VPN 网关已知的限制、问题和约束
列出IBM Cloud VPNfor VPC 的已知限制、问题和约束。
限制
-
VPC 的 VPN 网关仅接受具有 UDP 封装 IPsec ESP 信息包 的 VPN 信息包。 不接受 封装安全有效内容(ESP)。 确保在本地 VPN 设备上启用 NAT-T 功能。 此外,确保 IBM VPC NACL 和对等网络都允许 UDP 端口 500 和 4500。
-
当多个网络和/或子网与 IBM Cloud VPN 网关或本地设备相关联时,请避免混合基于策略的 VPN 和基于路由的 VPN。 基于策略的 VPN 为每个目标网络范围创建一个隧道。 但是,基于路由的 VPN 通过单个隧道将所有内容路由到对等设备。 因此,配置多个网络范围时,只能建立与单个网络范围关联的单个隧道。 将连续子网组合到单个超集 CIDR 是此限制的有效变通方法。
-
VPN 网关连接的对等子网不能重叠。
-
当将基于策略的 VPN 与基于路由的对等节点 (或基于路由的静态 VPN 与基于策略的对等节点) 连接时,仅对双方使用单个网络范围。 基于策略的 VPN 对每个关联网络使用一个隧道。 但是,基于路由的 VPN 仅需要单个隧道。 因此,与任一端的多个网络范围关联的不同类型 VPN 之间的连接可能导致仅适用于单网络范围的连接。
混合 VPN 类型使用 如果可能,请将连续子网组合到 VPN 配置中的单个网络范围内。 例如,子网
192.168.0.0/24
和192.168.1.0/24
可以在 VPN 或路由配置中定义为192.168.0.0/23
。 -
基于 IBM Cloud 策略的 VPN 网关位于与您在供应期间选择的子网相关联的区域中。 VPN 网关仅为 VPC 的同一区域中的虚拟服务器实例提供服务。 因此,其他区域的实例无法使用 VPN 网关与内部专用网络通信。 要实现专区容错,必须为每个专区部署一个 VPN 网关。
-
基于 IBM Cloud 路由的 VPN 网关位于与您在供应期间选择的子网相关联的专区中。 建议 VPN 网关仅为 VPC 的同一区域中的虚拟服务器实例提供服务。 其他区域中的实例可以使用基于路由的 VPN 网关与本地专用网络进行通信,但建议不要这样做。 要实现专区容错,必须为每个专区部署一个 VPN 网关。
-
配置和优化站点间 IPsec VPN 连接时,可能会迂到网络性能问题,其中一个问题与“最大传输单元”(MTU) 和“最大段大小”(MSS) 箝位相关。 有关更多信息,请参阅 IBM 站点到站点 VPN 最大传输单元(MTU)夹持。
-
当路由的下一个中继段是 VPN 网关连接时,此路由必须存在于出口路由表中,这意味着该路由表必须与 VPC 子网相关联。 此外,当 VPN 网关将流量转发到 VPN 隧道时,它还会检查此流量的源 IP 是否在连接到路由表的子网中。 如果源 IP 不在连接到路由表的子网中,那么将不会对流量进行加密并通过 VPN 隧道将其转发到对等网关。 例如,如果 VPN 网关接收通过入口路由表路由的流量,那么不会将此流量转发到 VPN 隧道中,因为其源 IP 不在连接到路由表的子网中。
不支持在入口路由表中创建路由,其中下一个中继段是 VPN 网关连接。
已知问题
更新 VPN 网关连接的 peer.address
或 peer.fqdn
-如果在创建 VPN 网关连接时未显式设置 local.ike_identities
和 peer.ike_identity
属性,那么当 更新 VPN 网关连接 并指定 peer.address
或 peer.fqdn
时,将更改属性值以与更新后的值匹配,而不是保持不变。 相反,如果在创建 VPN 网关连接时显式设置了 local.ike_identities
和 peer.ike_identity
属性,那么无法在不删除 VPN 网关连接的情况下更改这些值。
分发交通限制令
分配流量时,对等网关必须能够支持等价多路径路由(ECMP)。 此外,某些对等网关可能需要特定配置才能启用 ECMP。 更多信息,请参阅 为基于路由的 VPN 分配流量 用例。