VPN 连接
使用 VPN 连接时,您需要注意如下几点:
VPN 参数配置完成后,您需要在子网关联路由表中添加指向 VPN 网关的路由策略,子网内云服务器访问对端网段的网络请求才会通过 VPN 通道传递至对端网关。
VPN 连接稳定性依赖运营商公网质量。
VPN 连接仅支持 PSK 方式,不支持 CA 认证。
VPN 连接 SPD 或路由网段不能指定为如下网段:
全0、全255或224开头的组播地址。
回环地址:
127.x.x.x/8。IPv6网段。
使用 CCN 型 VPN 时,如果传递
0.0.0.0网段路由,对端网关须开启主动协商,云端开启被动协商,否则通道可能不通;如果 VPN 网关版本是4.0,关联云联网时请注意在云联网侧开启路由重叠功能。VPN 网关
VPN 是地域级服务,但您可以在任意地域通过互联网连接您的 VPN 网关。
不支持指定 VPN 网关的公网 IP 或公网 IP 归属的运营商,不支持 IPv6地址和 Anycast。同时,网关创建后其公网 IP 不可更换/修改。
腾讯云分配的出入方向带宽与用户购买的带宽规格相等。
目前仅200 Mbps 带宽及以上规格的关联 CCN 型的 VPN 网关支持动态 BGP,如需使用 BGP 功能,请 提交工单 进行咨询。
路由优先级:静态路由>动态 BGP 路由。
私网 VPN:如需使用私网类型的 VPN,请 提交工单 进行咨询。
请注意:4.0版本 VPC 型 VPN 网关,暂不支持与低版本 VPN 网关组成等价路由 ECMP。VPC 路由表等价路由 ECMP 介绍可查看:等价路由。
对端网关
您必须指定对端网关的 IP 地址,对端网关的公网 IP 不支持如下 IP 地址:
全0、全255或224开头的组播地址。
回环地址:
127.x.x.x/8。IP 地址中主机位为全0或者全1的地址,如:
以 A 类中1-126开头举例,如
1-126.0.0.0,1-126.255.255.255。以 B 类中128-191开头举例,如
128-191.x.0.0,128-191.x.255.255。以 C 类中192-223开头举例,如
192-223.x.x.0,192-223.x.x.255。内部服务地址:
169.254.x.x/16。IPv6 地址。
若通过 IPsec VPN 实现两个 VPC 内的资源互访,两个 VPC 互为对方的对端网关,VPC 网段不应重叠。
SSL 服务端
服务端支持 UDP 或 TCP。
修改端口、认证、加密算法等,您需要重新下载客户端配置。
客户端网段与本端网段不能重叠。
SSO 认证
VPN 3.1版本:身份认证依赖 EIAM 应用,不支持直接对接其他 IdP(Identity Provider)认证。您可以通过 EIAM 服务实现与贵企业的认证源对接,也可以选择 EIAM 支持的认证方式,如短信、企微、AD 等。目前身份认证灰度开放,如需使用,请提交 工单申请。
VPN 4.0版本:身份认证依赖 CAM 身份角色 配置,支持基于 SAML2.0的主流第三方 IdP。
开启身份认证情况下,您可以使用访问控制。
SSL 客户端
客户端需要您自行准备,腾讯云 SSL VPN 支持开源 OpenVPN 客户端或兼容的其他商业客户端。
每个客户端只能使用一个 SSL 客户端配置证书,暂不支持多台设备使用同一份证书。
支持的 OpenVPN 版本:2.4.8及以上的2.x 系列,3.x 版本。
身份认证仅3.x 版本 OpenVPN 或兼容的其他客户端支持。
在 Windows 系统下,如果您的客户端 OpenVPN 是3.4.0及以上版本,那么 SSL 服务端配置时需要配置加密和认证算法。
单次最多可批量创建100个 SSL 客户端。
资源限制
IPsec VPN 限制
资源 | 默认限制 | 是否可提升 |
每个账号每个地域内 VPC 型 IPsec VPN 网关数 | 10个 | |
每个账号每个地域内云联网型 IPsec VPN 网关数 | 10个 | |
同一地域内对端网关个数 | 20个 | |
同一个对端网关支持的 VPN 通道数 | 10个 说明: 同一个对端网关支持的 VPN 通道数为账户级配额。 同一个对端网关与同一个 VPN 网关仅可建立一个 VPN 通道。 | |
同一 VPN 网关可创建的 VPN 通道数 | 20个 | 无法提升 |
一个 VPN 网关实例支持的最大带宽规格 | 3000Mbps | 无法提升 |
每个 VPN 通道的 SPD 个数 | 10个 | 无法提升 |
同一 VPN 网关下所有 SPD 个数 | 100个 | 无法提升 |
每个 SPD 支持的对端网段数 | 10个 | 无法提升 |
每个 VPN 网关路由表支持的路由条目 | 1000条 | 无法提升 |
新增路由页面一次支持最多增加的路由条目 | 10条 | 无法提升 |
每个 VPN 网关支持的动态 BGP 学习到的路由条目 | 500条 | 无法提升 |
每个 VPN 通道动态 BGP 发送的路由条目 | 2000条 | 无法提升 |
BGP ASN | 默认64551,取值范围为1 - 4294967295 | 取值范围无法调整 |
SSL VPN 限制
资源 | 默认限制 | 是否可提升 |
每个账号每个地域内 VPC 型 SSL VPN 网关数 | 10个 | |
每个账号每个地域内 CCN 型 SSL VPN 网关数 | 10个 | |
一个 VPN 网关实例支持的最大带宽规格 | 1000Mbps | 无法提升 |
一个 SSL VPN 网关支持创建的 SSL 服务端的个数 | 1个 | 无法提升 |
一个 SSL 服务端支持添加的本端网段个数 | 500个 (4.0版本 VPN 网关) 5个(4.0以下版本 VPN 网关) | 无法提升 |
一个 SSL 服务端支持添加的客户端网段个数 | 1个 说明: 为保证您的客户端均能分配到 IP 地址,建议您指定的客户端网段所包含的 IP 地址个数大于 SSL VPN 客户端数。 | 无法提升 |
SSL 客户端证书的有效期 | 3年 | 无法调整 |
SSL 客户端连接数限制 | [5,100]Mbps SSL VPN 网关最大支持100个 SSL 客户端连接数。 200/500Mbps SSL VPN 网关最大支持500个 SSL 客户端连接数。 1000Mbps SSL VPN 网关最大支持1000个 SSL 客户端连接数。 说明: SSL VPN 网关可连接的客户端数还与您创建时配置的 SSL 客户端连接数相关。例如,创建时您设置了5个连接数,那么该网关最大可以连接客户端数为5个。 在带宽配额范围内支持修改 SSL 客户端连接数。如上示例,您需要10个 SSL 连接时,您可以在网关详情进行调整,但最大不超过100个。 | 上限根据当前 SSL VPN 网关规格,如需提升 SSL 客户端连接数,请提升网关带宽规格。 |
