证方式，可以像组件一样加入，而不用变动原来的认证体系。当前EAP认证已经广泛应用于拨号接入网络中。 IKEv2使用基于ESP设计的加密载荷，v2加密载荷将加密和数据完整性保护关联起来，即加密和完整性校验放在相同的载荷中。AES-GCM同时具备保密性、完整性和可认证性的加密形式，与v2的配合比较好。

IKEv1存在的安全风险 IKEv1 支持的密码算法已超过10年未做更新，并不支持诸如AES-GCM、ChaCha20-Poly1305等推荐的强密码算法。IKEv1使用ISALMP头的E比特位来指定该头后跟随的是加密载荷，但是这些加密载荷的数据完整性校验值放在单独的hash载荷中。这种加密和完整性校验的分离阻碍了v1使用认证加密（AES-GCM），从而限制了只能使用初期定义的AES算法。 协议本身也无法防止报文放大攻击（属于DOS攻击）初始报文交换，IKEv1容易被半连接攻击，响应方响应初始化报文后维护发起-响应的关系，维护了大量的关系会消耗大量的系统资源。 针对连接的DOS攻击，IKEv2协议上有针对性的解决方案。 IKEv1野蛮模式安全性低：野蛮模式开始信息报文不加密，存在用户配置信息泄漏的风险，当前也存在针对野蛮攻击，如：中间人攻击。

IKEv1和IKEv2的区别 协商过程不同。 IKEv1协商安全联盟主要分为两个阶段，其协议相对复杂、带宽占用较多。IKEv1阶段1的目的是建立IKE SA，它支持两种协商模式：主模式和野蛮模式。主模式用6条ISAKMP消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA，通过快速交换模式（3条ISAKMP消息）完成协商。 IKEv2简化了安全联盟的协商过程。IKEv2正常情况使用2次交换共4条消息就可以完成一个IKE SA和一对IPsec SA，如果要求建立的IPsec SA大于一对时，每一对SA只需额外增加1次交换，也就是2条消息就可以完成。 IKEv1协商，主模式需要6+3，共9个报文；野蛮模式需要3+3，共6个报文。IKEv2协商，只需要2+2，共4个报文。 认证方法不同。 数字信封认证（hss-de）仅IKEv1支持（需要安装加密卡），IKEv2不支持。 IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能，必须借助L2TP来分配私网地址。 IKE SA的完整性算法支持情况不同。IKE SA的完整性算法仅IKEv2支持，IKEv1不支持。 DPD中超时重传实现不同。 retry-interval参数仅IKEv1支持。表示发送DPD报文后，如果超过此时间间隔未收到正确的应答报文，DPD记录失败事件1次。当失败事件达到5次时，删除IKE SA和相应的IPsec SA。直到隧道中有流量时，两端重新协商建立IKE SA。 对于IKEv2方式的IPsec SA，超时重传时间间隔从1到64以指数增长的方式增加。在8次尝试后还未收到对端发过来的报文，则认为对端已经下线，删除IKE SA和相应的IPsec SA。 IKE SA与IPsec SA超时时间手工调整功能支持不同。 IKEv2的IKE SA软超时为硬超时的9/10±一个随机数，所以IKEv2一般不存在两端同时发起重协商的情况，故IKEv2不需要配置软超时时间。

IKEv1与IKEv2的协议介绍 IKEv1协议是一个混合型协议，其自身的复杂性不可避免地带来一些安全及性能上的缺陷，已经成为目前实现的IPsec系统的瓶颈。 IKEv2协议保留了IKEv1的基本功能，并针对IKEv1研究过程中发现的问题进行修正，同时兼顾简洁性、高效性、安全性和健壮性的需要，整合了IKEv1的相关文档，由RFC4306单个文档替代。通过核心功能和默认密码算法的最小化规定，新协议极大地提高了不同IPsec VPN系统的互操作性。

配置步骤 确认云上的两个VPC是否在同一Region。 如果在同一Region可通过对等连接或云连接（CC）将两个VPC连接起来（免费）。 如果两个VPC跨Region，请使用CC进行互联（需支付CC带宽费用）。 用户侧数据中心IDC与其中一个VPC建立VPN连接，修改用户侧数据中心设备的远端子网为云上两个VPC子网，VPN对接的VPC1本端子网需要包含通过对等连接或CC连接的子网，对等连接或CC的子网路由包含用户侧数据中心IDC子网。

VPN网关带宽计费方式在选择按带宽计费和按流量计费时有什么差别？ VPN网关带宽的计费方式是针对VPN网关的。 如果选择按需付费方式（即后付费），可以选择按带宽或按流量计费 : 按带宽计费，计费的周期为1小时，费用也会因带宽大小存在差异。 按流量计费，统计1小时内产生的流量费用，调整带宽大小不产生计费差异，只按产生的出VPC流量进行计费。 如果选择包年/包月付费方式，则仅支持按带宽，不支持按流量；同时包年/包月付费方式相按需付费享受更多折扣优惠。 父主题： 产品咨询

正在使用VPN出现了连接中断，提示DPD超时，如何排查？ 出现DPD超时的连接中断时因为两端网络访问无数据，在SA老化后发送DPD未得到对端响应而删除连接。 解决方法： 开启用户侧数据中心设备的DPD配置，测试两端的数据流均可触发连接建立； 在两端的主机中部署Ping shell脚本，也可在用户侧数据中心的子网的网关设备上配置保活数据，如华为的NQA，或cisco的ip sla。 父主题： 连接故障或无法PING通

VPC、VPN网关、VPN连接之间有什么关系？ VPC，即云上私有专用网络，同一Region中可以创建多个VPC，且VPC之间相互隔离。一个VPC内可以划分多个子网网段。 VPN网关，基于VPC创建，是VPN连接的接入点。一个VPC下支持购买多个VPN网关，每个网关可以创建多个VPN连接。 VPN连接，基于VPN网关创建，用于连通VPC子网和用户数据中心（或其它Region的VPC）子网，即每个VPN连接连通了一个用户侧数据中心的网关。 VPN连接的数量与VPN连接的本端子网和远端子网的数量无关，仅与用户VPC需要连通的用户数据中心（或其它Region的VPC）的数量有关，已创建的VPN连接的数量即VPN连接列表中展示的数量（一个条目即一个VPN连接），也可以在VPN网关中查看当前网关已创建的VPN连接数量。 父主题： Console与页面使用

建立IPsec VPN连接需要账户名和密码吗？ 常见的使用账户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP，IPsec VPN使用预共享密钥方式进行认证，密钥配置在VPN网关上，在VPN协商完成后即建立通道，VPN网关所保护的主机在进行通信时无需输入账户名和密码。 IPsec XAUTH技术是IPsec VPN的扩展技术，它在VPN协商过程中可以强制接入用户输入账户名和密码。 目前VPN不支持该扩展技术。 父主题： Console与页面使用

建立IPsec VPN连接需要账户名和密码吗？ 常见的使用账户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP，IPsec VPN使用预共享密钥方式进行认证，密钥配置在VPN网关上，在VPN协商完成后即建立通道，VPN网关所保护的主机在进行通信时无需输入账户名和密码。 IPsec XAUTH技术是IPsec VPN的扩展技术，它在VPN协商过程中可以强制接入用户输入账户名和密码。 目前VPN不支持该扩展技术。 父主题： 产品咨询

VPN是否启动了DPD检测机制？ 是的。 VPN服务默认开启了DPD探测机制，用于探测用户侧数据中心IKE进程的存活状态。 3次探测失败后即认为用户侧数据中心IKE异常，此时云会删除本端隧道，以保持双方的隧道同步。 DPD协议本身并不要求对端也同步进行配置（但是要求对端可以应答DPD探测），为了保证协商双方隧道状态一致，避免出现单边隧道（一端存在隧道，而另一端已不存在），建议用户同时启动用户侧网关的DPD探测机制，用于探测云侧VPN服务的IKE状态。 DPD探测失败后会删除隧道，不会导致业务不稳定。 DPD可以及时发现对方IKE进程异常，并通过重置隧道的方法来保持双方隧道同步。在删除隧道后，当有用户流量时，可以重新触发协商并建立隧道。 父主题： VPN协商与对接

对接云时，如何配置DPD信息？ 云默认开启DPD配置，且不可关闭该配置。 DPD配置信息如下： DPD-type：按需 DPD idle-time：30s DPD retransmit-interval：15s DPD retry-limit：3次 DPD msg：seq-hash-notify。 两端DPD的type、空闲时间、重传间隔、重传次数无需一致，只要能接收和回应DPD探测报文即可，DPD msg格式必须一致。 父主题： VPN协商与对接

如何解决VPN连接无法建立连接问题？ 检查云上VPN连接中的IKE策略和IPsec策略中的协商模式和加密算法是否与远端配置一致。 如果第一阶段IKE策略已经建立，第二阶段的IPsec策略未开启，常见情况为IPsec策略与数据中心远端的配置不一致。 如果客户本地侧使用的是CISCO的物理设备，建议客户使用MD5算法。同时将云上VPN连接端IPsec策略中的认证算法设置为MD5。 检查ACL是否配置正确。 假设您的数据中心的子网为192.168.3.0/24和192.168.4.0/24，VPC下的子网为192.168.1.0/24和192.168.2.0/24，则你在数据中心或局域网中的ACL应对你的每一个数据中心子网配置允许VPC下的子网通信的规则，如下例： rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 配置完成后检查VPN是否连接，ping测试两端内网是否正常。 父主题： 连接故障或无法PING通

建立IPsec VPN连接需要账户名和密码吗？ 常见的使用账户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP，IPsec VPN使用预共享密钥方式进行认证，密钥配置在VPN网关上，在VPN协商完成后即建立通道，VPN网关所保护的主机在进行通信时无需输入账户名和密码。 IPsec XAUTH技术是IPsec VPN的扩展技术，它在VPN协商过程中可以强制接入用户输入账户名和密码。 目前VPN不支持该扩展技术。 父主题： 账号权限

创建VPN都会产生哪些费用，VPN网关IP收费吗？ VPN提供包年/包月和按需两种计费模式，费用包含网关带宽费用和VPN连接费用。 网关带宽的计费又可分为按流量或按带宽计费。 包年/包月计费模式下不可选择按流量计费。如果您选择包年/包月模式创建VPN，在创建网关阶段一次性收取网关带宽费用和连接的费用，用户后续创建VPN连接时不再收取费用。 按需方式为先使用后付费模式，计费周期为1小时。如果您选择按需模式创建VPN，页面会提示同时创建连接。费用包含了网关带宽费用和单条连接费用，您在创建第二条连接时只产生连接的费用。 VPN网关IP不收费，只收取VPN网关的带宽费用。 VPN网关的带宽费用是独立的，与E CS 绑定的EIP带宽相互独立，无法共享。 父主题： 热点问题

VPN资源如何扣费，如何使用优惠券？ VPN网关计费模式分为按需和包年/包月。 按需为后付费，根据资源使用情况从账号余额中扣除费用。 包年/包月为预付费，创建资源时一次性扣除。 如果您已获得云优惠券，请在优惠券有效期内完成充值，充值后可按抵用资源使用费。 包年/包月资源在创建包年资源时会产生优惠费用，实际支付时费用可扣减。 合同用户需要在Console页面选择“申请线上合同请款后支付”。 父主题： 计费类

本地防火墙无法收到VPN子网的回复包怎么解决？ 如果二阶段协商中需要检查云下的路由、安全策略、NAT和感兴趣流、协商策略信息。 路由设置：将访问云上子网的数据送入隧道。 安全策略：放行云下子网访问云上子网的流量。 NAT策略：云下子网访问云上子网不做源nat。 感兴趣流：两端感兴趣流配置互为镜像，使用IKE v2配置感兴趣流不可使用地址对象名称。 协商信息：协商策略信息云上云下一致，特别注意PFS的配置。 确认一、二阶段协商均已正常后，请检查云上安全组策略，放行入方向的云下子网访问云上子网的ICMP协议。 父主题： VPN协商与对接

VPN协商参数有哪些？默认值是什么？ 表1 VPN协商参数 协议 配置项 值 IKE 认证算法 MD5（此算法安全性较低，请慎用） SHA1（此算法安全性较低，请慎用） SHA2-256（默认） SHA2-384 SHA2-512 加密算法 3DES（此算法安全性较低，请慎用） AES-256 AES-192 AES-128（默认） DH算法 Group 5（此算法安全性较低，请慎用） Group 2（此算法安全性较低，请慎用） Group 14（默认） Group 1（此算法安全性较低，请慎用） Group 15 Group 16 Group 19 Group 20 Group 21 说明： 部分区域仅支持Group 14、Group 2、Group 5。 版本 v1（有安全风险不推荐） v2（默认） 生命周期 86400（默认） 单位：秒。 取值范围：60-604800。 IPsec 认证算法 SHA1（此算法安全性较低，请慎用） MD5（此算法安全性较低，请慎用） SHA2-256（默认） SHA2-384 SHA2-512 加密算法 AES-128（默认） AES-192 AES-256 3DES（此算法安全性较低，请慎用） PFS DH group 5（此算法安全性较低，请慎用） DH group 2（此算法安全性较低，请慎用） DH group 14（默认） DH group 1（此算法安全性较低，请慎用） DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 Disable 说明： 部分区域仅支持DH group 14、DH group 2、DH group 5。 传输协议 ESP（默认） AH AH-ESP 生命周期 3600（默认） 单位：秒。 取值范围：480-604800。 PFS（Perfect Forward Secrecy，完善的前向安全性）是一种安全特性。 IKE协商分为两个阶段，第二阶段（IPsec SA）的密钥都是由第一阶段协商生成的密钥衍生的，一旦第一阶段的密钥泄露将可能导致IPsec VPN受到侵犯。为提升密钥管理的安全性，IKE提供了PFS（完美向前保密）功能。启用PFS后，在进行IPsec SA协商时会进行一次附加的DH交换，重新生成新的IPsec SA密钥，提高了IPsec SA的安全性。 为了增强安全性，云默认开启PFS，请用户在配置用户侧数据中心网关设备时确认也开启了该功能，否则会导致协商失败。 用户开启此功能的同时，需要保证两端配置一致。 IPsec SA字节生命周期，不是VPN服务可配置参数，云侧采用的是默认配置1843200KB。该参数不是协商参数，不影响双方建立IPsec SA。 父主题： 产品咨询

建立IPsec VPN连接需要账户名和密码吗？ 常见的使用账户名和密码进行认证的VPN有SSL VPN，PPTP或L2TP，IPsec VPN使用预共享密钥方式进行认证，密钥是配置在VPN网关上的，在VPN协商完成后即建立通道，VPN网关所保护的主机在进行通信时无需输入账户名和密码。 IPsec XAUTH技术是IPsec VPN的扩展技术，它在VPN协商过程中可以强制接入用户输入账户名和密码。 目前VPN不支持该扩展技术。 父主题： 热点问题

配置步骤 确认云上的两个VPC是否在同一Region。 如果在同一Region可通过对等连接或云连接（CC）将两个VPC连接起来（免费）。 如果两个VPC跨Region，请使用CC进行互联（需支付CC带宽费用）。 用户侧数据中心IDC与其中一个VPC建立VPN连接。 修改用户侧数据中心设备的远端子网为云上两个VPC子网，VPN对接的VPC1本端子网需要包含通过对等连接或CC连接的子网，对等连接或CC的子网路由包含用户侧数据中心IDC子网。

VPN使用的DH group对应的比特位是多少？ Diffie-Hellman(DH)组确定密钥交换过程中使用的密钥的强度。较高的组号更安全，但需要额外的时间来计算密钥。 VPN使用的DH group对应的比特位如表1所示。 表1 DH group对应比特位 DH group Modulus 1 768 bits 2 1024 bits 5 1536 bits 14 2048 bits 15 3072 bits 16 4096 bits 19 ecp256 bits 20 ecp384 bits 21 ecp521 bits 以下DH算法有安全风险，不推荐使用：DH group 1、DH group 2、DH group 5。 父主题： VPN协商与对接

如何测试VPN速率情况？ 假设测试环境VPN连接已经创建，在VPN连接两端VPC的本端子网下分别创建ECS，并使两个VPC之间的ECS相互能够ping通的情况下，测试VPN的速率情况。 当用户购买的VPN网关的带宽为200Mbit/s时，测试情况如下。 互为对端的ECS都使用Windows系统，测试速率可达180Mbit/s，使用iperf3和filezilla（是一款支持ftp的文件传输工具）测试均满足带宽要求。 基于TCP的FTP协议有拥塞控制机制，180Mbit/s为平均速率，且IPsec协议会增加新的IP头，因此10%左右的速率误差在网络领域是正常现象。 使用iperf3客户端测试结果截图如图1所示。 图1 200M带宽客户端iperf3测试结果 使用iperf3服务器端测试结果截图如图2所示。 图2 200M带宽服务端iperf3测试结果 互为对端的ECS都使用Centos7系统，测试速率可达180M，使用iperf3测试满足带宽要求。 服务器端ECS使用Centos7系统，客户端使用Windows系统，测试速率只有20M左右，使用iperf3和filezilla测试均不能满足带宽要求。 原因在于Windows和Linux对TCP的实现不一致，导致速率慢。所以对端ECS使用不同的系统时，无法满足带宽要求。 使用iperf3测试结果截图如图3所示。 图3 互为对端的ECS系统不同时iperf3测试结果 假设用户购买的VPN网关的带宽为1000Mbit/s。 部分区域默认仅支持300M带宽。如果需要更大带宽，您可以先申请300M带宽，然后进行带宽扩容。 用户购买的VPN网关为网关的整体吞吐能力，即该VPN网关下所有VPN连接的带宽之和。在大带宽场景下，由于主机的转发性能限制，需要使用多台主机构建多条流量才能充分利用网关的带宽。这种场景下对ECS的配置要求也很高，建议ECS的网卡支持2G以上的带宽。具体ECS的规格可参见ECS规格。 测试总结：综上测试结果，云网关能够满足带宽速率要求，但是建议两端主机使用相同的操作系统，并且网卡要达到配置要求。 父主题： 带宽与网速