VPN 网关的已知问题

已知问题是指在发布前没有修复，但还没有严重到需要延迟发布的已识别错误或意外行为。 开发团队会将这些问题传达给您，通常会附带解决方法，并优先在近期内解决。

站点到站点 VPN 网关的已知问题如下：

• VPC 的 VPN 网关仅接受具有 UDP 封装 IPsec ESP 信息包 的 VPN 信息包。 不接受 封装安全有效内容(ESP)。 确保在本地 VPN 设备上启用 NAT-T 功能。 此外，确保 IBM VPC NACL 和对等网络都允许 UDP 端口 500 和 4500。

  NAT-T 通过在 UDP 中封装 IPsec 数据包，允许 VPN 流量通过 NAT 设备。 如果没有 NAT-T，IPsec 数据包可能会被 NAT 设备丢弃，因为它们无法正确处理 ESP 流量。 要实现跨 NAT 设备的可靠 VPN 连接，必须在 VPN 网关上启用 NAT-T。

• 当多个网络和/或子网与 IBM Cloud VPN 网关或本地设备相关联时，请避免混合基于策略的 VPN 和基于路由的 VPN。 基于策略的 VPN 为每个目标网络范围创建一个隧道。 但是，基于路由的 VPN 通过单个隧道将所有内容路由到对等设备。 因此，配置多个网络范围时，只能建立与单个网络范围关联的单个隧道。 将连续子网组合到单个超集 CIDR 是此限制的有效变通方法。

• VPN 网关连接的对等子网不能重叠。

• 连接基于策略的 VPN 和基于路由的对等（或基于静态路由的 VPN 和基于策略的对等）时，双方只能使用一个网络范围。 基于策略的 VPN 对每个关联网络使用一个隧道。 但是，基于路由的 VPN 仅需要单个隧道。 因此，与任一端的多个网络范围关联的不同类型 VPN 之间的连接可能导致仅适用于单网络范围的连接。

  

  *

  如果可能，请将连续子网组合到 VPN 配置中的单个网络范围内。 例如，子网 192.168.0.0/24 和 192.168.1.0/24 可以在 VPN 或路由配置中定义为 192.168.0.0/23。

• 基于 IBM Cloud 策略的 VPN 网关位于与您在供应期间选择的子网相关联的区域中。 VPN 网关仅为 VPC 的同一区域中的虚拟服务器实例提供服务。 因此，其他区域的实例无法使用 VPN 网关与内部专用网络通信。 要实现专区容错，必须为每个专区部署一个 VPN 网关。

• 基于 IBM Cloud 路由的 VPN 网关位于与您在供应期间选择的子网相关联的专区中。 建议 VPN 网关仅为 VPC 的同一区域中的虚拟服务器实例提供服务。 其他区域的实例可以使用基于路由的 VPN 网关与内部专用网络通信，但不建议使用这种设置。 要实现专区容错，必须为每个专区部署一个 VPN 网关。

• 配置和优化站点间 IPsec VPN 连接时，可能会迂到网络性能问题，其中一个问题与“最大传输单元”(MTU) 和“最大段大小”(MSS) 箝位相关。 有关更多信息，请参阅 IBM 站点到站点 VPN 最大传输单元(MTU)夹持。

• 当路由使用 VPN 网关连接作为下一跳时，它必须出现在与 VPC 子网相关联的出口路由表中。 此外，当 VPN 网关将流量转发到 VPN 隧道时，它会检查该流量的源 IP 是否在路由表所连接的子网内。 如果源 IP 位于该子网之外，则不会对流量进行加密，也不会通过 VPN 隧道发送到对等网关。 例如，如果 VPN 网关接收到通过入口路由表路由的流量，该流量不会被转发到 VPN 隧道，因为源 IP 位于路由表所连接的子网之外。

  不支持在入口路由表中创建以 VPN 网关连接为下一跳的路由。

• 创建 VPN 网关时，可选择设置本地和对等 IKE 身份，如地址、FQDN 或主机名。 但是，如果后来更新了对等地址或 FQDN，就必须考虑这一变化对 VPN 连接的影响：

  • 如果在创建 VPN 网关时没有指定本地和对等 IKE 身份，网关会自动使用默认值：VPN 网关的公共 IP 用作本地 IKE 身份，对等网关的公共 IP 用作对等 IKE 身份。 即使对等地址发生变化，这种默认设置也有助于保持 VPN 连接的稳定性。
  • 如果在创建 VPN 网关时明确设置本地和对等 IKE 身份，就会锁定特定值。 在这种情况下，更新对等地址或 FQDN 需要删除并重新创建 VPN 连接，以避免中断连接。