华为云用户手册

VPN连接是什么？用户在购买VPN网关时如何选择VPN连接数？ VPN连接，指华为云的一个VPN网关与用户侧一个独立的公网IP之间建立的IPsec连接，一个连接中可以配置多个本端子网（vpc中的子网）和对端子网（用户侧子网）， 无需配置多个连接。 拟创建VPN连接的数量通常与用户数据中心数量有关，每条VPN连接可打通当前VPC与云下的一个数据中心网络。 请用户在购买包年/包月VPN网关时，根据规划连通的数据中心数量选择合适的VPN连接数。 例如，当云侧的网段a1、a2与用户侧网段b1、b2分别通信时，仅需创建一条VPN连接，在该连接中指定云侧多个源网段和多个地址网段即可。如下图所示： 父主题： 产品咨询

VPN协商参数有哪些？默认值是什么？ 表1 VPN协商参数 协议 配置项 值 IKE 认证算法 MD5（此算法安全性较低，请慎用） SHA1（此算法安全性较低，请慎用） SHA2-256（默认） SHA2-384 SHA2-512 加密算法 3DES（此算法安全性较低，请慎用） AES-256 AES-192 AES-128（默认） DH算法 Group 5（此算法安全性较低，请慎用） Group 2（此算法安全性较低，请慎用） Group 14（默认） Group 1（此算法安全性较低，请慎用） Group 15 Group 16 Group 19 Group 20 Group 21 说明： 部分区域仅支持Group 14、Group 2、Group 5。 版本 v1（有安全风险不推荐） v2（默认） 生命周期 86400（默认） 单位：秒。 取值范围：60-604800。 IPsec 认证算法 SHA1（此算法安全性较低，请慎用） MD5（此算法安全性较低，请慎用） SHA2-256（默认） SHA2-384 SHA2-512 加密算法 AES-128（默认） AES-192 AES-256 3DES（此算法安全性较低，请慎用） PFS DH group 5（此算法安全性较低，请慎用） DH group 2（此算法安全性较低，请慎用） DH group 14（默认） DH group 1（此算法安全性较低，请慎用） DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 Disable 说明： 部分区域仅支持DH group 14、DH group 2、DH group 5。 传输协议 ESP（默认） AH AH-ESP 生命周期 3600（默认） 单位：秒。 取值范围：480-604800。 PFS（Perfect Forward Secrecy，完善的前向安全性）是一种安全特性。 IKE协商分为两个阶段，第二阶段（IPsec SA）的密钥都是由第一阶段协商生成的密钥衍生的，一旦第一阶段的密钥泄露将可能导致IPsec VPN受到侵犯。为提升密钥管理的安全性，IKE提供了PFS（完美向前保密）功能。启用PFS后，在进行IPsec SA协商时会进行一次附加的DH交换，重新生成新的IPsec SA密钥，提高了IPsec SA的安全性。 为了增强安全性，云默认开启PFS，请用户在配置用户侧数据中心网关设备时确认也开启了该功能，否则会导致协商失败。 用户开启此功能的同时，需要保证两端配置一致。 IPsec SA字节生命周期，不是VPN服务可配置参数，云侧采用的是默认配置1843200KB。该参数不是协商参数，不影响双方建立IPsec SA。 父主题： 热点问题

无带宽信息的网关无法创建新的连接如何解决？ VPN网关无带宽显示，说明该网关为老版VPN的产品，云已不支持创建该版本的产品。 老版VPN在使用过程中带宽无法保障，一个网关只能创建一条连接，用户可以删除网关后重建（影响业务）； 用户也可以提交工单处理，工作人员会在后台将该网关变更为新版VPN网关（不影响业务）。 默认情况下变更至新版VPN网关的带宽规格为10M，用户后期可根据实际需要调整带宽大小； 变更后转为包年/包月的网关支持到期后续费带宽降配。 父主题： Console与页面使用

使用中IPsec VPN连接中断后如何快速恢复？ 通过私网数据流重新触发IPsec协商。比如两端私网间进行互Ping，如果流量触发可正常建立请考虑部署长Ping保活脚本。详细请参见如何防止VPN连接出现中断情况？。 如果无法正常触发协商，请检查IPsec两侧公网IP的连通性，比如两个公网IP互Ping验证。VPN网关IP默认回应ICMP报文。 如果公网链路正常，需排查是否存在多出口的链路切换，即当前访问云网关IP流量未从协商端口流出。 如果无多出口或出口路径正常，可尝试隧道两端同时修改一次PSK，重新触发协商。 如果重新触发协商失败，请确认两端配置的协商策略是否一致、感兴趣流是否互为镜像（条目数、掩码均相同）。 如果协商策略和感兴趣流配置无误，请关停云下设备的VPN连接，等待云端连接显示为“未连接”后，重启云下设备VPN连接，并进行数据流触发。 如果依然无法触发协商时，请执行以下操作： 记录VPN连接的协商策略、PSK、本端子网、远端网关、远端子网。 使用现有网关新建一条连接，协商策略、PSK、本端子网均与原连接相同，远端网关和远端子网先任意填写。 待新创建连接成功后，删除原连接，之后再修改新建连接的远端网关和远端子网与记录数据一致。 修改完成后重新触发协商。 父主题： 连接故障或无法PING通

连接云下的多台服务器需要购买几个连接？ VPN属于IPsec VPN，它是用于打通云上VPC和用户侧数据中心子网的VPN，所以购买VPN连接的个数与服务器的数量无关，而与这些服务器所在的数据中心数量有关。 大部分情况下一个用户侧数据中心会有一个公网出口网关，所有服务器（或用户主机）都通过该网关连接至Internet，因此对于这种情况配置一个VPN连接即可，通过该连接即可打通VPC与用户网络之间的流量。 父主题： 组网与使用场景

多人访问E CS ，是否可以给每个客户机安装一套IPsec软件和云端建立VPN连接？ 不可以。 VPN打通的是两个局域网的网络，用户侧数据中心局域网内多台主机都安装IPsec软件，实际情况是用户侧数据中心多个主机使用同一个公网IP与云端对接，云端的VPN网关会收到来自用户侧数据中心不同主机的协商报文，系统会收到大量的重复协商信息，导致连接异常，甚至出现连接不可用的现象。 建议您使用出口的防火墙设备配置VPN与云端进行对接。建立VPN时可以选择多个网段，结合云上安全组或用户侧数据中心安全策略，限定属于开发人员主机才能访问云端ECS。 父主题： 组网与使用场景

VPN使用的DH group对应的比特位是多少？ Diffie-Hellman(DH)组确定密钥交换过程中使用的密钥的强度。较高的组号更安全，但需要额外的时间来计算密钥。 VPN使用的DH group对应的比特位如表1所示。 表1 DH group对应比特位 DH group Modulus 1 768 bits 2 1024 bits 5 1536 bits 14 2048 bits 15 3072 bits 16 4096 bits 19 ecp256 bits 20 ecp384 bits 21 ecp521 bits 以下DH算法有安全风险，不推荐使用：DH group 1、DH group 2、DH group 5。 父主题： 产品咨询

VPN网关带宽计费方式在选择按带宽计费和按流量计费时有什么差别？ VPN网关带宽的计费方式是针对VPN网关的。 如果选择按需付费方式（即后付费），可以选择按带宽或按流量计费 : 按带宽计费，计费的周期为1小时，费用也会因带宽大小存在差异。 按流量计费，统计1小时内产生的流量费用，调整带宽大小不产生计费差异，只按产生的出VPC流量进行计费。 如果选择包年/包月付费方式，则仅支持按带宽，不支持按流量；同时包年/包月付费方式相按需付费享受更多折扣优惠。 父主题： 计费类

哪些设备可以与华为云进行VPN对接？ VPN支持标准IPsec协议，用户可以通过以下两个方面确认用户侧数据中心的设备能否与云进行对接： 设备是否具备IPsec功能和授权：请查询设备的特性列表获取是否支持IPsec VPN。 关于组网结构，要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP（即NAT穿越，VPN设备在NAT网关后部署）也可以。 设备型号多为路由器、防火墙等，对接配置请参见管理员指南。 普通家庭宽带路由器、个人的移动终端设备、Windows主机自带的VPN服务（如L2TP）无法与云进行VPN对接。 与VPN服务做过对接测试厂商包括： 设备厂商：华为（防火墙/AR）、山石（防火墙），CheckPoint（防火墙）。 云服务厂商包括：阿里云，腾讯云，亚马逊（aws），微软（Microsoft Azure）。 软件厂商包括：strongSwan。 IPsec协议属于IETF标准协议，宣称支持该协议的厂商均可与云进行对接，用户不需要关注具体的设备型号。 目前绝大多数企业级路由器和防火墙都支持该协议。 部分硬件厂商在特性规格列表中是宣称支持IPsec VPN的，但是需要专门购买软件License才能激活相关功能。 请用户侧数据中心管理员根据设备具体型号与厂商进行确认。 父主题： VPN协商与对接

VPC、VPN网关、VPN连接之间有什么关系？ VPC，即云上私有专用网络，同一Region中可以创建多个VPC，且VPC之间相互隔离。一个VPC内可以划分多个子网网段。 VPN网关，基于VPC创建，是VPN连接的接入点。一个VPC下支持购买多个VPN网关，每个网关可以创建多个VPN连接。 VPN连接，基于VPN网关创建，用于连通VPC子网和用户数据中心（或其它Region的VPC）子网，即每个VPN连接连通了一个用户侧数据中心的网关。 VPN连接的数量与VPN连接的本端子网和远端子网的数量无关，仅与用户VPC需要连通的用户数据中心（或其它Region的VPC）的数量有关，已创建的VPN连接的数量即VPN连接列表中展示的数量（一个条目即一个VPN连接），也可以在VPN网关中查看当前网关已创建的VPN连接数量。 父主题： 产品咨询

哪些设备可以与华为云进行VPN对接？ VPN支持标准IPsec协议，用户可以通过以下两个方面确认用户侧数据中心的设备能否与云进行对接： 设备是否具备IPsec功能和授权：请查询设备的特性列表获取是否支持IPsec VPN。 关于组网结构，要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP（即NAT穿越，VPN设备在NAT网关后部署）也可以。 设备型号多为路由器、防火墙等，对接配置请参见管理员指南。 普通家庭宽带路由器、个人的移动终端设备、Windows主机自带的VPN服务（如L2TP）无法与云进行VPN对接。 与VPN服务做过对接测试厂商包括： 设备厂商：华为（防火墙/AR）、山石（防火墙），CheckPoint（防火墙）。 云服务厂商包括：阿里云，腾讯云，亚马逊（aws），微软（Microsoft Azure）。 软件厂商包括：strongSwan。 IPsec协议属于IETF标准协议，宣称支持该协议的厂商均可与云进行对接，用户不需要关注具体的设备型号。 目前绝大多数企业级路由器和防火墙都支持该协议。 部分硬件厂商在特性规格列表中是宣称支持IPsec VPN的，但是需要专门购买软件License才能激活相关功能。 请用户侧数据中心管理员根据设备具体型号与厂商进行确认。 父主题： 产品咨询

IKEv1和IKEv2的区别 协商过程不同。 IKEv1协商安全联盟主要分为两个阶段，其协议相对复杂、带宽占用较多。IKEv1阶段1的目的是建立IKE SA，它支持两种协商模式：主模式和野蛮模式。主模式用6条ISAKMP消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA，通过快速交换模式（3条ISAKMP消息）完成协商。 IKEv2简化了安全联盟的协商过程。IKEv2正常情况使用2次交换共4条消息就可以完成一个IKE SA和一对IPsec SA，如果要求建立的IPsec SA大于一对时，每一对SA只需额外增加1次交换，也就是2条消息就可以完成。 IKEv1协商，主模式需要6+3，共9个报文；野蛮模式需要3+3，共6个报文。IKEv2协商，只需要2+2，共4个报文。 认证方法不同。 数字信封认证（hss-de）仅IKEv1支持（需要安装加密卡），IKEv2不支持。 IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能，必须借助L2TP来分配私网地址。 IKE SA的完整性算法支持情况不同。IKE SA的完整性算法仅IKEv2支持，IKEv1不支持。 DPD中超时重传实现不同。 retry-interval参数仅IKEv1支持。表示发送DPD报文后，如果超过此时间间隔未收到正确的应答报文，DPD记录失败事件1次。当失败事件达到5次时，删除IKE SA和相应的IPsec SA。直到隧道中有流量时，两端重新协商建立IKE SA。 对于IKEv2方式的IPsec SA，超时重传时间间隔从1到64以指数增长的方式增加。在8次尝试后还未收到对端发过来的报文，则认为对端已经下线，删除IKE SA和相应的IPsec SA。 IKE SA与IPsec SA超时时间手工调整功能支持不同。 IKEv2的IKE SA软超时为硬超时的9/10±一个随机数，所以IKEv2一般不存在两端同时发起重协商的情况，故IKEv2不需要配置软超时时间。

IKEv1存在的安全风险 IKEv1 支持的密码算法已超过10年未做更新，并不支持诸如AES-GCM、ChaCha20-Poly1305等推荐的强密码算法。IKEv1使用ISALMP头的E比特位来指定该头后跟随的是加密载荷，但是这些加密载荷的数据完整性校验值放在单独的hash载荷中。这种加密和完整性校验的分离阻碍了v1使用认证加密（AES-GCM），从而限制了只能使用初期定义的AES算法。 协议本身也无法防止报文放大攻击（属于DOS攻击）初始报文交换，IKEv1容易被半连接攻击，响应方响应初始化报文后维护发起-响应的关系，维护了大量的关系会消耗大量的系统资源。 针对连接的DOS攻击，IKEv2协议上有针对性的解决方案。 IKEv1野蛮模式安全性低：野蛮模式开始信息报文不加密，存在用户配置信息泄漏的风险，当前也存在针对野蛮攻击，如：中间人攻击。

IKEv2相比IKEv1的优点 简化了安全联盟的协商过程，提高了协商效率。 修复了多处公认的密码学方面的安全漏洞，提高了安全性能。 加入对EAP（Extensible Authentication Protocol）身份认证方式的支持，提高了认证方式的灵活性和可扩展性。 EAP是一种支持多种认证方法的认证协议，可扩展性是其最大的优点，即如果想加入新的认证方式，可以像组件一样加入，而不用变动原来的认证体系。当前EAP认证已经广泛应用于拨号接入网络中。 IKEv2使用基于ESP设计的加密载荷，v2加密载荷将加密和数据完整性保护关联起来，即加密和完整性校验放在相同的载荷中。AES-GCM同时具备保密性、完整性和可认证性的加密形式与v2的配合比较好。

IKEv1与IKEv2的协议介绍 IKEv1协议是一个混合型协议，其自身的复杂性不可避免地带来一些安全及性能上的缺陷，已经成为目前实现的IPsec系统的瓶颈。 IKEv2协议保留了IKEv1的基本功能，并针对IKEv1研究过程中发现的问题进行修正，同时兼顾简洁性、高效性、安全性和健壮性的需要，整合了IKEv1的相关文档，由RFC4306单个文档替代。通过核心功能和默认密码算法的最小化规定，新协议极大地提高了不同IPsec VPN系统的互操作性。

IKEv2相比IKEv1的优点 简化了安全联盟的协商过程，提高了协商效率。 修复了多处公认的密码学方面的安全漏洞，提高了安全性能。 加入对EAP（Extensible Authentication Protocol）身份认证方式的支持，提高了认证方式的灵活性和可扩展性。 EAP是一种支持多种认证方法的认证协议，可扩展性是其最大的优点，即如果想加入新的认证方式，可以像组件一样加入，而不用变动原来的认证体系。当前EAP认证已经广泛应用于拨号接入网络中。 IKEv2使用基于ESP设计的加密载荷，v2加密载荷将加密和数据完整性保护关联起来，即加密和完整性校验放在相同的载荷中。AES-GCM同时具备保密性、完整性和可认证性的加密形式，与v2的配合比较好。

IKEv1存在的安全风险 IKEv1 支持的密码算法已超过10年未做更新，并不支持诸如AES-GCM、ChaCha20-Poly1305等推荐的强密码算法。IKEv1使用ISALMP头的E比特位来指定该头后跟随的是加密载荷，但是这些加密载荷的数据完整性校验值放在单独的hash载荷中。这种加密和完整性校验的分离阻碍了v1使用认证加密（AES-GCM），从而限制了只能使用初期定义的AES算法。 协议本身也无法防止报文放大攻击（属于DOS攻击）初始报文交换，IKEv1容易被半连接攻击，响应方响应初始化报文后维护发起-响应的关系，维护了大量的关系会消耗大量的系统资源。 针对连接的DOS攻击，IKEv2协议上有针对性的解决方案。 IKEv1野蛮模式安全性低：野蛮模式开始信息报文不加密，存在用户配置信息泄漏的风险，当前也存在针对野蛮攻击，如：中间人攻击。

IKEv1和IKEv2的区别 协商过程不同。 IKEv1协商安全联盟主要分为两个阶段，其协议相对复杂、带宽占用较多。IKEv1阶段1的目的是建立IKE SA，它支持两种协商模式：主模式和野蛮模式。主模式用6条ISAKMP消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA，通过快速交换模式（3条ISAKMP消息）完成协商。 IKEv2简化了安全联盟的协商过程。IKEv2正常情况使用2次交换共4条消息就可以完成一个IKE SA和一对IPsec SA，如果要求建立的IPsec SA大于一对时，每一对SA只需额外增加1次交换，也就是2条消息就可以完成。 IKEv1协商，主模式需要6+3，共9个报文；野蛮模式需要3+3，共6个报文。IKEv2协商，只需要2+2，共4个报文。 认证方法不同。 数字信封认证（hss-de）仅IKEv1支持（需要安装加密卡），IKEv2不支持。 IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能，必须借助L2TP来分配私网地址。 IKE SA的完整性算法支持情况不同。IKE SA的完整性算法仅IKEv2支持，IKEv1不支持。 DPD中超时重传实现不同。 retry-interval参数仅IKEv1支持。表示发送DPD报文后，如果超过此时间间隔未收到正确的应答报文，DPD记录失败事件1次。当失败事件达到5次时，删除IKE SA和相应的IPsec SA。直到隧道中有流量时，两端重新协商建立IKE SA。 对于IKEv2方式的IPsec SA，超时重传时间间隔从1到64以指数增长的方式增加。在8次尝试后还未收到对端发过来的报文，则认为对端已经下线，删除IKE SA和相应的IPsec SA。 IKE SA与IPsec SA超时时间手工调整功能支持不同。 IKEv2的IKE SA软超时为硬超时的9/10±一个随机数，所以IKEv2一般不存在两端同时发起重协商的情况，故IKEv2不需要配置软超时时间。

IKEv1与IKEv2的协议介绍 IKEv1协议是一个混合型协议，其自身的复杂性不可避免地带来一些安全及性能上的缺陷，已经成为目前实现的IPsec系统的瓶颈。 IKEv2协议保留了IKEv1的基本功能，并针对IKEv1研究过程中发现的问题进行修正，同时兼顾简洁性、高效性、安全性和健壮性的需要，整合了IKEv1的相关文档，由RFC4306单个文档替代。通过核心功能和默认密码算法的最小化规定，新协议极大地提高了不同IPsec VPN系统的互操作性。

配置步骤 确认云上的两个VPC是否在同一Region。 如果在同一Region可通过对等连接或云连接（CC）将两个VPC连接起来（免费）。 如果两个VPC跨Region，请使用CC进行互联（需支付CC带宽费用）。 用户侧数据中心IDC与其中一个VPC建立VPN连接，修改用户侧数据中心设备的远端子网为云上两个VPC子网，VPN对接的VPC1本端子网需要包含通过对等连接或CC连接的子网，对等连接或CC的子网路由包含用户侧数据中心IDC子网。

VPN网关带宽计费方式在选择按带宽计费和按流量计费时有什么差别？ VPN网关带宽的计费方式是针对VPN网关的。 如果选择按需付费方式（即后付费），可以选择按带宽或按流量计费 : 按带宽计费，计费的周期为1小时，费用也会因带宽大小存在差异。 按流量计费，统计1小时内产生的流量费用，调整带宽大小不产生计费差异，只按产生的出VPC流量进行计费。 如果选择包年/包月付费方式，则仅支持按带宽，不支持按流量；同时包年/包月付费方式相按需付费享受更多折扣优惠。 父主题： 产品咨询

正在使用VPN出现了连接中断，提示DPD超时，如何排查？ 出现DPD超时的连接中断时因为两端网络访问无数据，在SA老化后发送DPD未得到对端响应而删除连接。 解决方法： 开启用户侧数据中心设备的DPD配置，测试两端的数据流均可触发连接建立； 在两端的主机中部署Ping shell脚本，也可在用户侧数据中心的子网的网关设备上配置保活数据，如华为的NQA，或cisco的ip sla。 父主题： 连接故障或无法PING通

VPC、VPN网关、VPN连接之间有什么关系？ VPC，即云上私有专用网络，同一Region中可以创建多个VPC，且VPC之间相互隔离。一个VPC内可以划分多个子网网段。 VPN网关，基于VPC创建，是VPN连接的接入点。一个VPC下支持购买多个VPN网关，每个网关可以创建多个VPN连接。 VPN连接，基于VPN网关创建，用于连通VPC子网和用户数据中心（或其它Region的VPC）子网，即每个VPN连接连通了一个用户侧数据中心的网关。 VPN连接的数量与VPN连接的本端子网和远端子网的数量无关，仅与用户VPC需要连通的用户数据中心（或其它Region的VPC）的数量有关，已创建的VPN连接的数量即VPN连接列表中展示的数量（一个条目即一个VPN连接），也可以在VPN网关中查看当前网关已创建的VPN连接数量。 父主题： Console与页面使用

建立IPsec VPN连接需要账户名和密码吗？ 常见的使用账户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP，IPsec VPN使用预共享密钥方式进行认证，密钥配置在VPN网关上，在VPN协商完成后即建立通道，VPN网关所保护的主机在进行通信时无需输入账户名和密码。 IPsec XAUTH技术是IPsec VPN的扩展技术，它在VPN协商过程中可以强制接入用户输入账户名和密码。 目前VPN不支持该扩展技术。 父主题： Console与页面使用

建立IPsec VPN连接需要账户名和密码吗？ 常见的使用账户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP，IPsec VPN使用预共享密钥方式进行认证，密钥配置在VPN网关上，在VPN协商完成后即建立通道，VPN网关所保护的主机在进行通信时无需输入账户名和密码。 IPsec XAUTH技术是IPsec VPN的扩展技术，它在VPN协商过程中可以强制接入用户输入账户名和密码。 目前VPN不支持该扩展技术。 父主题： 产品咨询

VPN是否启动了DPD检测机制？ 是的。 VPN服务默认开启了DPD探测机制，用于探测用户侧数据中心IKE进程的存活状态。 3次探测失败后即认为用户侧数据中心IKE异常，此时云会删除本端隧道，以保持双方的隧道同步。 DPD协议本身并不要求对端也同步进行配置（但是要求对端可以应答DPD探测），为了保证协商双方隧道状态一致，避免出现单边隧道（一端存在隧道，而另一端已不存在），建议用户同时启动用户侧网关的DPD探测机制，用于探测云侧VPN服务的IKE状态。 DPD探测失败后会删除隧道，不会导致业务不稳定。 DPD可以及时发现对方IKE进程异常，并通过重置隧道的方法来保持双方隧道同步。在删除隧道后，当有用户流量时，可以重新触发协商并建立隧道。 父主题： VPN协商与对接

对接云时，如何配置DPD信息？ 云默认开启DPD配置，且不可关闭该配置。 DPD配置信息如下： DPD-type：按需 DPD idle-time：30s DPD retransmit-interval：15s DPD retry-limit：3次 DPD msg：seq-hash-notify。 两端DPD的type、空闲时间、重传间隔、重传次数无需一致，只要能接收和回应DPD探测报文即可，DPD msg格式必须一致。 父主题： VPN协商与对接

如何解决VPN连接无法建立连接问题？ 检查云上VPN连接中的IKE策略和IPsec策略中的协商模式和加密算法是否与远端配置一致。 如果第一阶段IKE策略已经建立，第二阶段的IPsec策略未开启，常见情况为IPsec策略与数据中心远端的配置不一致。 如果客户本地侧使用的是CISCO的物理设备，建议客户使用MD5算法。同时将云上VPN连接端IPsec策略中的认证算法设置为MD5。 检查ACL是否配置正确。 假设您的数据中心的子网为192.168.3.0/24和192.168.4.0/24，VPC下的子网为192.168.1.0/24和192.168.2.0/24，则你在数据中心或局域网中的ACL应对你的每一个数据中心子网配置允许VPC下的子网通信的规则，如下例： rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 配置完成后检查VPN是否连接，ping测试两端内网是否正常。 父主题： 连接故障或无法PING通

建立IPsec VPN连接需要账户名和密码吗？ 常见的使用账户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP，IPsec VPN使用预共享密钥方式进行认证，密钥配置在VPN网关上，在VPN协商完成后即建立通道，VPN网关所保护的主机在进行通信时无需输入账户名和密码。 IPsec XAUTH技术是IPsec VPN的扩展技术，它在VPN协商过程中可以强制接入用户输入账户名和密码。 目前VPN不支持该扩展技术。 父主题： 账号权限

创建VPN都会产生哪些费用，VPN网关IP收费吗？ VPN提供包年/包月和按需两种计费模式，费用包含网关带宽费用和VPN连接费用。 网关带宽的计费又可分为按流量或按带宽计费。 包年/包月计费模式下不可选择按流量计费。如果您选择包年/包月模式创建VPN，在创建网关阶段一次性收取网关带宽费用和连接的费用，用户后续创建VPN连接时不再收取费用。 按需方式为先使用后付费模式，计费周期为1小时。如果您选择按需模式创建VPN，页面会提示同时创建连接。费用包含了网关带宽费用和单条连接费用，您在创建第二条连接时只产生连接的费用。 VPN网关IP不收费，只收取VPN网关的带宽费用。 VPN网关的带宽费用是独立的，与ECS绑定的EIP带宽相互独立，无法共享。 父主题： 热点问题