华为云用户手册

哪些设备可以与云进行VPN对接？ VPN支持标准IPsec协议，用户可以通过以下两个方面确认用户侧数据中心的设备能否与云进行对接： 设备是否具备IPsec功能和授权：请查询设备的特性列表获取是否支持IPsec VPN。 关于组网结构，要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP（即NAT穿越，VPN设备在NAT网关后部署）也可以。 设备型号多为路由器、防火墙等，对接配置请参见管理员指南。 普通家庭宽带路由器、个人的移动终端设备、Windows主机自带的VPN服务（如L2TP）无法与云进行VPN进行对接。 与VPN服务做过对接测试厂商包括： 设备厂商：华为（防火墙/AR）、山石（防火墙），CheckPoint（防火墙）。 云服务厂商包括：阿里云，腾讯云，亚马逊（aws），微软（Microsoft Azure）。 软件厂商包括：strongSwan。 IPsec协议属于IETF标准协议，宣称支持该协议的厂商均可与云进行对接，用户不需要关注具体的设备型号。 目前绝大多数企业级路由器和防火墙都支持该协议。 部分硬件厂商在特性规格列表中是宣称支持IPsec VPN的，但是需要专门购买软件License才能激活相关功能。 请用户侧数据中心管理员根据设备具体型号与厂商进行确认。 父主题： 产品咨询

VPN使用的DH group对应的比特位是多少？ Diffie-Hellman(DH)组确定密钥交换过程中使用的密钥的强度。较高的组号更安全，但需要额外的时间来计算密钥。 VPN使用的DH group对应的比特位如表1所示。 表1 DH group对应比特位 DH group Modulus 1 768 bits 2 1024 bits 5 1536 bits 14 2048 bits 15 3072 bits 16 4096 bits 19 ecp256 bits 20 ecp384 bits 21 ecp521 bits 以下DH算法有安全风险，不推荐使用：DH group 1、DH group 2、DH group 5。 父主题： 产品咨询

VPC、VPN网关、VPN连接之间有什么关系？ 当用户数据中心需要和VPC下的E CS 资源进行相互访问时，可以通过创建VPN网关，在用户数据中心和VPC之间建立VPN连接，快速实现云上云下网络互通。 VPC 即云上私有专用网络，同一Region中可以创建多个VPC，且VPC之间相互隔离。一个VPC内可以划分多个子网网段。 用户可以通过VPN服务，安全访问VPC内的ECS。 VPN网关 基于VPC创建，是VPN连接的接入点。一个VPC仅能购买一个VPN网关，每个网关可以创建多个VPN连接。 用户可以通过VPN网关建立虚拟私有云和企业数据中心或其它区域VPC之间的安全可靠的加密通信。 VPN连接 基于VPN网关创建，用于连通VPC子网和用户数据中心（或其它Region的VPC）子网，即每个VPN连接连通了一个用户侧数据中心的网关。 VPN连接的数量与VPN连接的本端子网和远端子网的数量无关，仅与用户VPC需要连通的用户数据中心（或其它Region的VPC）的数量有关，已创建的VPN连接的数量即VPN连接列表中展示的数量（一个条目即一个VPN连接），也可以在VPN网关中查看当前网关已创建的VPN连接数量。 父主题： 产品咨询

IKEv2相比IKEv1的优点 简化了安全联盟的协商过程，提高了协商效率。 修复了多处公认的密码学方面的安全漏洞，提高了安全性能。 加入对EAP（Extensible Authentication Protocol）身份认证方式的支持，提高了认证方式的灵活性和可扩展性。 EAP是一种支持多种认证方法的认证协议，可扩展性是其最大的优点，即如果想加入新的认证方式，可以像组件一样加入，而不用变动原来的认证体系。当前EAP认证已经广泛应用于拨号接入网络中。 IKEv2使用基于ESP设计的加密载荷，v2加密载荷将加密和数据完整性保护关联起来，即加密和完整性校验放在相同的载荷中。AES-GCM同时具备保密性、完整性和可认证性的加密形式与v2的配合比较好。

IKEv1和IKEv2的区别 协商过程不同。 IKEv1协商安全联盟主要分为两个阶段，其协议相对复杂、带宽占用较多。IKEv1阶段1的目的是建立IKE SA，它支持两种协商模式：主模式和野蛮模式。主模式用6条ISAKMP消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA，通过快速交换模式（3条ISAKMP消息）完成协商。 IKEv2简化了安全联盟的协商过程。IKEv2正常情况使用2次交换共4条消息就可以完成一个IKE SA和一对IPsec SA，如果要求建立的IPsec SA大于一对时，每一对SA只需额外增加1次交换，也就是2条消息就可以完成。 IKEv1协商，主模式需要6+3，共9个报文；野蛮模式需要3+3，共6个报文。IKEv2协商，只需要2+2，共4个报文。 认证方法不同。 数字信封认证（hss-de）仅IKEv1支持（需要安装加密卡），IKEv2不支持。 IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能，必须借助L2TP来分配私网地址。 IKE SA的完整性算法支持情况不同。IKE SA的完整性算法仅IKEv2支持，IKEv1不支持。 DPD中超时重传实现不同。 retry-interval参数仅IKEv1支持。表示发送DPD报文后，如果超过此时间间隔未收到正确的应答报文，DPD记录失败事件1次。当失败事件达到5次时，删除IKE SA和相应的IPsec SA。直到隧道中有流量时，两端重新协商建立IKE SA。 对于IKEv2方式的IPsec SA，超时重传时间间隔从1到64以指数增长的方式增加。在8次尝试后还未收到对端发过来的报文，则认为对端已经下线，删除IKE SA和相应的IPsec SA。 IKE SA与IPsec SA超时时间手工调整功能支持不同。 IKEv2的IKE SA软超时为硬超时的9/10±一个随机数，所以IKEv2一般不存在两端同时发起重协商的情况，故IKEv2不需要配置软超时时间。

IKEv1存在的安全风险 IKEv1 支持的密码算法已超过10年未做更新，并不支持诸如AES-GCM、ChaCha20-Poly1305等推荐的强密码算法。IKEv1使用ISALMP头的E比特位来指定该头后跟随的是加密载荷，但是这些加密载荷的数据完整性校验值放在单独的hash载荷中。这种加密和完整性校验的分离阻碍了v1使用认证加密（AES-GCM），从而限制了只能使用初期定义的AES算法。 协议本身也无法防止报文放大攻击（属于DOS攻击）初始报文交换，IKEv1容易被半连接攻击，响应方响应初始化报文后维护发起-响应的关系，维护了大量的关系会消耗大量的系统资源。 针对连接的DOS攻击，IKEv2协议上有针对性的解决方案。 IKEv1野蛮模式安全性低：野蛮模式开始信息报文不加密，存在用户配置信息泄漏的风险，当前也存在针对野蛮攻击，如：中间人攻击。

IKEv1与IKEv2的协议介绍 IKEv1协议是一个混合型协议，其自身的复杂性不可避免地带来一些安全及性能上的缺陷，已经成为目前实现的IPsec系统的瓶颈。 IKEv2协议保留了IKEv1的基本功能，并针对IKEv1研究过程中发现的问题进行修正，同时兼顾简洁性、高效性、安全性和健壮性的需要，整合了IKEv1的相关文档，由RFC4306单个文档替代。通过核心功能和默认密码算法的最小化规定，新协议极大地提高了不同IPsec VPN系统的互操作性。

IPsec VPN适用连接典型组网结构有哪些？ VPN是打通的点到点的网络，实现两点之间的私网互访，不能打通点到端的网络。 适用典型场景： 不同region之间创建VPN，实现跨region的VPC间网络互访。 华为云与友商云创建VPN，如与阿里云的VPC间网络互访。 华为云与客户IDC机房打通VPN，实现线上VPC与线下的IDC网络互访。 VPN HUB功能，结合对等连接和CC实现云下IDC与云上多VPC网络互访。 结合SNAT实现跨云访问特定IP。 与家庭PPPoE拨号网络建立VPN连接。 与4G/5G路由器建立VPN连接。 与个人终端建立VPN连接。 不适用的典型场景： 相同region的两个VPC不可以使用VPN，推荐使用对等连接打通。 父主题： 产品咨询

建立IPsec VPN连接需要账户名和密码吗？ 常见的使用账户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP，IPsec VPN使用预共享密钥方式进行认证，密钥配置在VPN网关上，在VPN协商完成后即建立通道，VPN网关所保护的主机在进行通信时无需输入账户名和密码。 IPsec XAUTH技术是IPsec VPN的扩展技术，它在VPN协商过程中可以强制接入用户输入账户名和密码。 目前VPN不支持该扩展技术。 父主题： Console与页面使用

IPsec VPN是否会自动建立连接？ IPsec VPN在完成两侧配置后，并不会自行建立连接，需要两侧主机间的数据流来触发隧道的建立。如果云上与用户侧数据中心间没有交互数据流，VPN的连接状态会一直处于Down状态。所谓的数据流，可以是真实的业务访问数据，也可以是主机间Ping测数据。 触发隧道建立的方式有两种，一种是通过建立连接间的网关设备自动触发协商，另一种是通过云上云下主机间的交互流量触发。 暂不支持通过云端VPN网关自动触发协商。推荐您在首次建立连接时，分别验证两侧的交互数据流均可触发连接建立。即用户侧数据中心主机ping云上主机可触发连接建立，然后断开连接，确认云上主机Ping用户侧数据中心主机亦可触发连接建立。 Ping包的源地址、目的地址需要处于VPN保护的范围内。 在建立连接之前，两端的网关地址应该是可以Ping通的，但是Ping网关IP并不触发VPN连接的建立。 父主题： 产品咨询

VPN连接是什么？用户在购买VPN网关时如何选择VPN连接数？ VPN连接，指华为云的一个VPN网关与用户侧一个独立的公网IP之间建立的IPsec连接，一个连接中可以配置多个本端子网（vpc中的子网）和远端子网（用户侧子网）， 无需配置多个连接。 拟创建VPN连接的数量通常与用户数据中心数量有关，每条VPN连接可打通当前VPC与云下的一个数据中心网络。 请用户在购买包年/包月VPN网关时，根据规划连通的数据中心数量选择合适的VPN连接数。 例如，当云侧的网段a1、a2与用户侧网段b1、b2分别通信时，仅需创建一条VPN连接，在该连接中指定云侧多个源网段和多个地址网段即可。如下图所示： 父主题： 产品咨询

VPC、VPN网关、VPN连接之间有什么关系？ 当用户数据中心需要和VPC下的ECS资源进行相互访问时，可以通过创建VPN网关，在用户数据中心和VPC之间建立VPN连接，快速实现云上云下网络互通。 VPC 即云上私有专用网络，同一Region中可以创建多个VPC，且VPC之间相互隔离。一个VPC内可以划分多个子网网段。 用户可以通过VPN服务，安全访问VPC内的ECS。 VPN网关 基于VPC创建，是VPN连接的接入点。一个VPC仅能购买一个VPN网关，每个网关可以创建多个VPN连接。 用户可以通过VPN网关建立虚拟私有云和企业数据中心或其它区域VPC之间的安全可靠的加密通信。 VPN连接 基于VPN网关创建，用于连通VPC子网和用户数据中心（或其它Region的VPC）子网，即每个VPN连接连通了一个用户侧数据中心的网关。 VPN连接的数量与VPN连接的本端子网和远端子网的数量无关，仅与用户VPC需要连通的用户数据中心（或其它Region的VPC）的数量有关，已创建的VPN连接的数量即VPN连接列表中展示的数量（一个条目即一个VPN连接），也可以在VPN网关中查看当前网关已创建的VPN连接数量。 父主题： 热点问题

什么是VPC、VPN网关、VPN连接？ VPC：虚拟私有云是指云上隔离的、私密的虚拟网络环境，用户可通过 虚拟专用网络 （VPN）服务，安全访问云上虚拟网络内的主机（ECS）。 VPN网关：虚拟私有云中建立的出口网关设备，通过VPN网关可建立虚拟私有云和企业数据中心或其它区域VPC之间的安全可靠的加密通信。 VPN连接：是一种基于Internet的IPsec加密技术，帮助用户快速构建VPN网关和用户数据中心的远端网关之间的安全、可靠的加密通道。 云上建立VPN网络分为以下两个步骤： 创建VPN网关：创建VPN网关指明了VPN互联的本地VPC，同时创建连接带宽和网关IP。 VPN连接：创建VPN连接指明了与客户侧对接的网关IP、子网和协商策略信息。 父主题： 产品咨询

VPN配置完成了，为什么连接一直处于未连接状态？ 首先需要确认两端的预共享密钥和协商信息一致，云上与用户侧数据中心的本端子网/远端子网、本端网关/远端网关互为镜像。 其次确认用户侧数据中心设备的路由、NAT和安全策略配置无误，最后通过两端的子网互PING远端子网主机。 因为VPN是基于数据流触发的，在配置完成后需要从任一端子网主机ping远端子网主机，ping之前请关闭主机防火墙，云上安全组开启入方向ICMP。 ping网关IP无法触发VPN协商，需要ping网关保护的子网中的主机。 父主题： 热点问题

如何测试VPN速率情况？ 当测试环境为已创建VPN连接，并在VPN连接的本端子网下创建ECS，并使其相互能够ping通的情况下，测试VPN的速率情况。 当用户购买的VPN网关的带宽为200Mbit/s时，测试情况如下。 互为对端的ECS都使用Windows系统，测试速率可达180Mbit/s，使用iperf3和filezilla（是一款支持ftp的文件传输工具）测试均满足带宽要求。 基于TCP的FTP协议有拥塞控制机制，180Mbit/s为平均速率，且IPsec协议会增加新的IP头，因此10%左右的速率误差在网络领域是正常现象。 使用iperf3客户端测试结果截图如图1所示。 图1 200M带宽客户端iperf3测试结果 使用iperf3服务器端测试结果截图如图2所示。 图2 200M带宽服务端iperf3测试结果 互为对端的ECS都使用Centos7系统，测试速率可达180M，使用iperf3测试满足带宽要求。 服务器端ECS使用Centos7系统，客户端使用Windows系统，测试速率只有20M左右，使用iperf3和filezilla测试均不能满足带宽要求。 原因在于Windows和Linux对TCP的实现不一致，导致速率慢。所以对端ECS使用不同的系统时，无法满足带宽要求。 使用iperf3测试结果截图如图3所示。 图3 互为对端的ECS系统不同时iperf3测试结果 假设用户购买的VPN网关的带宽为1000Mbit/s， 用户购买的VPN网关为网关的整体吞吐能力，即该VPN网关下所有VPN连接的带宽之和。在大带宽场景下，由于主机的转发性能限制，需要使用多台主机构建多条流量才能充分利用网关的带宽。这种场景下对ECS的配置要求也很高，建议ECS的网卡支持2G以上的带宽。具体ECS的规格可参见ECS规格。 测试总结：综上测试结果，云网关能够满足带宽速率要求，但是建议两端主机使用相同的操作系统，并且网卡要达到配置要求。 父主题： 热点问题

创建VPN都会产生哪些费用，VPN网关IP收费吗？ VPN提供包年/包月和按需两种计费模式，费用包含网关带宽费用和VPN连接费用。计费模式以实际region购买界面为准。 网关带宽的计费又可分为按流量或按带宽计费。 包年/包月计费模式下不可选择按流量计费。如果您选择包年/包月模式创建VPN，在创建网关阶段一次性收取网关带宽费用和连接的费用，用户后续创建VPN连接时不再收取费用。 按需方式为先使用后付费模式，计费周期为1小时。如果您选择按需模式创建VPN，页面会提示同时创建连接。费用包含了网关带宽费用和单条连接费用，您在创建第二条连接时只产生连接的费用。 VPN网关IP不收费，只收取VPN网关的带宽费用。 VPN网关的带宽费用是独立的，与ECS绑定的EIP带宽相互独立，无法共享。 父主题： 热点问题

IPsec VPN是否会自动建立连接？ IPsec VPN在完成两侧配置后，并不会自行建立连接，需要两侧主机间的数据流来触发隧道的建立。如果云上与用户侧数据中心没有交互数据流，VPN的连接状态会一直处于Down状态。所谓的数据流，可以是真实的业务访问数据，也可以是主机间Ping测数据。 触发隧道建立的方式有两种，一种是通过建立连接间的网关设备自动触发协商，另一种是通过云上云下主机间的交互流量触发。 暂不支持通过云端VPN网关自动触发协商。推荐您在首次建立连接时，分别验证两侧的交互数据流均可触发连接建立。即用户侧数据中心主机ping云上主机可触发连接建立，然后断开连接，确认云上主机Ping用户侧数据中心主机亦可触发连接建立。 Ping包的源地址、目的地址需要处于VPN保护的范围内。 在建立连接之前，两端的网关地址应该是可以Ping通的，但是Ping网关IP并不触发VPN连接的建立。 父主题： 热点问题

建立IPsec VPN连接需要账户名和密码吗？ 常见的使用账户名和密码进行认证的VPN有SSL VPN，PPTP或L2TP，IPsec VPN使用预共享密钥方式进行认证，密钥是配置在VPN网关上的，在VPN协商完成后即建立通道，VPN网关所保护的主机在进行通信时无需输入账户名和密码。 IPsec XAUTH技术是IPsec VPN的扩展技术，它在VPN协商过程中可以强制接入用户输入账户名和密码。 目前VPN不支持该扩展技术。 父主题： 热点问题

VPN连接是什么？用户在购买VPN网关时如何选择VPN连接数？ VPN连接，指一个VPN网关与用户侧一个独立的公网IP之间建立的IPsec连接，一个连接中可以配置多个本端子网（vpc中的子网）和远端子网（用户侧子网）， 无需配置多个连接。 拟创建VPN连接的数量通常与用户数据中心数量有关，每条VPN连接可打通当前VPC与云下的一个数据中心网络。 请用户在购买包年/包月VPN网关时，根据规划连通的数据中心数量选择合适的VPN连接数。 例如，当云侧的网段a1、a2与用户侧网段b1、b2分别通信时，仅需创建一条VPN连接，在该连接中指定云侧多个源网段和多个地址网段即可。如下图所示： 父主题： 热点问题

是否可以将应用部署在云端，数据库放在本地IDC，然后通过VPN实现互联？ VPN连通的是两个子网，即云上VPC网络与用户数据中心网络。 VPN成功建立后，两个子网间可以运行任何类型的业务流量，此时应用服务器访问数据库业务在逻辑上和访问同一局域网的其它主机是相同的，因此该方案可行的。 这种场景是IPsec VPN的典型场景，请用户放心使用。 同时VPN连通以后，并不限定业务的发起方是云上还是用户侧数据中心，即用户可以从云上向用户侧数据中心发起业务，也可以反向。 用户在打通VPN以后，需要关注网络延迟和丢包情况，避免影响业务正常运行。 建议用户先运行ping，获取网络的丢包和时延情况。 父主题： 热点问题

VPN协商参数有哪些？默认值是什么？ 表1 VPN协商参数 协议 配置项 值 IKE 认证算法 MD5（此算法安全性较低，请慎用） SHA1（此算法安全性较低，请慎用） SHA2-256（默认） SHA2-384 SHA2-512 加密算法 3DES（此算法安全性较低，请慎用） AES-256 AES-192 AES-128（默认） DH算法 Group 5（此算法安全性较低，请慎用） Group 2（此算法安全性较低，请慎用） Group 14（默认） Group 1（此算法安全性较低，请慎用） Group 15 Group 16 Group 19 Group 20 Group 21 说明： 部分区域仅支持Group 14、Group 2、Group 5。 版本 v1（有安全风险不推荐） v2（默认） 生命周期 86400（默认） 单位：秒。 取值范围：60-604800。 IPsec 认证算法 SHA1（此算法安全性较低，请慎用） MD5（此算法安全性较低，请慎用） SHA2-256（默认） SHA2-384 SHA2-512 加密算法 AES-128（默认） AES-192 AES-256 3DES（此算法安全性较低，请慎用） PFS DH group 5（此算法安全性较低，请慎用） DH group 2（此算法安全性较低，请慎用） DH group 14（默认） DH group 1（此算法安全性较低，请慎用） DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 Disable 说明： 部分区域仅支持DH group 14、DH group 2、DH group 5。 传输协议 ESP（默认） AH AH-ESP 生命周期 3600（默认） 单位：秒。 取值范围：480-604800。 PFS（Perfect Forward Secrecy，完善的前向安全性）是一种安全特性。 IKE协商分为两个阶段，第二阶段（IPsec SA）的密钥都是由第一阶段协商生成的密钥衍生的，一旦第一阶段的密钥泄露将可能导致IPsec VPN受到侵犯。为提升密钥管理的安全性，IKE提供了PFS（完美向前保密）功能。启用PFS后，在进行IPsec SA协商时会进行一次附加的DH交换，重新生成新的IPsec SA密钥，提高了IPsec SA的安全性。 为了增强安全性，云默认开启PFS，请用户在配置用户侧数据中心网关设备时确认也开启了该功能，否则会导致协商失败。 用户开启此功能的同时，需要保证两端配置一致。 IPsec SA字节生命周期，不是VPN服务可配置参数，云侧采用的是默认配置1843200KB。该参数不是协商参数，不影响双方建立IPsec SA。 父主题： 热点问题

为什么VPN创建成功后状态显示未连接？ VPN对接成功后两端的服务器或者虚拟机之间需要进行通信，VPN的状态才会刷新为正常。 IKE v1版本： 如果VPN连接经历了一段无流量的空闲时间，则需要重新协商。协商时间取决于IPsec Policy策略中的“生命周期（秒）”取值。“生命周期（秒）”取值一般为3600（1小时），会在第54分钟时重新发起协商。如果协商成功，则保持连接状态至下一轮协商。如果协商失败，则在1小时内将状态设置为未连接，需要VPN两端重新进行通信才能恢复为连接状态。可以使用网络监控工具（例如：IP SLA）生成保持连接的Ping信号来避免这种情况发生。 IKE v2版本：如果VPN连接经历了一段无流量的空闲时间，VPN保持连接状态。 父主题： 热点问题

如何解决VPN连接无法建立连接问题？ 检查云上VPN连接中的IKE策略和IPsec策略中的协商模式和加密算法是否与远端配置一致。 如果第一阶段IKE策略已经建立，第二阶段的IPsec策略未开启，常见情况为IPsec策略与数据中心远端的配置不一致。 如果客户本地侧使用的是CISCO的物理设备，建议客户使用MD5算法。同时将云上VPN连接端IPsec策略中的认证算法设置为MD5。 检查ACL是否配置正确。 假设您的数据中心的子网为192.168.3.0/24和192.168.4.0/24，VPC下的子网为192.168.1.0/24和192.168.2.0/24，则您在数据中心或局域网中的ACL应对您的每一个数据中心子网配置允许VPC下的子网通信的规则，如下例： rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 配置完成后检查VPN是否连接，ping测试两端内网是否正常。 父主题： 热点问题

前提条件 已完成VPN网关和服务端的相关配置，客户端可以正常连接VPN网关。 本示例中，VPN网关规格为专业型1（最大转发带宽300Mbps）。 已部署3个ECS实例，位于VPN网关所在VPC网络中，用于模拟云上的资源节点。 本示例中，每个ECS实例规格均为c6.large.2（vCPUs：2，内存：4GB，系统镜像：CentOS 8.0-64bit）。 已准备3个云下设备，模拟接入客户端。 本示例中，设备A、设备B为Linux服务器（4U8G，运行ubuntu-20.04.6-live-server-amd64操作系统），设备C为PC（i7处理器，运行Windows 10操作系统）。 云下设备、ECS接口和网络的带宽能力满足要求（上、下行带宽不低于100Mbps）。 云下设备到VPN网关的网络质量较好。

使用iPerf3测试VPN网关的带宽 iPerf3概述 iPerf3的主要参数说明如表1所示。 表1 iPerf3主要参数说明 主要参数 参数说明 -s 服务端专用参数，表示iPerf3以服务端模式运行。 -c 客户端专用参数，表示iPerf3以客户端模式运行。 -p 指定服务端侦听端口，即客户端需要连接的服务端的端口（服务端和客户端的配置需要保持一致）。 -i 发送数据的时间间隔，单位：秒。 -l 设置读写缓冲区的长度。建议该值设为1300，模拟业务数据payload为1300字节。 -P 表示线程个数，不指定则默认单线程。 云下设备作为服务端 在云下设备上执行以下命令，以服务端模式启动iPerf3进程，并指定不同的侦听端口。示例如下： 设备A（Linux） iperf3 -s -p 20001 设备B（Linux） iperf3 -s -p 20002 设备C（Windows） iperf3.exe -s -p 20003 分别在3个ECS实例上，执行以下命令，以客户端模式启动iPerf3进程，并指定云下设备对应的服务端侦听端口。 iperf3 -c server-ip -p server-port -l 1300 -P 10 示例如下： iperf3 -c 192.168.10.1 -p 20001 -l 1300 -P 10 iperf3 -c 192.168.10.2 -p 20002 -l 1300 -P 10 iperf3 -c 192.168.10.3 -p 20003 -l 1300 -P 10 云下设备作为客户端 分别在3个ECS实例上，执行以下命令，以服务端模式启动iPerf3进程并指定不同的侦听端口。 iperf3 -s -p server-port 示例如下： iperf3 -s -p 20001 iperf3 -s -p 20002 iperf3 -s -p 20003 分别在云下设备上，执行以下命令，以客户端模式启动iPerf3进程，并指定ECS实例对应的侦听端口。示例如下： 设备A iperf3 -c 172.16.10.1 -p 20001 -l 1300 -P 10 设备B iperf3 -c 172.16.10.2 -p 20002 -l 1300 -P 10 设备C iperf3.exe -c 172.16.10.3 -p 20003 -l 1300 -P 10 测试结果 iPerf3进程执行完毕后，会显示如下的结果。 Connecting to host 172.16.10.1, port 20001 [ 4] local 192.168.10.1 port 20001 connected to 172.16.10.1 port 20001 [ ID] Interval Transfer Bandwidth [ 4] 0.00-1.00 sec 8.62 MBytes 72.1 Mbits/sec [ 4] 1.00-2.01 sec 9.88 MBytes 82.2 Mbits/sec [ 4] 2.01-3.01 sec 9.88 MBytes 82.9 Mbits/sec [ 4] 3.01-4.00 sec 9.50 MBytes 80.4 Mbits/sec [ 4] 4.00-5.01 sec 9.88 MBytes 82.1 Mbits/sec [ 4] 5.01-6.01 sec 9.62 MBytes 81.2 Mbits/sec [ 4] 6.01-7.00 sec 9.12 MBytes 77.0 Mbits/sec [ 4] 7.00-8.01 sec 10.0 MBytes 83.2 Mbits/sec [ 4] 8.01-9.01 sec 9.50 MBytes 79.9 Mbits/sec [ 4] 9.01-10.01 sec 8.62 MBytes 72.4 Mbits/sec - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bandwidth [ 4] 0.00-10.01 sec 94.6 MBytes 79.3 Mbits/sec sender [ 4] 0.00-10.01 sec 94.6 MBytes 79.3 Mbits/sec receiver 根据上述iperf3测试的结果，从192.168.10.1到172.16.10.1的连接中，传输速率大约是79.3 Mbits/sec。整个测试持续了10秒钟，期间发送了94.6MB的数据。

安装iPerf3 此处以在本次测试使用的云下设备上安装iPerf3为例。 在Linux上安装iPerf3 打开命令行窗口。 执行以下命令，安装iPerf3。 yum install -y iperf3 执行以下命令，查看是否安装成功。 iperf3 -v 若系统回显iPerf版本信息，表示安装成功。 在Windows上安装iPerf3 在iPerf3官方网站下载iPerf3，根据操作系统版本下载对应软件。

操作场景 当购买需求管理、代码托管、测试计划等单服务套餐时，管理员（拥有Tenant Administrator角色权限）可以通过“服务级访问权限管理”页面，按服务为项目成员分配访问权限。 服务级访问权限管理仅对需求管理、代码托管、测试计划等计费项中有“用户数”的服务生效。任何加入项目的成员均可根据实际购买情况使用代码检查、构建、部署、流水线等服务。 项目中添加成员时会根据已购买服务的套餐人数自动分配服务访问权限，直到达到套餐人数规格，您可以随时到本页面手动分配人员访问权限。 例如：团队中有5个人A、B、C、D、E， 购买2人规格需求管理套餐、3人规格代码托管套餐。创建项目后，按照A、B、C、D、E的顺序，依次将5个人加入项目。此时，A、B两人默认拥有两个服务的访问权限，C有 代码托管服务 的访问权限，D、E对两个服务都没有访问权限。管理员可以根据实际需要，在“服务级访问权限管理”页面中为5个人开启或关闭两个服务的访问权限，其中最多可为2个人设置需求管理访问权限、最多可为3个人设置代码托管访问权限。 首次购买某类套餐时，按用户名升序自动分配服务访问权限，直到达到套餐人数规格；非首次购买同类套餐时，恢复为上一次的成员服务访问权限。 例如：团队中有5个人A、B、C、D、E，当前已购买5人规格需求管理套餐，并已在项目中添加5人。此时购买3人规格代码托管套餐，默认A、B、C将拥有代码托管服务的访问权限。管理员取消A、B的代码托管服务访问权限，并为D、E授权访问代码托管服务。当代码托管套餐到期后，C、D、E失去代码托管服务访问权限；如果再次购买3人规格代码托管套餐，则C、D、E将恢复代码托管服务的访问权限。

后续操作 完成新建代理后，可完成以下操作。 表5 管理代理 操作 说明 查看代理列表 在“代理列表”页面可查看代理的状态、内存使用率、可用硬盘等信息。 其中，状态包含以下五种： 运行中：代理机正在执行任务。 空闲中：代理机处于连接状态，未运行任务。 停用：代理机处于连接状态，但被停用无法执行任务。 下线：代理机处于掉线断开状态，如需上线请登录代理机重新注册，否则删除即可。 删除中：代理机正在被删除中。 启动/停用代理 在“代理列表”页面，单击目标代理的操作列中，可停用对应代理，停用后，状态列显示为“停用”；单击，可以重新启用代理，状态列恢复为“空闲中”。 删除代理 单独删除：在“代理列表”页面，单击目标代理的操作列中，可以删除对应代理。 批量删除：在“代理列表”页面，勾选待删除的代理，单击“批量删除”。 说明： “运行中”状态的代理无法删除。 如果在新建代理时开启“重启免注册”开关，请参照页面提示，在删除代理前需登录对应主机执行卸载命令。否则，主机重启后，已删除代理会自动重新注册。

设置 消息通知 规则 CodeArts消息通知有两种方式：浏览器桌面通知、邮件通知。 浏览器桌面通知：消息通知将发送至PC端桌面，内容包括代码检查、编译构建、部署、流水线任务的执行结果。 邮件通知：根据各服务通知设置，CodeArts将发送消息通知至的对应成员的邮箱中。 通过“消息设置”页面，可以配置当前用户是否接收CodeArts各服务消息通知。 进入CodeArts首页。 登录CodeArts控制台，单击，选择区域。 单击“前往工作台”。 如果当前账号采用的是历史计费模式（详情请参见历史计费模式说明），则单击“立即使用”。 在导航栏中单击用户名，选择“个人设置”。 页面默认跳转至“消息设置”页面，根据需要可以完成以下配置。 表1 设置消息通知规则 操作 说明 设置勿扰时间 根据需要单击“勿扰时段设置”开关。 如果需要修改勿扰时段，单击“更改设置”，根据需要在弹框中设置开始时间与结束时间，单击“确定”。设置成功后，页面中将显示更新后的时段。 开启/关闭通知 根据需要勾选“开启”或“关闭”。 如果需要修改接收消息通知的邮箱，单击邮箱后的“更改设置”，根据页面提示修改邮箱地址。

设置昵称 当前用户只能给自己设置昵称，该昵称对所有项目成员可见。 在设置工作项处理人时，默认优先显示昵称，如果未设置昵称则显示用户名。 进入CodeArts首页。 登录CodeArts控制台，单击，选择区域。 单击“前往工作台”。 如果当前账号采用的是历史计费模式（详情请参见历史计费模式说明），则单击“立即使用”。 在导航栏中单击用户名，在弹框中单击用户名后的。 如果关闭了“设置个人昵称”开关（操作方法请参考昵称设置），则属于 IAM 用户无法设置昵称，显示为灰色。 在弹框中输入要设置的昵称（昵称长度不能超过30个字符），单击“确定”完成设置。 图1 设置昵称 刷新页面，页面右上角用户名处将显示新昵称。如果未显示请刷新页面。