如何选择VPN连接的数量？

IPsec VPN连接的数量通常与用户本地数据中心的数量有关，每条IPsec VPN连接可以打通当前云上资源与企业的一个数据中心网络。请用户在购买包周期VPN网关时，根据规划连通的数据中心数量选择合适的IPsec VPN连接数。

SSL VPN连接数量与配置的客户端数量有关，每个SSL VPN连接数可以允许一个客户端接入访问云上资源。考虑到同时在线的客户端数量小于已配置的客户端数量，SSL VPN连接数可以小于配置的客户端数量。请用户在购买时候根据规划选择合适的SSL VPN连接数。

VPN网关是否可以自动建立连接？

触发IPsec连接建立的方式有两种，一种是“立即协商”，即通过建立IPsec VPN连接的网关设备之间自动触发协商；另一种是“流量触发”，即通过云上云下主机间的交互流量触发。

VPN网关在完成两侧配置后，如果协商生效选择了“立即协商”，则会自动触发建立连接；如果协商生效选择了“流量触发”，则不会自行建立连接，需要由两侧主机间的数据流来触发协商。如果云上与用户侧数据中心没有交互数据流，IPsec VPN的连接状态会一直处于“第一阶段协商未成功”状态。所谓的数据流，可以是真实的业务访问数据，也可以是主机间ping测数据。

推荐您在首次建立连接时，分别验证两侧的交互数据流均可触发建立连接。即用户侧数据中心主机ping云上主机可触发连接建立，然后断开连接，确认云上主机ping用户侧数据中心主机亦可触发连接建立。ping包的源地址、目的地址需要处于IPsec VPN保护的范围内。在创建IPsec连接之后，用户侧VPN网关才能ping通云上VPN网关，但是ping网关IP并不能触发VPN连接的建立。

VPN网关删除后公网IP是否可以保留？

VPN网关删除后不保留网关IP地址。通过控制台界面删除VPN网关后， VPN网关相关联的资源，如公网IP、配置信息即被释放，不会保留。

因为VPN网关和公网IP是相关联的资源，一旦VPN网关被删除，其相关联的公网IP也会被释放。这个过程是自动进行的，以确保资源的有效利用和管理。在某些情况下，如果VPN网关删除后仍然保留了公网IP，可能会导致潜在的安全风险和配置问题。

因此，一般来说，当删除VPN网关时，相关联的公网IP也会被一并释放。

自己创建的弹性公网IP能作为VPN网关的IP地址吗？

不可以。弹性公网IP是一种独立的公网IP地址，可以与云服务器进行绑定和解绑，实现IP地址的动态管理。但是，弹性公网IP不具备对接VPN网关服务的功能，不能直接用作VPN网关的IP地址。

VPN网关是一种用于建立加密通道的设备，用于连接内网和外网。在创建VPN网关时，系统会分配一个特定的IP地址作为VPN网关的地址。这个IP地址是专门用于连接VPN网关的，不能随意更改。

通过VPN互访的云主机需要购买弹性公网IP吗？

一般是不需要购买弹性公网IP的，因为VPN连接是在网络层上进行的，它可以在云主机和本地主机之间建立安全的加密通道，使得它们可以相互通信。如果您的云主机仅需要通过VPN连接与其他VPC的云主机或本地主机进行互访，那么您不需要购买弹性公网IP。

然而，如果您的云主机需要向公网用户提供服务，比如通过互联网访问您的网站或应用程序，那么您需要购买弹性公网IP。弹性公网IP可以让您的云主机具有一个独立的公网IP地址，使得用户可以通过这个IP地址访问您的服务。这样可以让您的服务更具有可访问性和可用性。

本地站点通过IPsec VPN接入VPC的前提条件是什么？

• 本地站点的网关设备必须至少支持IKEv1和IKEv2协议中的一种。
• 本地站点的网关设备必须配置静态公网IP地址。
• 本地站点和VPC之间需要互通的网段没有重叠。

跨地域VPC是否可以通过VPN网关互通？

主备模式资源池：同地域不同VPC可以通过VPN网关互通。

集群模式资源池：同地域不同VPC不可以通过VPN网关互通。

VPC之间的互通流量是否经过互联网？

在使用VPN网关实现VPC与VPC互通的场景下：

• 如果两个VPC位于不同的地域，则流量会经过互联网。
• 如果两个VPC位于相同的地域，则流量不会经过互联网。

是否可以升级或降低VPN网关的配置？

• 目前仅支持升级VPN网关的配置，暂不支持降级。
• 如果您需要立即升级VPN网关的带宽规格，请参见创建和管理VPN网关实例。
• 如果您需要立即升级VPN网关的SSL连接数规格，请参见修改SSL并发连接数。
• 如果您需要开启VPN网关的IPsec VPN功能或SSL VPN功能，请参见开启IPsec VPN和SSL VPN。

VPN网关支持查看SSL VPN连接下客户端的连接信息吗？

支持。客户端建立SSL VPN连接后，您可以在SSL客户端页面查看已连接的客户端信息。

1. 登录控制中心。
2. 单击控制中心左上角的，选择VPN网关实例所在地域。
3. 在网络产品中选择“VPN连接”，进入VPN连接页面。
4. 在左侧网络控制台，选择“SSL VPN”，进入SSL VPN列表页面。
5. 在SSL VPN页面，单击“SSL客户端”。
6. 在SSL客户端页面，找到目标SSL客户端，可以查看SSL客户端的连接信息。

配置IPsec VPN连接时，如何选择IKE版本？

在配置IPsec VPN连接时，IKE（Internet Key Exchange）是用于在IPsec连接中建立安全联盟SA的协议，选择合适的IKE版本非常重要。

首先，您需要了解对端网关设备支持的IKE版本。一般来说，较新的设备通常支持IKEv2版本或同时支持IKEv1和IKEv2，IKEv2通常具有更好的安全性，如果对端设备支持IKEv2，您应该优先考虑使用IKEv2。然而，并非所有设备都支持IKEv2，选择双方都支持的IKE版本是最理想的。

因此，您需要确定对端设备支持的IKE版本，并考虑安全性和性能因素，以确保建立的IPsec连接能够正常运行并保护您的数据安全。

在VPN网关实例下添加路由时系统提示路由重复等报错时怎么办？

在VPN网关实例下添加路由时系统报错，可能原因如下：

• 您添加的路由与VPN网关实例下的路由冲突，请排查VPN网关实例策略路由表、目的路由表下的路由配置，解决路由冲突问题。
• 如果您添加的是目的路由，且目的路由的目标网段和下一跳与VPN网关实例下已有的目的路由的目标网段和下一跳相同，则会产生路由冲突。
• 如果您添加的是策略路由，且策略路由的源网段、目标网段、下一跳与VPN网关实例下已有的策略路由的源网段、目标网段、下一跳相同，则会产生路由冲突。