使用限制
一、IPsec VPN 使用限制
使用 IPsec VPN 连接时,需注意以下几点:
- 路由策略配置 :VPN 参数配置完成后,需在子网关联路由表中添加指向 VPN 网关的路由策略,才能使子网内云服务器访问对端网段的网络请求通过 VPN 通道传递至对端网关。
- 激活 VPN 通道 :配置完路由表后,需在 VPC 内云服务器 ping 对端网段中的 IP 以激活此 VPN 通道。
- 依赖公网质量 :VPN 连接稳定性依赖运营商公网质量。
- 资源限制 :具体资源限制如下表,且部分资源不可申请高配额。
| 资源 | 限制(个) | 可申请高配额 |
|---|---|---|
| 每个 VPC 内 VPN 网关个数 | 10 | 否 |
| 同一地域内对端网关个数 | 20 | 否 |
| 同一个对端网关支持的 VPN 通道数 | 10 | 否 |
| 同一 VPN 网关可创建的 VPN 通道数 | 20 | 否 |
| 每个 VPN 通道的 SPD 个数 | 10 | 否 |
| 每个 SPD 支持的对端网段数 | 50 | 否 |
说明:
- 同一个对端网关支持的 VPN 通道数为账户级配额。
- 同一个对端网关与一个 VPC 内的同一个 VPN 网关仅可建立一个 VPN 通道。
- 对端网关不支持的 IP 地址 :
-
全 0,全 255,224 开头的组播地址。
-
回环地址:
127.x.x.x/8。 -
IP 地址中主机位为全 0 或者全 1 的地址,例如:
- 以 A 类中 1 - 126 开头举例,
1 - 126.0.0.0以及1 - 126.255.255.255。 - 以 B 类中 128 - 191 开头举例,
128 - 191.x.0.0以及128 - 191.x.255.255。 - 以 C 类中 192 - 223 开头举例,
192 - 223.x.x.0以及192 - 223.x.x.255。
- 以 A 类中 1 - 126 开头举例,
-
内部服务地址:
169.254.x.x/16。
-
二、SSL VPN 使用限制
(一)SSL 客户端约束
- SSL VPN 客户端使用开源 OpenVPN 做对接,OpenVPN 需用户自行下载。
- SSL VPN 客户端须支持 Windows,Mac,Linux(主流版本)系统。
- 客户端和服务端必须进行双向证书认证,客户端的证书和密钥都由云上申请和下载,且提供配置文件的下载。
- 客户端证书 SNI 即是 SSL VPN 实例 ID(SSL VPN 客户端实例 ID)。
(二)SSL 服务端约束
- 服务端必须进行双向证书认证,根证书和服务端证书有效期为 10 年,客户端证书有效期为 3 年。
- 只能配置 1 个客户端 IP 地址池。
- 可访问 1 个 VPC 侧 CIDR。
- 最大连接数,支持 5、10、20、50、20、100。
(三)SSL VPN 网关约束
- 客户端通过 SSL VPN 网关与 VPC 内 VM 通信,SSL VPN 目前只对接 OpenVPN 客户端。
- EIP 对外开放 UDP 1194 端口对外提供 SSL VPN 服务。
- 不同用户使用同一个证书和密钥与 SSL VPN 网关通信时,同一证书在同一时间只能有一个用户与 SSL VPN 网关建立 SSL VPN 连接,若两个用户不停建连,会导致两个用户都不能建连。