VPN 网关的规划注意事项

在创建 VPN 网关之前，请查看以下注意事项：

• 将在与您选择的子网相关联的专区中创建 VPN 网关。 VPN 网关只能连接到此区域中的虚拟服务器实例。 因此，其他区域中的实例无法使用此 VPN 网关与其他网络进行通信。 为实现区域容错，每个区域部署一个 VPN 网关。

• 确保子网中有足够的空间用于网关。 要确保 VPN 管理和故障转移功能能够正常工作，请在没有任何其他 VPC 资源的子网中创建 VPN 网关。 这一过程可确保网关有足够的专用 IP 地址。 VPN 网关需要四个专用 IP 地址以适应高可用性和滚动升级。 由于子网中最多保留 5 个专用 IP 地址，因此可用于托管 VPN 网关的最小子网大小为 16 个 IP 地址 (前缀 /28 或网络掩码 255.255.255.240)。

• 如果计划在 VPC 路由表中设置缺省路由 (0.0.0.0/0) 以允许来自 VPC 资源的流出流量通过 VPN 网关，并且计划使用基于路由的 VPN，请在与路由表关联的子网不同的子网中创建 VPN 网关。 否则，此缺省路由会导致 VPN 网关的路由冲突，并导致 VPN 连接关闭。

• 默认情况下，IBM Cloud VPNfor VPC 禁用 PFS（完美前向保密）。 某些供应商需要针对阶段 2 启用 PFS。 如果需要 PFS，请检查供应商指示信息并使用定制策略。

• IBM Cloud VPNfor VPC 只支持每个 VPC 每个区域一个基于路由的 VPN。

• 缺省情况下，IBM VPN 网关使用其公共 IP 地址作为 IKE 本地身份，并将同级的公共 IP 地址指定为 IKE 同级身份。 您可以指定本地和对等 IKE 身份，以在创建 VPN 连接时覆盖此缺省行为。 如果对等 VPN 网关位于 NAT 防火墙后面，而且对等的公共 IP 地址与对等 VPN 网关接口无关，则可以调整对等 VPN 网关的配置。 此配置可确保对等设备的公共 IP 地址被用作 IKE 标识。 您还可以在创建 VPN 连接以使用同级 VPN 网关的实际 IKE 身份时指定同级 IKE 身份。

• 如果您的对等 VPN 网关位于 NAT 设备后面且没有公共 IP，您可以将 FQDN 与 NAT 后的 IP 地址关联起来。 这样，在创建 VPN 连接时，就可以使用该 FQDN 代替 IP 地址。 这样，缺省对等 IKE 身份是 FQDN。 如果缺省值与同级 VPN 网关的实际 IKE 身份不匹配，那么可以指定同级 IKE 身份以在创建 VPN 连接时覆盖此缺省值。

• 创建 VPN 连接时，可以选择建立模式（双向或仅对等）。 请记住，如果对等 VPN 网关在创建 VPN 连接时没有公共 IP 地址，那么必须将 VPN 网关设置为 仅对等 方式。 在这种情况下，如果连接中断，对等 VPN 网关负责恢复连接。

• 配置 VPN 连接后，不能将对等网关地址类型从 IP 地址更改为 FQDN，或从 FQDN 更改为 IP 地址。

• IBM Cloud VPC支持通过 DNS Services 解析 FQDN。 如果 VPN 网关所在的 VPC 位于私有 DNS 实例的允许网络中，则在该私有 DNS 中添加的 DNS 记录可在 VPN 网关中解析。

• VPC 的 VPN 网关仅接受具有 IPsec ESP 数据包的 UDP 封装的 VPN 数据包。 不接受 封装安全有效负载（ESP）。 确保在内部 VPN 设备上启用 NAT-T 功能。 此外，确保 IBM VPC NACL 和对等网络都允许 UDP 端口 500 和 4500。

• 当多个网络、子网或两者都与 IBM Cloud VPN 网关或内部设备相关联时，应避免将基于策略的 VPN 与基于路由的 VPN 混合使用。 基于策略的 VPN 为每个目标网络范围创建一条隧道。 然而，基于路由的 VPN 会通过一条隧道将所有内容路由到对等设备。 因此，当配置了多个网络范围时，只能建立一条与单个网络范围相关联的隧道。 将连续的子网合并成一个超集 CIDR 是解决这一限制的有效方法。

• VPN 网关连接的对等子网不能重叠。

• 在连接基于策略的 VPN 和基于路由的对等（或基于静态路由的 VPN 和基于策略的对等）时，双方只能使用一个网络范围。 基于策略的 VPN 为每个关联网络使用一条隧道。 然而，基于路由的 VPN 只需要一条隧道。 因此，在与两侧多个网络范围相关联的不同类型 VPN 之间建立连接，可能会导致连接仅适用于单一网络范围。

  

  如果可能，在 VPN 配置中将连续的子网合并为一个网络范围。 例如，子网 192.168.0.0/24 和 192.168.1.0/24 可在 VPN 或路由配置中定义为 192.168.0.0/23。

• IBM Cloud 基于策略的 VPN 网关位于与您在配置过程中选择的子网相关联的区域内。 VPN 网关只为 VPC 同一区域内的虚拟服务器实例提供服务。 因此，其他区域的实例无法使用 VPN 网关与内部专用网络通信。 要实现专区容错，必须为每个专区部署一个 VPN 网关。

• IBM Cloud 基于路由的 VPN 网关位于与您在配置过程中选择的子网相关联的区域内。 建议 VPN 网关只为 VPC 同一区域内的虚拟服务器实例提供服务。 其他区域的实例可以使用基于路由的 VPN 网关与内部专用网络通信，但不建议采用这种设置。 要实现专区容错，必须为每个专区部署一个 VPN 网关。

• 在配置和优化站点到站点 IPsec VPN 连接时，您可能会遇到网络性能问题，其中一个问题与最大传输单元 (MTU) 和最大分段大小 (MSS) 限制有关。 更多信息，请参阅 IBM 站点到站点 VPN 最大传输单元(MTU)夹紧。

• 当路由使用 VPN 网关连接作为下一跳时，它必须出现在与 VPC 子网相关联的出口路由表中。 此外，当 VPN 网关将流量转发到 VPN 隧道时，它会检查该流量的源 IP 是否在路由表所连接的子网内。 如果源 IP 位于该子网之外，则不会对流量进行加密，也不会通过 VPN 隧道发送到对等网关。 例如，如果 VPN 网关接收到通过入口路由表路由的流量，该流量不会被转发到 VPN 隧道，因为源 IP 位于路由表所连接的子网之外。

  不支持在入口路由表中创建以 VPN 网关连接为下一跳的路由。

• 创建 VPN 网关时，可选择设置本地和对等 IKE 身份，如地址、FQDN 或主机名。 但是，如果后来更新了对等地址或 FQDN，就必须考虑这一变化对 VPN 连接的影响：

  • 如果在创建 VPN 网关时没有指定本地和对等 IKE 身份，网关会自动使用默认值：VPN 网关的公共 IP 用作本地 IKE 身份，对等网关的公共 IP 用作对等 IKE 身份。 即使对等地址发生变化，这种默认设置也有助于保持 VPN 连接的稳定性。
  • 如果在创建 VPN 网关时明确设置本地和对等 IKE 身份，就会锁定特定值。 在这种情况下，更新对等地址或 FQDN 需要删除并重新创建 VPN 连接，以避免中断连接。

• 限制：分配流量时，对等网关必须能够支持等价多路径路由（ECMP）。 此外，某些对等网关可能需要特定配置才能启用 ECMP。 有关更多信息，请参阅 基于路由的 VPN 用例的分配流量。