约束与限制
更新时间 2025-12-17 14:08:41
最近更新时间: 2025-12-17 14:08:41
本文主要介绍VPN连接的约束与限制。
开通限制
- 目前经典版VPN连接服务处于公测阶段,如您需要获取公测权限,请您提交工单申请VPN连接配额。
- 由于经典版VPN连接服务处于公测阶段,可能存在部分资源池无法开通VPN网关的问题,该问题主要由于VPN连接服务的IP地址资源不足导致,如您遇到此问题,建议您在其它节点开通此服务。
VPN网关限制
表-VPN网关限制
| VPN网关类型 | 资源 | 默认限制 |
|---|---|---|
| 企业版VPN | 每租户在每区域支持创建的VPN网关数量 | 50 如果您只有一个VPC,则该VPC最大创建50个VPN网关。 如果您有多个VPC,则多个VPC创建的VPN网关数量最大为50个。 |
| 企业版VPN | 每VPN网关支持配置的VPN连接组数量 | 100 如果VPN网关支持非固定IP接入,则该VPN网关支持配置的非固定IP接入、固定IP接入的VPN连接组数量合计最多为100个。 |
| 企业版VPN | 每VPN网关支持配置的本地子网数量 | 50 |
| 企业版VPN | 每VPN网关支持通过每连接接收对端网关发布的BGP路由数量 | 100 |
| 经典版VPN | 每租户在每区域支持创建的VPN网关数量 | 2 每个VPC最多创建1个VPN网关。 |
- VPN网关TCP协议的最大报文长度默认设置为1300字节。
对端网关限制
表-对端网关限制
| VPN网关类型 | 资源 | 默认限制 |
|---|---|---|
| 企业版VPN | 每租户在每区域支持创建的对端网关数量 | 100 |
- 对端网关必须开启NAT穿越。
- 对端网关必须使能DPD(Dead Peer Detection,失效对等体检测)。
- 对端网关必须支持IPSec Tunnel接口,并使能对应的安全策略。
- 静态路由模式连接开启NQA时,对端网关的IPSec Tunnel接口必须配置IP地址,并响应ICMP请求。
- 对端网关TCP协议的最大报文段长度建议设置为小于1399,避免因增加IPSec认证头开销导致分片的问题。
VPN连接限制
表-VPN连接限制
| VPN网关类型 | 资源 | 默认限制 | 如何提升配额 |
|---|---|---|---|
| 企业版VPN | 每VPN连接支持配置的策略规则数量 | 5 | 不支持修改。 |
| 企业版VPN | 每VPN连接支持配置的对端子网数量 | 50 | |
| 经典版VPN | 每租户在每区域支持创建的VPN连接数量 | 12 | 不支持修改。 |
- 多子网场景下,VPN连接建议使用路由模式。策略模式/策略模板模式下,VPN网关默认为每对本地子网和对端子网创建一个通信隧道,当一条策略模式连接的本地或对端为多子网场景下实际占用了多个通信隧道。VPN网关每个网关IP和对端网关建连时,最大提供100个通信隧道。路由模式下,每个VPN连接占用网关IP的1个通信隧道。
- 策略模式/策略模板模式下,每个VPN连接占用网关IP的M*N个通信隧道。M为本端待通信子网数,N为对端待通信子网数。
- 当所有涉及该网关IP的VPN连接模式占用的通信隧道超过100个时,会导致超出部分对应的VPN连接创建失败。
- 使用策略模式创建VPN连接时,若添加多条策略规则,不同策略规则的源、目的网段需要避免出现重叠,以免造成数据流误匹配或IPsec隧道震荡。
