华为云用户手册

网络规划说明 DC/VPN双链路主备混合云组网规划如图1所示，将VPC、DC和VPN分别接入ER中，组网规划说明如表2所示。 图1 DC/VPN双链路主备混合云组网规划 DC和VPN互为主备网络链路，在DC网络链路正常的情况下，流量优选云专线DC。 在ER路由表中只显示优选路由，由于DGW连接(DC)路由的优先级高于VPN连接，因此ER路由表中不显示VPN连接的路由。 云上VPC和线下IDC通信时，默认使用DC这条网络链路，本示例的网络流量路径说明请参见表1 表1 网络流量路径说明 路径 说明 请求路径：VPC1→线下IDC 在VPC1路由表中，通过下一跳为ER的路由将流量转送到ER。 在ER路由表中，通过下一跳为DGW连接的路由将流量转送到全域接入网关。 全域接入网关连接虚拟接口，通过虚拟接口将流量从远端网关转送到物理专线。 通过物理专线将流量送达线下IDC。 响应路径：线下IDC→VPC1 通过物理专线将流量转送到虚拟接口。 虚拟接口连接全域接入网关，通过虚拟接口将流量从本端网关转送到全域接入网关。 通过全域接入网关将流量转送到ER。 在ER路由表中，通过下一跳为VPC1连接的路由将流量送达VPC1。 表2 DC/VPN双链路互备混合云组网规划说明 资源 说明 VPC 业务VPC，实际运行客户业务的VPC，本示例中为VPC1，具体说明如下： VPC网段与客户IDC侧网段不能重复。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量转发至ER，此处目的地址配置为IDC的子网网段，路由信息如表3所示。 VPN网关使用的子网，建议您创建一个新的VPC，并从中分配子网。 您在创建VPN网关时，需要填写该子网网段，VPN网关使用的子网不能与VPC内已有的子网网段重叠。 DC 1个物理连接：需要运营商施工搭建连通华为云和线下IDC的物理专线。 1个全域接入网关：将全域接入网关接入ER中，即表示将“全域接入网关（DGW）”连接添加到ER。 1个虚拟接口：连接全域接入网关和物理连接。 VPN 1个VPN网关：将VPN接入ER中，即表示将“VPN网关（VPN）”连接添加到ER。 1个对端网关：用户IDC侧的对端网关。 1组VPN连接：连接VPN网关和对端网关，2条VPN连接互为主备链路。 ER 开启“默认路由表关联”和“默认路由表传播”功能，添加完连接后，系统会自动执行以下配置： VPC： 将1个“虚拟私有云（VPC）”连接关联至ER默认路由表。 在默认路由表中创建“虚拟私有云（VPC）”连接的传播，路由自动学习VPC网段，路由信息如表4所示。 DC： 将1个“全域接入网关（DGW）”连接关联至ER默认路由表。 在默认路由表中创建“全域接入网关（DGW）”连接的传播，路由自动学习DC侧的所有路由信息，路由信息如表4所示。 VPN： 将1个“VPN网关（VPN）”连接关联至ER默认路由表。 在默认路由表中创建“VPN网关（VPN）”连接的传播，路由自动学习VPN侧的所有路由信息，路由信息如表4所示。 E CS 1个ECS位于业务VPC内，本示例用该ECS来验证云上和线下IDC的网络通信情况。 如果您有多台ECS，并且这些ECS位于不同的安全组，需要在安全组中添加规则放通网络。 表3 VPC路由表 目的地址 下一跳 路由类型 192.168.3.0/24 企业路由器 静态路由：自定义 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 除了系统自动添加的3个VPC固定网段，您还需要在VPC路由表中添加目的地址为IDC侧网段，下一跳指向ER的路由。 表4 ER路由表 目的地址 下一跳 路由类型 VPC1网段：172.16.0.0/16 VPC1连接：er-attach-01 传播路由 IDC侧网段：192.168.3.0/24 DGW连接：dgw-demo 传播路由 IDC侧网段：192.168.3.0/24 VPN连接：vpngw-demo 传播路由 当两条路由功能一样时，ER路由表中只会显示优选路由。当DC和VPN网络链路均正常时，由于DGW连接和VPN连接的传播路由均指向线下IDC，因此只能在ER路由表中看到优先级较高的DGW连接的路由，暂时不支持查看ER路由中VPN连接的所有路由（包括未优选的路由）。 当DC出现故障，网络链路切换到VPN时，此时通过管理控制台，可以在ER路由表中看到VPN连接的传播路由。

资源规划说明 企业路由器ER、云专线DC、 虚拟专用网络 VPN、 虚拟私有云VPC 、弹性 云服务器ECS 只要位于同一个区域内即可，可用区可以任意选择，不用保持一致。 以下资源规划详情仅为示例，您可以根据需要自行修改。 表5 DC/VPN双链路互备混合云组网资源规划总体说明 资源类型 资源数量 说明 VPC 2 业务VPC，实际运行客户业务的VPC，需要接入ER中。 VPC名称：请根据实际情况填写，本示例为vpc-for-er。 IPv4网段：VPC网段与客户IDC侧网段不能重复，请根据实际情况填写，本示例为172.16.0.0/16。 子网名称：请根据实际情况填写，本示例为subnet-for-er。 子网IPv4网段：VPC子网网段与客户IDC侧子网网段不能重复，请根据实际情况填写，本示例为172.16.0.0/24。 VPN网关使用的VPC，需要从中分配一个子网提供给VPN网关使用。 VPC名称：请根据实际情况填写，本示例为vpc-for-vpn。 IPv4网段：请根据实际情况填写，本示例为10.0.0.0/16。 子网名称：您创建VPC时，必须创建一个默认子网，请根据实际情况填写，本示例为subnet-01。 子网IPv4网段：默认子网在本示例中不使用，请根据实际情况填写，本示例为10.0.0.0/24。 须知： 您在创建VPN网关时，“虚拟私有云”需要选择该VPC，“互联子网”填写该VPC下的网段，请确保选择的互联子网存在4个及以上可分配的IP地址。 ER 1 名称：请根据实际情况填写，本示例为er-test-01。 ASN：此处AS号不能和线下IDC的AS号一样，本示例中保持默认值64512。 默认路由表关联：开启 默认路由表传播：开启 自动接受共享连接：请根据实际情况选择，本示例选择“开启”。 连接，本示例需要在企业路由器中添加3个连接： VPC连接：er-attach-VPC DGW连接：er-attach-DGW VPN连接：er-attach-VPN DC 1 物理连接：请根据实际需求创建。 全域接入网关 名称：请根据实际情况填写，本示例为dgw-demo。 关联模式：请选择“企业路由器”。 企业路由器：选择您的企业路由器，本示例为er-test-01。 BGP ASN：此处AS号和企业路由器的AS号一样或者不一样均可，本示例中和ER的AS号一致，保持默认值64512。 虚拟接口 名称：请根据实际情况填写，本示例vif-demo。 全域接入网关：选择您的全域接入网关，本示例为dgw-demo。 本端网关：请根据实际情况填写，本示例为10.0.0.1/30。 远端网关：请根据实际情况填写，本示例为10.0.0.2/30。 远端子网：请根据实际情况填写，本示例为192.168.3.0/24。 路由模式：请选择“BGP”。 BGP邻居AS号：此处为线下IDC侧的AS号，不能和云上全域接入网关的AS号一样，本示例为65525。 VPN 1 VPN网关 名称：请根据实际情况填写，本示例为vpngw-demo。 关联模式：请选择“企业路由器”。 企业路由器：选择您的企业路由器，本示例为er-test-01。 BGP ASN：由于DC和VPN为双链路互备，此处AS号和DC全域接入网关的AS号必须一样，本示例为64512。 虚拟私有云：选择您的虚拟私有云，本示例为vpc-for-vpn。 互联子网：用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。请根据实际情况填写，本示例为10.0.5.0/24。 对端网关 名称：请根据实际情况填写，本示例为cgw-demo。 路由模式：请选择“动态BGP”。 BGP ASN：此处为线下IDC侧的AS号，由于DC和VPN为双链路互备，该AS号和DC虚拟接口处设置的AS号必须一样，本示例为65525。 2条VPN连接，互为主备： 名称：请根据实际情况填写，本示例中，主VPN连接为vpn-demo-01，备VPN连接为vpn-demo-02。 VPN网关：选择您的VPN网关，本示例为vpngw-demo。 公网IP：请根据实际情况选择，主VPN连接选择主EIP，备VPN连接选择备EIP。 连接模式：请选择“路由模式”。 对端网关：选择您的对端网关，本示例为cgw-demo。 接口地址分配方式：本示例选择“自动分配”。 路由模式：请选择“BGP”。 ECS 1 名称：根据实际情况填写，本示例为ecs-demo。 镜像：请根据实际情况选择，本示例为公共镜像（CentOS 8.2 64bit）。 网络： 虚拟私有云：选择您的虚拟私有云，本示例为vpc-for-er。 子网：选择子网，本示例为subnet-for-er。 安全组：请根据实际情况选择，本示例安全组模板选择“通用Web服务器”，名称为sg-demo。 私有IP地址：172.16.1.137 由于DC和VPN是主备链路，为了防止网络环路，DC全域接入网关和VPN网关的AS号必须保持一致，本示例为64512。 ER的AS号和DC、VPN的一样或者不一样均可，本示例为64512。 线下IDC侧的AS号，不能和云上服务的AS号一样，请根据客户的实际情况填写，本示例为65525。

应用场景 云专线（Direct Connect，DC）用于搭建线下IDC和云上虚拟私有云（Virtual Private Cloud，VPC）之间高速、低时延、稳定安全的专属连接通道，您可以通过企业路由器和云专线构建满足企业通信的大规模混合云组网。 虚拟专用网络（Virtual Private Network，VPN）用于在线下IDC和华为云VPC之间建立一条安全加密的公网通信隧道。相比通过DC构建混合云，使用VPN更加快速，成本更低。 为了助力企业客户实现混合云组网的高可靠性，并且控制成本费用，我们推荐您在企业路由器中同时接入DC和VPN两条网络链路，构建主备双链路的混合云组网。当主链路故障后，可自动切换至备链路，降低了单链路故障导致的业务中断风险。 关于企业路由器更详细的介绍，请参见企业路由器产品介绍。

方案架构 为了提升混合云组网的可靠性，XX企业同时部署了DC和VPN两条网络链路，均可以连通云上VPC和线下IDC的网络。DC和VPN两条网络链路互为主备，主链路为DC，备链路为VPN，当DC链路故障时，可自动切换到VPN链路，降低网络中断对业务造成的影响。 将VPC1、VPC2以及DC接入企业路由器中，VPC1和VPC2网络互通，并且均可以通过DC和线下IDC通信。 将VPN接入企业路由器中，当主链路DC故障时，VPC1和VPC2可以通过备链路VPN和线下IDC通信。 图1 DC/VPN双链路主备混合云组网

约束与限制 在VPN网关状态处于“创建中”、“更新中”、“删除中”三种状态时，不能进行VPN网关删除操作。 如果VPN网关绑定的EIP计费模式为包年/包月，删除VPN网关时会同步解绑EIP。解绑后弹性公网IP继续保留，若不再使用可在网关删除后释放。 如果VPN网关绑定的EIP计费模式为按需，删除VPN网关时会同步释放EIP。 如果需要保留按需EIP，则您需要先将该EIP解绑，然后再删除VPN网关。如何解绑EIP，请参见解绑弹性公网IP。 如果VPN网关绑定了加入共享带宽的EIP，删除VPN网关时会同步释放EIP，保留共享带宽。

背景信息 根据对端网关IP地址个数不同，推荐的组网如表1所示。 表1 组网关系 对端网关IP个数 推荐组网 说明 1 VPN网关推荐使用双活模式，该场景占用1个VPN连接组配额。 2 VPN网关推荐使用主备模式，该场景占用2个VPN连接组配额。 如果用户数据中心仅有一个对端网关，且对端网关只能配置一个IP地址，VPN网关推荐使用双活模式，主EIP、主EIP2各创建一条VPN连接，对接同一个对端网关的同一个IP地址。该场景下仅占用一个VPN连接组配额。 如果用户数据中心存在两个对端网关，或一个对端网关可以配置两个IP地址，VPN网关推荐使用主备模式，主EIP、备EIP各创建一条VPN连接，对接到对端网关的不同IP地址。该场景下占用两个VPN连接组配额。

约束与限制 非国密型网关不支持变更为国密型网关。 关联企业路由器场景下，需要关注企业路由器的路由表条数规格限制。 创建VPN网关支持直接创建共享型带宽的EIP，2个EIP要选择同一个共享带宽。 非固定IP接入的特性仅在部分区域上线，且仅支持“计费模式”采用“包年/包月”的公网网关场景。 本地可用区的特性仅在部分区域上线，以管理控制台实际上线区域为准。 专业型3网关不支持IPv6和非固定IP接入，且不支持边缘可用区。

示例流程 图1 给用户授予VPN权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予虚拟专用网络服务权限“VPN FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限。 新创建的用户登录管理控制台，切换至授权区域，验证权限： 在“服务列表”中选择“网络 ＞ 虚拟专用网络”，进入“虚拟专用网络 ＞ 企业版-VPN网关”页面，单击“站点入云VPN网关”，进入“站点入云VPN网关”页签，单击右上角“创建站点入云VPN网关”，尝试创建VPN网关，如果创建成功，表示“VPN FullAccess”已生效。 在“服务列表”中选择“网络 ＞ 虚拟专用网络”，进入“虚拟专用网络 ＞ 经典版”页面，单击“创建VPN网关”，尝试创建VPN网关，如果创建成功，表示“VPN FullAccess”已生效。 在“服务列表”中选择“网络 ＞ 虚拟专用网络”，进入“虚拟专用网络 ＞ 企业版-VPN网关”页面，单击“终端入云VPN网关”，进入“终端入云VPN网关”页签，单击右上角“创建终端入云VPN网关”，尝试创建VPN网关，如果创建成功，表示“VPN FullAccess”已生效。 在“服务列表”中选择除VPN服务外（假设当前权限仅包含VPN FullAccess）的任一服务，若提示权限不足，表示“VPN FullAccess”已生效。

监控指标 表1 企业版VPN网关支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象（维度） 监控周期（原始指标） gateway_send_pkt_rate 出云包速率 该指标用于统计测量对象平均每秒出云的数据包数量。 ≥ 0 pps 不涉及 网关 1分钟 gateway_recv_pkt_rate 入云包速率 该指标用于统计测量对象平均每秒入云的数据包数量。 ≥ 0 pps 不涉及 网关 1分钟 gateway_send_rate 出云带宽 该指标用于统计测量对象平均每秒出云流量。 0-1 bps 1024(IEC) 网关 1分钟 gateway_recv_rate 入云带宽 该指标用于统计测量对象平均每秒入云流量。 0-1 bps 1024(IEC) 网关 1分钟 gateway_send_rate_usage 出云带宽使用率 该指标用于统计测量对象出云带宽使用率。 0-100 percentage(%) 不涉及 网关 1分钟 gateway_recv_rate_usage 入云带宽使用率 该指标用于统计测量对象入云带宽使用率。 0-100 percentage(%) 不涉及 网关 1分钟 gateway_connection_num 连接数 该指标用于统计测量对象关联VPN连接数。 ≥ 0 count 不涉及 网关 1分钟

背景信息 表1 背景信息 监控指标名称 VPN支持情况 是否默认开启 VPN连接状态 企业版VPN、经典版VPN均支持。 是 链路往返平均时延 链路往返最大时延 链路丢包率 接收包速率 发送包速率 接收速率 发送速率 SA接收包速率 SA发送包速率 SA接收速率 SA发送速率 仅企业版VPN支持。 否 单击VPN连接名称，在“基本信息”页签添加健康检查项。 隧道往返平均时延 隧道往返最大时延 隧道丢包率 仅企业版VPN支持。 是 仅VPN连接使用静态路由模式，且开启NQA检测机制场景时支持私网相关监控指标。

监控指标 表1 经典版VPN带宽支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象（维度） 监控周期（原始指标） upstream_bandwidth 出网带宽 该指标用于统计测试对象出云平台的网络速度（原指标为上行带宽）。 ≥ 0 bit/s 1000(SI) 带宽或弹性公网IP 1分钟 downstream_bandwidth 入网带宽 该指标用于统计测试对象入云平台的网络速度（原指标为下行带宽）。 ≥ 0 bit/s 1000(SI) 带宽或弹性公网IP 1分钟 upstream_bandwidth_usage 出网带宽使用率 该指标用于统计测量对象出云平台的带宽使用率。 出网带宽使用率=出网带宽指标/购买的带宽大小 0-100 % 不涉及 带宽或弹性公网IP 1分钟 downstream_bandwidth_usage 入网带宽使用率 该指标用于统计测量对象入云平台的带宽使用率。 入网带宽使用率=入网带宽指标/购买的带宽大小 说明： 由于华为云在部分站点对10Mbps以下的配置带宽提供10Mbps的入网带宽上限，此时监控的入网带宽使用率会存在大于100%的情况。 EIP使用时修改带宽大小，带宽使用率的指标同步生效会有5~10min的延时。 0-100 % 不涉及 带宽或弹性公网IP 1分钟 up_stream 出网流量 该指标用于统计测试对象出云平台的网络流量（原指标为上行流量）。 ≥ 0 Byte 1000(SI) 带宽或弹性公网IP 1分钟 down_stream 入网流量 该指标用于统计测试对象入云平台的网络流量（原指标为下行流量）。 ≥ 0 Byte 1000(SI) 带宽或弹性公网IP 1分钟 表2 经典版VPN连接支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象（维度） 监控周期（原始指标） connection_status VPN连接状态 展示VPN连接的通断状态。 0：未连接状态 1：连接状态 0，1 不涉及 不涉及 VPN连接 5分钟

操作系统支持列表 表1 操作系统支持列表 操作系统类型 操作系统版本 客户端版本 如何操作 Windows Windows10及以上 OpenVPN GUI 2.6及以上版本 OpenVPN Connect 3.4.4及以上版本 配置Windows客户端 Linux Ubuntu 24.10 Ubuntu 22.04（jammy） 24.10系统为OpenVPN 2.6及以上版本 22.04系统为OpenVPN 2.5及以下版本 Ubuntu CentOS 7.9 CentOS 8 CentOS Stream 9 7.9、8系统为OpenVPN 2.4.12版本 Stream 9系统为OpenVPN 2.5及以上版本 CentOS Debian12 OpenVPN 2.5及以上版本 Debian Redhat 9.5 OpenVPN 2.5及以上版本 Redhat OpenSUSE 15.5 OpenVPN 2.5及以上版本 OpenSUSE MacOS - Tunnelblick 3.8.8d OpenVPN Connect 3.4.4.4629 配置Mac客户端 Android - OpenVpn Connect APK 3.3.2以上版本 配置Android客户端 iOS - OpenVpn Connect 3.4.0 配置iOS客户端

应用场景 VPN标签是VPN资源的标识。为VPN资源添加标签，可以方便用户识别和管理拥有的VPN。您可以在创建VPN资源的时候增加标签，或者在已经创建的VPN资源详情页添加标签，每个VPN资源最多可以添加20个标签。 VPN标签管理仅支持站点入云VPN企业版和终端入云VPN。 标签共由两部分组成：“键”和“值”，其中，“键”和“值”的命名规则如表 VPN标签命名规则所示。 表1 VPN标签命名规则 参数 规则 样例 键 不能为空。 对于同一虚拟专用网络键值唯一。 长度不超过128个字符。 只能包含以下几种字符： 数字 空格 任意语种字母 特殊字符，包括“_”、“.”、“:”、“-”、“=”、“+”和“@” 首尾不能含有空格，不能以_sys_开头。 vpn_key1 值 长度不超过255个字符。 只能包含以下几种字符： 数字 空格 任意语种字母 特殊字符，包括"."、“:”、“-”、“=”、“+”、“@”、“/”和“_” vpn-01 父主题： 标签管理

简单的IPsec VPN内网对连拓扑说明 如图1所示，假设您在云中已经申请了VPC，并申请了2个子网（192.168.1.0/24，192.168.2.0/24），您在自己的数据中心Router下也有2个子网（192.168.3.0/24，192.168.4.0/24）。您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 图1 IPsec VPN 支持点到点VPN（Site-to-Site VPN），可实现VPC子网和用户数据中心局域网互访。在建立IPsec VPN前，请确认拟开通VPN的用户数据中心满足以下3个条件： 用户数据中心有支持标准IPsec协议的设备。 上述设备可以分配独立的公网IP（NAT IP也支持）。 VPC子网和用户数据中心子网不冲突，用户数据中心子网到上述设备可达。 满足以上条件后，配置IPsec VPN时，需要保证两端IKE策略以及IPsec策略配置一致，两端子网互为镜像。 配置完成后，需要通过私网数据流触发VPN协商。

VPN支持将两个VPC互连吗？ 如果两个VPC位于同一区域内，不支持VPN互连，推荐使用VPC对等连接互连。 如果两个VPC位于不同区域，支持VPN互连，具体操作如下： 为这两个VPC分别创建VPN网关，并为两个VPN网关创建VPN连接。 将两个VPN连接的远端网关设置为对方VPN网关的网关IP。 将两个VPN连接的远端子网设置为对方VPC的网段。 两个VPN连接的预共享密钥和算法参数需保持一致。 父主题： 组网与使用场景

哪些设备可以与云进行VPN对接？ VPN支持标准IPsec协议，用户可以通过以下两个方面确认用户侧数据中心的设备能否与云进行对接： 设备是否具备IPsec功能和授权：请查询设备的特性列表获取是否支持IPsec VPN。 关于组网结构，要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP（即NAT穿越，VPN设备在NAT网关后部署）也可以。 设备型号多为路由器、防火墙等，对接配置请参见管理员指南。 普通家庭宽带路由器、个人的移动终端设备、Windows主机自带的VPN服务（如L2TP）无法与云进行VPN对接。 与VPN服务做过对接测试厂商包括但不限于：华为（路由器、防火墙）、h3c（路由器、防火墙）、cisco（路由器、防火墙）、锐捷（路由器、防火墙）、中兴、深信服、fortinet、360、天融信、山石、网康、绿盟、DELL、合勤、Juniper等。 云服务厂商包括但不限于：阿里云，腾讯云，亚马逊（aws）。 软件厂商包括但不限于：Openswan/strongSwan、GreenBow等 。 IPsec协议属于IETF标准协议，宣称支持该协议的厂商均可与云进行对接，用户不需要关注具体的设备型号。 目前绝大多数企业级路由器和防火墙都支持该协议。 部分硬件厂商在特性规格列表中是宣称支持IPsec VPN的，但是需要专门购买软件License才能激活相关功能。 请用户侧数据中心管理员根据设备具体型号与厂商进行确认。 父主题： 热点问题

为什么需要NQA 随着运营商增值业务的开展，用户和运营商对QoS（Quality of Service）的相关要求越来越高，特别是在传统的IP网络承载语音和视频业务后，运营商与客户之间签订SLA（Service Level Agreement）成为普遍现象。 为了让用户看到承诺的带宽是否达到需求，运营商需要提供相关的时延、抖动、丢包率等相关的统计参数，以及时了解网络的性能状况。传统的网络性能分析方法（如Ping、Tracert等）已经不能满足用户对业务多样性和监测实时性的要求。NQA可以实现对网络运行状况的准确测试，输出统计信息。NQA可以监测网络上运行的多种协议的性能，使网络运营商能够实时采集到各种网络运行指标，例如：HTTP的总时延、TCP连接时延、DNS解析时延、文件传输速率、FTP连接时延、DNS解析错误率等。通过对这些指标进行控制，网络运营商可以为用户提供不同等级的网络服务。同时，NQA也是网络故障诊断和定位的有效工具。

静态路由与NQA联动 静态路由本身并没有检测机制，如果非本机直连链路发生了故障，静态路由不会自动从IP路由表中自动删除，需要网络管理员介入，这就无法保证及时进行链路切换，可能造成较长时间的业务中断。 使用静态路由模式创建VPN连接时，为了避免出现以上问题，需要使用NQA来检测静态路由所在的链路，确保VPN连接稳定性。使能NQA时需要确保对端网关设备支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则可能导致流量不通。 静态路由模式的VPN连接的使能NQA探测失败会撤销路由，需要对端网关放通从VPN连接本端隧道接口地址到对端隧道接口地址的ICMP协议流量。 VPN连接的健康检查的NQA探测仅上报 CES ，失败无影响，需要对端网关放通从VPN网关公网IP到对端网关的公网IP的ICMP协议流量。

NQA工作原理 图1 NQA客户端对NQA服务器端进行测试 在NQA测试中，将发起NQA测试的源端称为NQA客户端，测试的目的端称为NQA服务器端。为使NQA客户端能够发起NQA测试，用户需要在NQA客户端中创建各类型的测试实例，构造符合相应协议的报文并打上时间戳，再发送至服务器端。 NQA服务器负责处理NQA客户端发来的测试报文，通过侦听指定IP地址和端口号的报文对客户端发起的测试进行响应。客户端根据发送和接收报文来计算各项性能指标，如连通性、时延、丢包率等。

NQA测试例处理机制 ICMP测试是通过发送ICMP报文来判断目的地的可达性、计算网络响应时间及丢包率。 源端向目的端发送构造的ICMP Echo Request报文。目的端收到报文后，直接回应ICMP Echo Reply报文给源端。 源端收到报文后，通过计算源端接收时间和源端发送时间之差，计算出源端到目的端的通信时间，从而清晰的反映出网络性能及网络畅通情况。 NQA探测周期为10s，探测频率为10s内发3个ping请求。

建立IPsec VPN连接需要账户名和密码吗？ 常见的使用账户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP，IPsec VPN使用预共享密钥方式进行认证，密钥配置在VPN网关上，在VPN协商完成后即建立通道，VPN网关所保护的主机在进行通信时无需输入账户名和密码。 IPsec XAUTH技术是IPsec VPN的扩展技术，它在VPN协商过程中可以强制接入用户输入账户名和密码。 目前VPN不支持该扩展技术。 父主题： 账号权限

一个用户下支持多少个IPsec VPN？ 每个用户缺省可创建50个VPN网关和100个对端网关；每个VPN网关缺省可创建100个连接组。其中，VPN网关不同EIP对接到对端网关的同一个公网IP占用1个VPN连接组配额；VPN网关不同EIP对接到对端网关的不同公网IP或多个对端网关的公网IP占用2个VPN连接组配额。 请在购买VPN网关前确认您可用的配额，如果选购信息超出可用配额可提交工单申请扩容。 父主题： 配额类

创建VPN网关和连接的缺省配额是多少？ 每个用户缺省可创建50个VPN网关和100个对端网关；每个VPN网关缺省可创建100个连接组。其中，VPN网关不同EIP对接到对端网关的同一个公网IP占用1个VPN连接组配额；VPN网关不同EIP对接到对端网关的不同公网IP或多个对端网关的公网IP占用2个VPN连接组配额。 请在购买VPN网关前确认您可用的配额，如果选购信息超出可用配额可提交工单申请扩容。 父主题： 配额类

如何测试VPN速率情况？ 假设测试环境VPN连接已经创建，在VPN连接两端VPC的本端子网下分别创建ECS，并使两个VPC之间的ECS相互能够ping通的情况下，测试VPN的速率情况。 当用户购买的VPN网关的带宽为200Mbit/s时，测试情况如下。 互为对端的ECS都使用Windows系统，测试速率可达180Mbit/s，使用iperf3和filezilla（是一款支持ftp的文件传输工具）测试均满足带宽要求。 基于TCP的FTP协议有拥塞控制机制，180Mbit/s为平均速率，且IPsec协议会增加新的IP头，因此10%左右的速率误差在网络领域是正常现象。 使用iperf3客户端测试结果截图如图1所示。 图1 200M带宽客户端iperf3测试结果 使用iperf3服务器端测试结果截图如图2所示。 图2 200M带宽服务端iperf3测试结果 互为对端的ECS都使用Centos7系统，测试速率可达180M，使用iperf3测试满足带宽要求。 服务器端ECS使用Centos7系统，客户端使用Windows系统，测试速率只有20M左右，使用iperf3和filezilla测试均不能满足带宽要求。 原因在于Windows和Linux对TCP的实现不一致，导致速率慢。所以对端ECS使用不同的系统时，无法满足带宽要求。 使用iperf3测试结果截图如图3所示。 图3 互为对端的ECS系统不同时iperf3测试结果 假设用户购买的VPN网关的带宽为1000Mbit/s。 部分区域默认仅支持300M带宽。如果需要更大带宽，您可以先申请300M带宽，然后提交工单进行带宽扩容。 用户购买的VPN网关为网关的整体吞吐能力，即该VPN网关下所有VPN连接的带宽之和。在大带宽场景下，由于主机的转发性能限制，需要使用多台主机构建多条流量才能充分利用网关的带宽。这种场景下对ECS的配置要求也很高，建议ECS的网卡支持2G以上的带宽。具体ECS的规格可参见ECS规格。 测试总结：综上测试结果，云网关能够满足带宽速率要求，但是建议两端主机使用相同的操作系统，并且网卡要达到配置要求。 父主题： 带宽与网速

VPN监控可以监控哪些内容？ VPN网关 可以监控网关IP的带宽信息，包含入网流量、入网带宽、出网流量、出网带宽及出网带宽使用率。 查询VPN网关监控状态，请在VPN网关“网关IP”列中单击EIP后面的进行查看。 VPN连接 可以监控连接的状态信息，包括VPN连接状态、链路往返平均时延、链路往返最大时延、链路丢包率、隧道往返平均时延、隧道往返最大时延、隧道丢包率。 其中，链路往返平均时延、链路往返最大时延、链路丢包率、隧道往返平均时延、隧道往返最大时延、隧道丢包率需要单击VPN连接，在“基本信息”页签通过添加健康检查项进行添加；私网相关指标仅VPN连接使用静态路由模式，且开启NQA检测机制场景下支持配置。 查询VPN连接监控状态，请在VPN连接“监控”列中单击进行查看。 父主题： 监控类

如何防止VPN连接出现中断情况？ VPN连接在正常的使用过程中会存在重协商情况，触发重协商的条件有IPsec SA的生命周期即将到期和VPN传输的流量超过20GB，重协商一般不造成连接中断。 大多数的连接中断都是因为两端的配置信息错误造成的，或公网异常导致重协商失败造成的。 常见的连接中断原因有： 两端的ACL不匹配。 SA生命周期不匹配。 用户侧数据中心未配置DPD。 VPN使用过程中修改了配置信息。 运营商网络抖动。 因此请在配置VPN时确保操作和配置，以进行连接状态保活： 两端的子网配置互为镜像。 SA生命周期信息一致。 用户侧数据中心网关开启DPD配置，探测次数不少于3次。 连接过程中修改参数两侧同步修改。 设置用户侧数据中心设备TCP MAX-MSS为1300。 确保用户侧数据中心出口有足够的带宽可被VPN使用。 确认VPN连接可被两端触发协商，开启用户侧数据中心设备的主动协商配置。 父主题： VPN连接保活

如何配置和修改云上VPN的感兴趣流？ 感兴趣流由本端子网与对端子网full-mesh生成，例如本端子网有2个，分别为A与B，对端子网有3个，分别为C、D和E，生成感兴趣流时ACL的rule如下： rule 1 permit ip source A destination C rule 2 permit ip source A destination D rule 3 permit ip source A destination E rule 4 permit ip source B destination C rule 5 permit ip source B destination D rule 6 permit ip source B destination E 在管理控制台界面修改本端子网和对端子网会自动更新感兴趣流信息，即修改了云上的ACL配置。 父主题： VPN感兴趣流

创建VPN网关时IP是如何分配的？ VPN网关IP是一组提前规划好的地址组，提前预置了VPN的相关配置。 在用户创建VPN网关时，系统会随机分配一个IP地址和VPC进行绑定，且这个IP地址也只能绑定1个VPC。 因为VPN的网关IP存在预置数据，在创建VPN网关时也不能指定IP地址。删除VPN网关时会释放IP地址与VPC的绑定关系；重新创建VPN网关时系统会重新随机分配网关IP地址。 父主题： VPN子网设置

配置VPN连接的本端子网和对端子网时需要注意什么？ 子网数量满足规格限制，数量超出规格限制请进行聚合汇总。 每个VPN网关配置的本地子网数量：50。 每个VPN连接支持配置的对端子网个数：50。 本端子网不可以包含对端子网，对端子网可以包含本端子网。 推荐配置的本端子网在VPC内有路由可达。 同一个VPN网关创建两条连接：若这两条连接的对端子网存在包含关系，在访问的目的网络处于交集网段部分时，按照创建连接的先后顺序匹配VPN连接，且与连接状态无关（策略模式不能按照掩码长度进行匹配）。 父主题： VPN子网设置

VPN是否启动了DPD检测机制？ 是的。 VPN服务默认开启了DPD探测机制，用于探测用户侧数据中心IKE进程的存活状态。 3次探测失败后即认为用户侧数据中心IKE异常，此时云会删除本端隧道，以保持双方的隧道同步。 DPD协议本身并不要求对端也同步进行配置（但是要求对端可以应答DPD探测），为了保证协商双方隧道状态一致，避免出现单边隧道（一端存在隧道，而另一端已不存在），建议用户同时启动用户侧网关的DPD探测机制，用于探测云侧VPN服务的IKE状态。 DPD探测失败后会删除隧道，不会导致业务不稳定。 DPD可以及时发现对方IKE进程异常，并通过重置隧道的方法来保持双方隧道同步。在删除隧道后，当有用户流量时，可以重新触发协商并建立隧道。 父主题： 连接故障或无法PING通