* [同一VPC下可创建几个VPN网关？](#同一VPC下可创建几个VPN网关？) * [一个VPN网关是否可以建立多个IPsec连接？](#一个VPN网关是否可以建立多个IPsec连接？) * [使用VPN连接是否需要额外购买公网IP？](#使用VPN连接是否需要额外购买公网IP？) * [删除VPN网关后系统分配的出口IP是否保留？](#删除VPN网关后系统分配的出口IP是否保留？) * [VPC与VPN网关有什么关系？](#VPC与VPN网关有什么关系？) * [VPN连接如何规划VPC的网络地址？](#VPN连接如何规划VPC的网络地址？) * [VPN网关路由与其他路由的优先级是什么？](#VPN网关路由与其他路由的优先级是什么？) * [一个VPN网关可以添加多条路由么？](#可以添加多条VPN网关路由么？) * [本端VPN网关路由和对端网关路由是否可以Overlap？](#本端VPN网关路由和对端网关路由是否可以Overlap？) * [为什么实测流量小于VPN网关的带宽规格？](#为什么实测流量小于VPN网关的带宽规格？) * [包年包月VPN网关到期关停后再续费，IPsec连接是否会自动重连？](#包年包月VPN网关到期关停后再续费，IPsec连接是否会自动重连？) * [不同版本VPN网关支持的新功能有哪些？](#不同版本VPN网关支持的新功能有哪些？) * [为什么配置的VPN网关路由未下发至所属VPC路由表？](#为什么配置的VPN网关路由未下发至所属VPC的全部路由表?) * [如何查看VPN网关的出口IP地址？](#如何查看VPN网关的出口IP地址？) * [为什么VPN网关带宽超限没有触发已配置的带宽监控告警？](#为什么VPN网关带宽超限没有触发已配置的带宽监控告警？) ## 同一VPC下可创建几个VPN网关？同一VPC支持创建的VPN网关数量受配额项「单个账号单个地域下可创建VPN网关的数量」限制。默认情况下，如果目标账号中只有一个VPC，则该VPC下最多可创建5个VPN网关。 ## 一个VPN网关是否可以建立多个IPsec连接？可以。一个VPN网关最多可建立10个IPsec连接。 ## 使用VPN连接是否需要额外购买公网IP？不需要。使用VPN连接时，在VPN网关创建完成后，系统会自动为该VPN网关分配一个公网IP作为该VPN网关的出口IP，因此您无需额外购买公网IP资源。 ## 删除VPN网关后系统分配的出口IP是否保留？不保留。该出口IP是创建VPN网关时系统自动分配的一个公网IP地址，生命周期跟随VPN网关。您删除VPN网关后，VPN网关关联的资源，相关配置信息将全部被释放。 ## VPC与VPN网关有什么关系？ VPN网关部署在VPC上，用于连接VPC内的所有资源。 ## VPN连接如何规划VPC的网络地址？当您使用VPN连接功能，建立本地数据中心与云上VPC的连接时，需注意本地数据中心的网段与VPN网关所在的VPC网段不能存在重叠或完全一致。 ## VPN网关路由与其他路由的优先级是什么？ * VPN网关路由条目与其他路由条目，仅根据目的地址掩码区分优先级，掩码越大，优先级越高。 * 当路由表中存在下一跳类型相同的自定义路由条目，目标网段重叠时，流量将按照掩码最大的路由条目转发。 ## 一个VPN网关可以添加多条路由么？可以。一个VPN网关最多支持创建20条路由条目。 ## 本端VPN网关路由和对端网关路由是否可以Overlap？不可以。在使用VPN连接连通VPC与本地IDC/其他VPC之间网络的场景下，配置VPN网关路由时，把VPN网关路由网段与本地IDC/其他VPC的私网网段Overlap，会在VPN网关侧形成路由回环，导致在火山引擎VPN网关侧发布的路由直接回到火山引擎VPN网关，进而导致VPN连接两端网络不通。例如：VPN网关网段为`10.0.1.0/24`，本地IDC/其他VPC私网网段为`10.0.2.0/24`、`10.0.3.0/24`，不可直接在VPN网关路由中配置一个包含`10.0.1.0/24`、`10.0.2.0/24`、`10.0.3.0/24`的大网段，如`10.0.0.0/8`。您应在VPN网关侧配置下一跳为IPsec连接且IPsec连接的对端网段为`10.0.2.0/24`、`10.0.3.0/24`的路由条目。 ## 为什么实测流量小于VPN网关的带宽规格？在使用VPN连接时，当实际传输的业务数据流量远超于VPN网关的带宽规格，造成业务数据报文的序列号顺序与正常顺序差别较大，这种情况会被抗重放检测认为报文重放而主动丢弃部分数据报文，导致实测流量小于VPN网关的带宽规格。 ## 包年包月VPN网关到期关停后再续费，IPsec连接是否会自动重连？不会。因VPN网关到期关停导致断开IPsec连接，在VPN网关续费后，请参考如下操作重连IPsec连接。 * **方法一** 从对端（本地IDC、其他VPC）主动发起IKE SA和IPsec SA，然后执行`Ping`命令访问云上VPC或者有数据通过时，IPsec隧道被触发重新建立连接。 * **方法二** 1. 登录进入[IPsec连接](https://console.volcengine.com/vpn/vpnConnect)页面。 2. 在IPsec连接列表中查找到续费VPN网关关联的IPsec连接，单击右侧的**修改**按钮，进入编辑页面。 3. 无需修改任何信息，单击**确定**按钮。 4. 待执行`Ping`命令访问云上VPC或者有数据通过时，IPsec隧道被触发重新建立连接。 ## 不同版本VPN网关支持的新功能有哪些？不同版本VPN网关支持的功能不同，各版本支持的新功能请参见[最新动态](https://www.volcengine.com/docs/6455/70535)。 :::tip 未升级的旧版本不支持后续版本所支持的功能，如需使用新功能，请升级VPN网关至最新版本，具体操作请参见[升级VPN网关](https://www.volcengine.com/docs/6455/148267)。 ::: ## 为什么配置的VPN网关路由未下发至所属VPC的全部路由表? * **问题原因** 在VPN网关上添加的路由条目，仅会下发至**VPN网关所属VPC的系统路由表**，不会下发至VPN网关所属VPC的自定义路由表，因此VPN网关所属VPC中如果存在自定义路由表，关联了该自定义路由表的子网的流量无法转发至VPN网关。 * **解决方案** 如果关联了自定义路由表的子网的流量需要转发至VPN网关，您可在自定义路由表中手动添加一条目的地址为对端网段（本地IDC、其他VPC）、下一跳为VPN网关的路由条目，把子网流量转发至VPN网关，具体操作请参考[添加路由条目](https://www.volcengine.com/docs/6401/68874)。 ## 如何查看VPN网关的出口IP地址？ VPN网关创建成功后，系统会自动分配一个公网IP地址作为VPN网关的出口IP，您可在火山引擎VPN网关控制台查看出口IP信息。 **获取方法** 1. 登录VPN网关控制台，在顶部导航栏，选择目标VPN网关所在地域和项目。 2. 在VPN网关列表中，目标VPN网关**IP地址**列展示的即为VPN网关的出口IP。 ## 为什么VPN网关带宽超限没有触发已配置的带宽监控告警？可能是因为VPN网关带宽规格的限速对象是封装后的加密报文的流量，而实际配置的带宽监控告警指标采集的是VPN网关出、入方向IPsec流量的加和，是封装前原始报文的流量，导致当实际出、入VPN网关的流量超出VPN网关的带宽上限时，没有触发云监控的监控告警。为避免此问题，建议您在云监控平台配置告警策略监控VPN网关指标时，触发条件请选择含报文封装开销的监控指标，如：VPN网关出网带宽使用率、VPN网关入网带宽使用率等。