cid:link_0

1 注意事项1.1 注意AWS侧的子网配置AWS侧的本地IPv4网络CIDR需要填下华为侧子网，远程IPv4网络CIDR才是填写的AWS侧子网；这个配置很容易配反。配反了之后现象是：连接协商失败。1.2 注意AWS上的静态ip前缀配置亚马逊AWS默认将网段中较小的IP地址留给自己，故需要根据此处的IP地址反向设置华为云VPN连接的接口地址，且两边的配置需要互为镜像。2 创建vpc和网关2.1 华为云创建VPC在华为云北京四区上创建一个VPC，设置vpc网段，如下图：2.2华为云创建ECS在该vpc上创建ecs一台，ecs私有地址：192.168.0.198.2.3华为云创建专业版VPN网关在vpc中创建vpn网关，绑定主备EIP2.4查看VPC路由，到AWSVPC路由正确（自动生成）3AWS云前置公共配置3.1AWS创建VPC和子网AWS云控制台，新建VPC，注意生成的2个子网，一个public一个private，是有区别的。3.2AWS创建EC2创建用于测试联通性的ec2。注意1、aws的ec2如果要通过弹性ipssh登录，必须对应的网卡加入到public的子网。用于测试vpn连通性的网卡加入private的子网中。2、关闭ec2的源/目的检查3、注意ec2安全组的修改放通ICMP和SSH。4、ec2镜像选择，选择AmazonLinux 2AMI（HVM）- Kernel 5.10，SSDvolumeType3.3AWS云侧检查和配置路由检查VPC路由，进入EC2连接private子网的路由，为华为侧VPC添加到AWSVPN网关的路由。（如果是在主VPC路由表中配置的路由，则要在主路由表中关联子网）3.4创建AWS虚拟私有网关输入虚拟私有网关名字和ASN，创建后，需要将虚拟私有网关附加到VPC3.5AWS创建客户网关根据华为VPN的ASN，根据这主备EIP分别创建2个客户网关4VPN双活网关与AWS静态路由模对接4.1组网4.2AWS创建站点到站点静态路由的VPN连接输入VPN连接的名称后，虚拟私有网关客户网关都选择现有，第一个连接，选择前面创建的华为VPN主EIP的客户网关，第二个连接创建选择前面创建的华为VPN备EIP的客户网关。测试静态路由连接参数对接，只创建连接1即可。路由选项：静态静态IP前缀：华为VPN的业务VPC网段本地 IPv4网络 CIDR：华为VPN的业务VPC网段，默认0.0.0.0/0远程 IPv4网络 CIDR：AWSVPN的业务VPC网段，默认0.0.0.0/0隧道选项-内部CIDR：由于亚马逊云与华为云分配方式的不通。由Amazon生成即可，华为云测创建连接后，需要反过来修改这个CIDR的网段参数。或者按照华为云的分配方式先进行配置。保证相同的链接CIDR两端一致。隧道选项-预共享密钥：根据需要配置，和华为侧要配置的保持一致，注意AWS的共享密钥和华为云的共享密钥支持的字符有区别隧道协商选项：需要与华为侧保持一致，可以创建时指定，也可以先保持默认创建后修改。4.3华为云创建客户网关华为云客户网关需要创建4个，分别对应AWSVPN2个连接的4个Tunnel公网IP地址4.4华为云创建VPN连接华为云需要针对4个客户网关创建4个VPN连接，策略配置可以默认。本次测试基本互通，其实创建连接1和连接3即可。后续测试注意操作连接1和连接3。4.5连接状态检查4.5.1检查华为云VPN连接状态4.5.2检查AWSVPN 2个连接的4个Tunnel状态查看AWS上Tunnel的策略配置如下，算法、IKE、DH的类型是同时支持的。4.6检查华为云侧ECS和AWS云侧EC2的VPC连通性从AWS云侧EC2 ping华为云侧ECS从华为云侧ECS pingAWS云侧EC2

零、注意事项1、流量生命周期腾讯云二阶段基于流量的生命周期默认为1.8G（1843200KB），如果业务流量较大，需要适当调大流量的生命周期，避免由于频繁的流量老化导致丢包。2、连接模式腾讯云-目的路由模式对应华为云-静态路由模式腾讯云-SPD策略模式对应华为云-策略模式腾讯云VPN不支持BGP路由模式连接3、双连接场景双连接场景对接VPC时只支持人字形组网（华为云两个网关对接腾讯云一个网关），不支持口字型组网，因为腾讯云VPC不支持相同的路由前缀路由配置。双连接场景需要使用路由模式，且腾讯云健康检查必须配置，否则腾讯云连接故障后流量无法切换。一、策略模式对接1.1、组网1.2、华为侧配置创建本端网关：创建对端网关：选择腾讯侧创建的公网ip创建连接，选择策略模式，配置对端子网和策略规则策略配置1.3、腾讯侧配置1.3.1 创建VPC，设置VPC网段1.3.2 创建VPN网关进入vpn网关界面，创建vpn网关，选择带宽上限，关联网络：私有网络，选择刚建好的vpc，计费方式为按流量计费，得到新的vpn网关.1.3.3 创建对端网关进入腾讯云对端网关界面，新建对端网关，公网IP为华为云vpn网关的主eip1.3.4 新建VPN通道进入腾讯云vpn通道界面，新建vpn通道；VPN网关类型：私有网络。私有网络选择上面创建的vpc，网关/对端网关：选择上面创建的网关；配置预共享密钥；协商类型：主动协商。选择SPD策略，填写本端对端网段。设置IKE和IPsec配置如下所示：1.3.5 配置路由华为云VPC内会自动生成到VPN网关的路由，腾讯需要在VPC内手动新增一条到华为云私网的路由1.4、验证腾讯侧连接显示正常华为侧连接显示正常流量测试：在华为侧和腾讯侧对应vpc上各买一个ECS云服务器，进行ping测试二、路由模式对接腾讯云 - 双连接场景2.1、组网ipsec参数2.2、华为侧配置创建VPN网关创建对端网关创建VPN连接：使用静态路由模式如果是单连接场景，则不使能NQA 探测，也不用配置隧道接口地址。但是双连接场景，为了实现腾讯侧流量的自动切换，因此必须配置两端镜像配置隧道接口地址，华为侧开启使能NQA可以更快进行流量的切换。2.3、腾讯侧配置创建私有网络及子网在VPC内购买1个IPsecVPN网关创建对端网关创建VPN通道，通信模式选择目的路由腾讯VPN网关创建通道到华为云VPN的主EIP和主EIP2，健康检查的本地地址和对端地址即华为云侧配置的对端隧道接口地址和本端隧道接口地址。健康检查必须配置，否则腾讯云连接故障后流量无法切换。VPC路由表内新增路由策略，下一跳分别为VPN网关VPN网关路由表配置到华为VPC的路由，下一跳为VPN通道，可配置相同权重，形成ECMP2.4、验证2.4.1 华为云华为云连接状态连接健康检查状态华为云VPC里的路由2.4.2 腾讯云腾讯云连接状态腾讯云监控2.4.3 流量测试ping测试：传文件测试

1 思科路由器版本C2900 v15.72 对接配置1：ikev2 策略绑定GigabitEthernet接口 云上VPN专业版使用策略模式对接。show running-config 查看当前配置configure terminal 进入配置视图2.1 IKE配置 加密算法： AES256认证算法： SHA1DH算法： group2crypto ikev2 proposal huawei_ikev2  encryption aes-cbc-256  integrity shal  group 2crypto ikev2 policy 10  proposal huawei ikev2对端地址： 华为云VPN网关IP预共享秘钥 xxx对端ID： 华为云VPN网关IP本端ID： 思科VPN网关IP2.2 IPsec配置 加密算法： AES128认证算法： SHA1封装模式： 隧道模式crypto ipsec transform-set ipsecpro esp-aes esp-sha-hmac  mode tunnel2.3 ACL配置华为侧子网：10.37.0.0/25思科侧子网：172.16.201.0/24show access-list 查看2.4 策略配置map PFS group2ACL： 1002.5 接口配置 crypto map ipsecpolicy2.6 静态路由 对端子网： 10.37.0.0/25第一条是默认路由第二条路由将到云上子网的流量引到出口网关IP注意：如果存在相同目的和掩码的路由，思科路由器会哈希处理，需清理重复路由。可show ip route查看。3    对接配置2：ikev2策略绑定Tunnel接口  云上VPN专业版使用路由模式对接。3.1   IKE配置   同2.1。3.2   IPsec配置   同2.2。3.3   策略配置ipsec profile   不配置ACL。3.4   接口配置   Tunnel口地址：169.254.78.170 —— VPN专业版查到的对端隧道地址，用于NQA探测隧道源： GigabitEthernet0/2——该接口绑定了公网IP隧道类型： ipsec ipv4 —— Tunnel接口的用途隧道目的： 云上公网IP地址tunnel protection ipsec profile 10 —— 隧道保护的ipsec profile3.5   静态路由第一条默认路由第二条将VPN保护流量引入Tunnel口，下一跳需要是云上的本端隧道接口地址云上子网：192.168.0.0/16注意：思科侧的子网在云上对应配置：4    常用命令show crypto ikev2 sa 查看ike sa协商状态，根据信息的源目的ip，确认当前正在协商两个ike sashow crypto ipsec sa 查看ipsec sa收发包情况和一些丢包计数，pkts encaps和pkts decaps分别为ipsec隧道的加解密包计数；send error和recv error为收发包异常计数，如果不为0，需要排查确认异常原因；

cid:link_0

cid:link_0

cid:link_0

山石配置1、安全策略建议先使用全放通，待VPN调通后再根据需要配置安全策略；如果需要做安全策略的限制，可以只放通两端VPN公网IP，以及需要连通的两端子网网段；2、IPSEC VPN，两条VPN的配置除了对端地址不同外，其他配置完全一样Hillstone连接华为VPN主EIP的链接配置如下，对接华为VPN路由模式，代理ID可以选择自动，或者选择手工（手工时填写全0，any）IPSECVPN中主备的对端配置：提议1：提议2：3、创建安全域4、Tunnel创建加入创建的安全域IP地址为华为VPN连接的Tunnel地址分别绑定到主备IPsec VPN5、山石目的路由配置添加2条到华为VPC私网的静态路由，下一跳分别为Tunnel1和Tunnel2，优先权相同则都会活跃并负载分担。Tunnel2的优先权调整后可以实现主备功能，调高Tunnel2优先权为2后该条路由不活跃，只有Tunnel1故障后才会活跃。添加一条Hillston VPC私网的路由，下一跳为网关的接口地址。否则在双连接的场景下，从云上ping Hillstone的私网地址，只能ping和Hillstone网关接口地址相同的子网地址，其他子网地址会出现环路ping超时。6、山石VPC的云上路由配置华为配置：1、网关配置2、连接配置，主备连接除了使用的VPN网关主备EIP不同外，其他配置相同主备切换说明，修改华为侧主连接ikev1到ikev2，触发重新协商故障1、在主备连接都是OK的时候，华为侧VPN默认走主连接出云，主连接故障后自动从备连接出云。主恢复后，流量会回切2、在主备连接都是OK的时候，Hillstone根据Tunnel路由的优先级处理流量，Tunnel主备时如果主故障，主的路由变味不活跃，备的变为活跃，流量走备Tunnel出去。主恢复后，流量回切到主Tunnel。3、测试数据，Ping报文1秒1个主故障后，华为和山石切换到备链路时间基本一致，2-3秒。异常情况排查1 流量丢包 需要在山石设备上将内网网段加入攻击防护的白名单中2、路由模式对接后，发现双连接场景下，回切丢包时间过长     请排查路由模式下，山石Tunnel接口配置中高级配置，需要关闭逆向路由3、山石防火墙IPSecVPN配置中“接受对端任意代理ID”选项和代理ID列表配置参数说明A）：接受对端任意代理ID选项关闭，则代理ID列表的感兴趣流可以配置多组，与华为云VPN策略模式对接时，应该按照此场景配置，两端的感兴趣流必须镜像配置。B）：接受对端任意代理ID选项打开，则流量不受代理ID列表配置的感兴趣流的限制。另外打开选项时，代理ID列表手工配置感兴趣流只能配置1组。代理ID选择自动时，山石的SA感兴趣流为安全策略中配置的出入该隧道的网段。         山石策略模式与华为云VPN策略模式对接时，要避免打开接受对端任意代理ID选项，否则会出现部分子网流量不通。         山石策略模式与华为云VPN静态路由模式对接时，要打开接受对端任意代理ID选项。否则多子网场景协商失败。华为报flow mismatch，山石报Proxy id mismatch。

1 组网说明如果客户使用深信服硬件设备，可跳过3.1、3.2 vAF配置部分通过在华为云企业版VPN和华为云部署vAF防火墙之间建立VPN连接，实现region间的数据传输。企业版VPN信息：VPN网关EIP1：123.249.80.12 ，EIP2: 123.249.78.180，企业版VPN子网：192.168.1.0/24、192.168.2.0/24深信服vAF信息：VPN网关 119.3.191.196， vAF侧子网：172.16.1.0/24、172.16.2.0/24因为深信服vAF不支持路由模式，所以不能使用企业版VPN推荐的静态路由模式对接，使用企业版VPN连接的策略模式对接；因为深信服vAF不支持双连接，所以只建立1个VPN连接；如果使用深信服硬件设备，建议使用IKEv1的野蛮模式，开启NAT-T配置，详见3.3节2 华为云企业版VPN配置2.1 企业版VPN网关配置创建一个企业版VPN网关，选用双活模式。2.2 客户网关配置2.3 企业版VPN连接配置3 深信服vAF配置3.1 vAF镜像获取及部署参考文档：深信服多云安全平台（MCSP）云下一代防火墙vAF部署实施指导书.pdf1、注册和登陆深信服云安全能力中心https://mcsp.sangfor.com.cn/index.html#/2、进入多云安全平台的系统设置，新增云接入管理账户，将已有华为云账户信息录入。3、进入云安全能力中心的云下一代防火墙AF的详情页面，申请试用。4、试用申请提交通过审批后，应用中心能看到vAF的应用，通过应用部署vAF，并能对创建的vAF进行试用授权5、VPC及相关安全组设置、授权等，请参考vAF部署实施指导书。6、通过https://EIP，登陆vAF，默认用户名和密码admin/admin。版本8.0.35R1。3.2 vAF的IPsec VPN公共配置1、修改接口eth0的接口属性，设置为WAN口，归属区域L3trustA2、登录华为云VPC，给vAF的VPC添加到华为VPN的路由 3、进入IPSecVPN-DLAN运行状态，使能vAF的IPSecVPN能力 4、进入IPSecVPN-基本设置，设置IPSecVPN线路，IPSecVPN线路的公网IP和高级中的VPN接口地址，都设置为vAF虚机的弹性IP地址。 3.3 vAF的IPsec VPN配置 1、配置访问控制策略，放通vAF出防火墙的流量，配置SNAT2、配置IPsecVPN，进入IPSecVPN-第三方对接管理，新增第三方设备。注意相关参数要保持和对端一致。同时加密数据流务必是子网1v1配置。如果使用深信服硬件设备，需要改用IKEv1的野蛮模式，开启NAT-T配置，以下配置以IKEv2对接，NAT-T无法配置4 VPN连接状态检查华为侧vAF侧5 连通性测试

1 组网说明通过在华为云和数据中心（IDC）的USG防火墙（测试版本USG6655F V600R021C10SPC600）之间建立VPN连接，实现云上云下的数据传输。华为云信息：VPN网关EIP1：100.93.8.79 ，EIP2: 100.85.120.67，华为云子网：10.80.0.0/16IDC信息：USG防火墙公网IP 10.113.210.14，IDC子网：192.168.71.0/24、192.168.81.0/24备注：使用华为云企业版VPN的静态路由模式与USG建立VPN连接，USG需要使用CLI下发配置。2 华为云企业版VPN配置2.1 企业版VPN网关配置创建双活网关2.2 企业版VPN连接配置连接模式使用静态路由，连接配置使能NQA生成的对端隧道接口地址稍后需要配置在USG上3 USG防火墙配置3.1 VPN连接配置使用CLI下发以下配置Tunnel的ip address为华为云企业版VPN连接的“对端隧道接口地址”，掩码30位除了remote-id、local-id、ike peer的remote-address，Tunnel的ip address、source、destination，以及配置名称不同外，另一条连接的其它参数相同# IKE策略配置 ike proposal 1 encryption-algorithm aes-128 dh group15 authentication-algorithm sha2-256 authentication-method pre-share integrity-algorithm hmac-sha2-256 prf hmac-sha2-256 # ## IPSec策略配置，pr100.85.120.67为名称 ipsec proposal pr100.85.120.67 encapsulation-mode auto esp authentication-algorithm sha2-256 esp encryption-algorithm aes-128 # ## IKE Peer配置，ik100.85.120.67为名称 ike peer ik100.85.120.67 undo version 1 exchange-mode auto pre-shared-key ***** ike-proposal 2 remote-id-type ip remote-id 100.85.120.67 local-id 10.113.210.14 dpd type periodic remote-address 100.85.120.67 # ## IPSec profile配置，ipsec01为名称 ipsec profile ipsec01 ike-peer ike100.93.8.79 proposal prop100.93.8.79 pfs dh-group15 # ## Tunnel接口绑定profile interface Tunnel1 ip address 169.254.71.1 255.255.255.252 tunnel-protocol ipsec undo service-manage enable ipsec profile ipsec01 source 10.113.210.14 destination 100.93.8.79 #3.2 NQA配置nqa test-instance d_tunnel1 d_tunnel1 test-type icmp destination-address ipv4 169.254.71.2 source-address ipv4 169.254.71.1 ttl 255 frequency 15 start now # nqa test-instance d_tunnel2 d_tunnel2 test-type icmp destination-address ipv4 169.254.81.2 source-address ipv4 169.254.81.1 ttl 255 frequency 15 start now3.3 静态路由配置ip route-static 10.80.0.0 255.255.0.0 Tunnel1 preference 70 track nqa d_tunnel1 d_tunnel1 ip route-static 10.80.0.0 255.255.0.0 Tunnel2 preference 70 track nqa d_tunnel2 d_tunnel24 VPN连接状态检查4.1 华为侧VPC路由企业版VPN连接状态4.2 USG侧display ike sadisplay ipsec sa br 4.3 流量检查，互ping能通

1 组网说明通过在华为云和阿里云之间建立VPN连接，实现云间的数据传输。华为云信息：VPN网关EIP1：110.41.148.28 ，EIP2: 124.71.21.149，华为云子网：192.168.0.0/16阿里云信息：VPN网关 47.104.135.173， 阿里云子网：172.16.0.0/162 华为云VPN配置2.1 客户网关配置2.2 VPN连接配置连接模式选用静态路由模式由于阿里侧无法看到Tunnel接口地址及配置，华为云连接配置不能使能NQA 2.3 华为云测试用私网ECS3 阿里云VPN配置3.1 VPC及子网配置3.2 阿里侧测试用私网ECS3.3 VPN网关配置3.4 用户网关配置3.5 VPN连接配置主连接IPSec_conn_01配置，备连接IPSec_conn_02配置类似。区别为关联的用户网关及RemoteID参数。健康检查配置为两侧可互通的ECS私网地址，主备连接配置相同。3.6 路由配置VPN网关路由配置：进入VPN网关，在目的路由表添加到华为侧VPC的路由，下一跳分别选择创建的两条IPSec连接，并选择发布到VPC。路由配置主连接IPSec_conn_01权重100，备连接IPSec_conn_02权重0。 4 连接状态检查4.1 华为云VPN连接状态4.2 阿里云IPsec连接状态及健康检查状态健康检查默认主连接为正常状态，备为异常。

一、网关类型在创建VPN网关的时候，我们需要选择关联模式：虚拟私有云（VPC）或 企业路由器（ER），指定互联子网或者接入子网，，最后还需要选择HA模式是双活还是主备。下面我们分别来看对接VPC和对接ER场景下的流量情况。二、对接VPC2.1、互联子网客户选择了互联子网后，在创建VPN时会从互联子网所在的网段里，占用4个IP用来给VPN内部通信使用我们在VPC页面的弹性网卡界面，能看到这4个私网ip的具体地址：可以看到这4个ip分成了两组，绑定了两个实例，每组一个downlink口和一个uplink口。这两个实例可以理解为对应VPN的两个公网IP，在uplink口（上行口）我们也能看到其绑定的弹性公网ip。所以大致的流量：从ECS出来的流量，到达VPC后查询VPC内的路由表将流量送到对应的downlink口，然后走对应的uplink口，最后走网关的公网IP出去。2.2、路由与流量对接VPC的场景，路由在创建VPN连接之后就会在VPC的路由表内自动生成到线下私网地址的路由，可以看到路由的下一跳地址正是该连接对应网关的downlink口地址同时，由于VPC的路由表到同一网段的路由只能配置一条，无法配置等价路由：所以在对接VPC时，不管我们的网关类型是双活还是主备，在与线下同一地址建立了两条连接的场景，出云流量只会根据VPC内的路由走向一个网关，也就是说VPC场景无法实现流量的负载分担。注：这个路由在双活网关场景，是根据创建连接的先后顺序确定的：比如我先用EIP1和线下建立了连接，再使用EIP2与线下又建立了一条连接，这个时候VPC内的路由会指向EIP1对应的网关的downlink，如果我们想让流量走EIP2的VPN连接，可以在VPC内的路由表里手动修改路由的下一跳为EIP2的网关的downlink口地址。在主备网关场景，会优先指向主EIP的downlink。三、对接ER3.1、接入子网与上面的互联子网类似，不同的是对接ER时只会从我们选择的接入子网中占用2个ip；在接入VPC的辅助弹性网卡界面，我们能看到两个uplink口的地址，以及对应的网关IP。这个时候从ECS出来的流量会先从VPC送到ER，再根据ER里的策略选择对应的VPN送出，因此云上有两处路由需要注意。3.2 、路由与流量（1）从VPC 到ER的路由。首先，我们在需要在ER-》连接-》添加连接里关联上业务VPC（注意和接入VPC做好区分，虽然一般场景接入VPC就是业务VPC）。此时，如果勾选配置连接侧路由，就会在接入VPC内自动生成10.0.0.0/8，172.16.0.0/12，192.168.0.0/16这三个大段的默认路由，指向企业路由器一般不勾选，则需要我们手动将线下私网的网段添加到VPC内的路由表内，目的地址为VPN的远端子网地址，下一跳类型为企业路由器，下一跳选择ER。（2）ER-》VPN网关的路由网关创建完成后，会默认在ER里关联上VPN网关，不需要手动添加此时，我们在ER的路由表中能看到两条路由:一条是从ER到VPC的，目的地址是VPC的网段，这一条是关联VPC后自动生成。一条是从ER到VPN的，目的地址是VPN里配置的对端子网，注意：这条路由需要在VPN连接创建完成且连接建立成功后才会传递到ER，和直接对接VPC时有所区别。同时，在双活场景配置双连接之后，两条连接传播给ER的路由优先级相同，这样就可以实现流量负载；而主备场景，主网关给ER传播的路由优先级更高，因此流量会优先走主连接。此外，VPN最大规格1G，可以通过创建多个网关关联ER，来实现大带宽的需求场景；如下图，如果每个IP都是1G的规格，理论上可以支持4G的带宽场景四、总结1、流量对接VPC不支持流量负载，出云流量只会走一条连接，入云由客户侧决定是走一条还是两条。对接ER可以实现流量负载，存在多条连接时，由ER的负载策略决定流量走到哪条/哪几条连接。2、路由对接VPC时路由在连接创建完成后自动生成，无需手动添加。对接ER时，VPC路由需手动添加，ER内的路由在VPN连接创建且建立成功之后才会传播。

1、NQA探测是什么从本端的隧道接口地址一直向对端的隧道接口地址发送ping报文，如果收到对端的ping响应，则探测成功，否则探测失败。NQA探测通过ping对端隧道接口地址检测对端的状态，用于在创建了双连接的场景下，当对端设备异常异常导致主连接流量不通时，能通过NQA探测迅速识别到异常，实现自动将流量切到备连接上，减少业务中断风险。如果nqa探测失败，将会使云上网关上到对端私网的静态路由失效，此时连接状态显示正常，但是私网不通。所谓镜像配置，是指客户需要在对端网关设备上配置这个两个地址，与云上配置的这两个地址对应（云下的对端隧道地址为云上的本端隧道地址），且保证客户侧的隧道接口地址是能ping通的。确认方式：在console上查看VPN连接显示正常，但是点击 查看监控 可以发现隧道丢包率100%2、只有静态路由模式才会有nqa探测，nqa探测是绑定在静态路由上面的。3、动态BGP模式和策略模式在VPN连接配置时都没有nqa探测，但是需要注意，BGP模式也需要两边镜像配置配置隧道接口地址，并保证互通，不然bgp邻居无法建立。4、nqa探测主要的使用场景：华为云上双连接，通过nqa探测进行快速链路切换，减少业务中断时间 —— 未部署nqa时通过DPD探测进行链路切换。5、阿里云不支持nqa探测，原因是阿里云侧静态路由模式下无法获取tunnel口地址，导致华为云侧连接下tunnel口无法配置为镜像关系。6、AWS不支持nqa探测，原因是AWS侧的tunnel口不支持ping，本端ping对端tunnel口地址，ping不通。7、nqa探测在对接华为AR设备时效果较好。8、nqa探测是单向的。华为云上如果勾选了使能nqa探测，则一直是本端向对端发送ping报文，若收到对端响应，则本端nqa探测成功。类似地，对端设备也可以配置nqa探测，向本端发送ping报文，对端收到本端的响应，则对端nqa探测成功。9、路由模式下配nqa为什么tunnel口必须镜像配置：因为nqa探测是本端tunnel口地址去ping对端tunnel口地址，云上使能nqa探测时，会下发对端的tunnel口ip到云上数据面网关，只有tunnel口互为镜像，才能ping通对端。10、nqa探测周期为15s，探测频率为15s内ping3个包，若3个包都不通则判断探测失败，一般主备切换会在两个nqa探测周期内。

1 dpd配置参数含义华为云默认开启DPD配置，且不可关闭该配置。DPD配置信息如下：DPD-type：1. 按需型（On-demand）：当本端需要向对端发送IPSec报文时，如果当前距离最后一次收到对端的IPSec报文的时长已超过DPD空闲时间，则触发DPD检测，本端主动向对端发送DPD请求报文。2. 周期型（Periodic）：如果当前距离最后一次收到对端的IPSec报文或DPD请求报文的时长已超过DPD空闲时间，则本端主动向对端发送DPD请求报文。DPD idle-time：DPD 空闲时间DPD retransmit-interval：DPD 重传间隔DPD retry-limit：DPD 重试限制DPD msg：seq-hash-notify：DPD载荷顺序两端DPD的type、空闲时间、重传间隔、重传次数无需一致，只要能接收和回应华为云的DPD探测报文即可，DPD msg格式必须一致。2 经典型vpn的dpd配置全局使能ike dpd，单个连接没有开启dpdike dpd type periodic/on-demand 现网两种情况都有ike dpd idle-time 10（缺省30）ike dpd retransmit-interval 2 （缺省15）retry-limit 没有配置，默认33 企业版vpn的dpd配置DPD:EnableDPD type:periodicDPD retry-limit:3DPD retransmit-interval(s): 15DPD idle-time(s): 30DPD msg:seq-hash-notify有流量场景，中断超时时间 90~120s无流量场景，中断超时时间 60~90s4 正在使用的连接报错dpdtimeout该如何排查可能原因一：出现DPD超时的连接中断时因为两端网络访问无数据，在SA老化后发送DPD未得到对端响应而删除连接。解决方法：1、开启用户侧数据中心设备的DPD配置，测试两端的数据流均可触发连接建立；2、在两端的主机中部署Ping shell脚本，也可在用户侧数据中心的子网的网关设备上配置保活数据，如华为设备的NQA。可能原因二：公网不通导致报错dpdtimeout，这种情况也包含两边带宽打满导致公网不通5 特殊案例：对接飞塔设备报错dpdtimeoutDPD探测为按需，导致VPN连接出现“假死”状态，流量不通假死：即一端看VPN已经断开，但另一端上看VPN仍然在连接。DPD探测报文的逻辑和计数澄清（摘抄自FortiGate产品实施一本通：cid:link_0-VPN技术-IPsecVPN-点到点VPN-Monitor方式主备IPsec VPN与DPD的关系）：1.探测各自独立，如果分支和中心端两边配置了on-idle，分支和中心端都会按照本端的探测周期进行探测。2.探测方发送R-U-THERE，接收方回复R-U-THERE-ACK，如果发送方没有接收到接收方回复的R-U-THERE-ACK，认为此次探测失败。默认三次失败后认为VPN隧道需要down。3.DPD探测模式有两种，一种是on-idle（空闲），一种是on-demand（按需），再次强调，on-idle跟隧道流量无关，是周期性探测。On-demand当隧道发送了流量且没有回复的情况下才会触发开始探测。实际中强烈建议配置成on-idle这种周期性探测，避免隧道假死。4.DPD探测要求两端设备都有能力支持才可以。两端可以不同时启用，但是只要一端启用，对端得有能力支持才可以让启用的一段发送DPD探测报文。

【协商篇】1、检查两端协商参数配置是否一致，确认云下的协商设备是否处于IDC出口，非出口设备协商请使用IKEv1的野蛮模式，其它组网推荐使用IKEv2的默认协商策略；说明：连接已建立跳过此步。2、确认两端是否在该公网IP上建立多条连接，确认每条连接的感兴趣流子网不存在冲突或重叠；注意：同一网关下多条连接存在感兴趣流重叠时，云下设备按照创建的连接序号进行匹配，序号越小越优先；云上则按照创建时间先后顺序配置，最早创建的优先，并非按照子网的掩码长度匹配。3、感兴趣流中的云下或云上的子网请使用明细IP+掩码配置，勿使用地址组包含多个子网的方式配置；4、确认云下网络是否存在多出口，若存在多出口请指定访问华为云公网IP及私网IP（NAT穿越的出口只指定公网IP即可）均从协商IP所在接口流出，不能使用动态负载。5、基础配置检查无误后，请检查NAT配置。确保云下子网访问云上子网的数据在出接口不被NAT；云下设备的接口IP在访问华为云公网IP时不被NAT。6、检查安全策略配置，确保云下子网与云上子网的数据互访全服务放行；云下公网IP云云上VPN网关IP互访放行AH、ESP以及UDP的500和4500。【丢包篇】7、确认网络组网是否多出口，是否因为负载导致丢包，连接中断亦请排查该项，务必使得数据流恒定的走特定出口访问华为云。8、优先检查公网质量。可以从云下的网关IP ping测试华为云VPN网关IP（华为云网关IP缺省放行ICMP报文）检查是否有丢包。同时ping测试其它非华为云公网IP，若两个公网IP同时丢包时，建议向您的网络提供运营商求助；若只有访问华为云丢包，执行下一步。9、检查VPN网关的带宽使用情况，若存在带宽超限时，请扩容VPN网关的带宽规格。若以上情况均未出现，请您通过工单告知我们。10、云侧运维人员需要排查公网出口质量，整体带宽配额使用情况，安全流量配置等信息，确认是否出现异常丢包。【中断篇】11、公网出现异常抖动，导致一侧删除连接，且通知对端的删除报文被丢弃，此时会出现单边存在SA（需要等待SA老化才能在这一端发起协商），请在没有SA的一侧发起协商流。12、检查VPN网关的带宽使用情况，在出现带宽超限的情况下，华为云会出现因为收不到对端的DPD探测回包而断开连接。此时仍需要您扩容带宽规格。13、确认配置是否改变，检查配置信息是否一致，通过云下设备的协商报错信息判断中断原因。14、确认隧道是否一直有流量，若隧道无流量且对端设备不应答华为云的DPD请求报文报文（例如报文格式不一致，华为云DPD封装格式为seq-hash-notify）建议配置长ping保活脚本。保活脚本链接：https://support.huaweicloud.com/intl/zh-cn/vpn_faq/vpn_08_1201.html