站点到站点 VPN 网关常见问题

使用 IBM Cloud® VPN for VPC时，可能会迂到这些常见问题。

创建 VPN 网关时，能否同时创建 VPN 连接？

在 IBM Cloud 控制台中，可以同时创建网关和连接。如果使用的是 API 或 CLI，那么必须先创建 VPN 网关，再创建 VPN 连接。

VPN 连接会与 VPN 网关一起删除。

不会，IKE 和 IPSec 策略可以应用于多个连接。

如果存在任何虚拟服务器实例（包括 VPN 网关），则无法删除子网。

在不引用策略标识（IKE 或 IPsec）的情况下创建 VPN 连接时，将使用自动协商。

必须在 VPC 中部署 VPN 网关以提供连接。可以配置基于路由的 VPN 以提供与所有区域的连接。 VPN 网关需要子网中的四个可用专用 IP 地址来提供高可用性和自动维护。最好将专用子网用于大小为 16 的 VPN 网关，其中子网前缀的长度较短或等于 28。

确保 ACL 规则允许管理流量和 VPN 隧道流量。有关更多信息，请参阅配置与 VPN 配合使用的网络 ACL。

确保 ACL 规则到位，以允许 VPC 中的虚拟服务器实例与本地专用网络之间的流量。有关更多信息，请参阅配置 ACL 以用于 VPN。

是的，VPN for VPC 支持基于策略的 VPN 的主动-备用配置和基于路由的静态 VPN 的主动-主动配置中的高可用性。

没有，仅支持 IPsec 站点到站点。

支持高达 650 Mbps 的吞吐量。

仅支持 PSK 认证。

编号要在经典环境中设置 VPN 网关，必须使用 IPsec VPN。

如果使用 IKEv1，那么再加密冲突将删除 IKE/IPsec 安全性关联 (SA)。要重新创建 IKE/IPsec SA，请将连接管理状态设为 down，然后再次 up。可以使用 IKEv2 来最大限度减少再加密冲突。

要从 VPC 端向内部部署端发送所有流量，请在创建连接时将对等 CIDR 设置为 0.0.0.0/0。

成功创建连接后，VPN 服务会将 0.0.0.0/0 via <VPN gateway private IP> 路由添加到 VPC 的缺省路由表中。但是，此新路由可能会导致路由问题，例如不同子网中的虚拟服务器无法相互通信，以及 VPN 网关无法与本地 VPN 网关通信。

核准扫描供应商 (ASV) 季度扫描是支付卡行业 (PCI) 安全标准委员会的要求。 ASV 扫描 VPN 数据平面设备完全由客户负责。 IBM 不使用 ASV 来扫描数据平面设备，因为这些扫描会对客户工作负载功能和性能产生负面影响。

每月针对 VPN 网关计费收集以下度量值:

使用 VPN 网关时，您还需支付所有出站公共互联网流量的费用，按 VPC 数据费率计费。

如果将 VPN 连接作为下一跳配置了 VPC 路由，流量可能会因以下情况而无法按预期路由：

与 VPC 实例关联的安全组不允许流量，或者与实例子网或 VPN 网关关联的网络 ACL 阻止了流量。确保安全组和 ACL 允许预期流量。有关更多信息，请参阅配置与 VPN 配合使用的网络 ACL。
如果流量的源 IP 不在与包含 VPN 路由的路由表相关联的子网中，VPN 网关就会丢弃流量。例如，假设有一个只与子网 A 相关联的 VPC 路由表，其中包括一条下一跳为 VPN 连接的路由。当流量到达 VPN 网关时，源 IP 不在子网 A 或与路由表相关联的任何其他子网中。因此，VPN 网关不会转发流量。